Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys

BetÀnkande av Socialdataskyddsutredningen

Stockholm 2018

SOU 2018:52

SOU och Ds kan köpas frĂ„n Norstedts Juridiks kundservice. BestĂ€llningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@nj.se

Webbadress: www.nj.se/offentligapublikationer

För remissutsÀndningar av SOU och Ds svarar Norstedts Juridik AB pÄ uppdrag av Regeringskansliets förvaltningsavdelning.

Svara pĂ„ remiss – hur och varför

StatsrÄdsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara pÄ remiss.

HÀftet Àr gratis och kan laddas ner som pdf frÄn eller bestÀllas pÄ regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2018

ISBN 978-91-38-24828-7

ISSN 0375-250X

Till statsrÄdet och chefen för Socialdepartementet

Genom beslut den 16 juni 2016 bemyndigade regeringen statsrÄdet Annika StrandhÀll att tillkalla en sÀrskild utredare med uppdrag att analysera konsekvenserna av EU:s s.k. dataskyddsförordning för be- handlingen av personuppgifter inom Socialdepartementets verksam- hetsomrÄde och föreslÄ författningsÀndringar till följd av dataskydds- förordningen.

Som sĂ€rskild utredare förordnades frĂ„n och med den 16 juni 2016 ordföranden i Arbetsdomstolen Sören Öman.

Utredningen (S 2016:05) har antagit namnet Socialdataskydds- utredningen.

Uppdraget redovisades i betĂ€nkandet Dataskydd inom Social- departementets verksamhetsomrĂ„de – en anpassning till EU:s dataskydds- förordning (SOU 2017:66) som överlĂ€mnades den 29 augusti 2017.

Den 15 juni 2017 beslutade regeringen att ge utredaren i tillÀggs- uppdrag att utreda behovet av en sÀrskild författning med bestÀm- melser om personuppgiftsbehandling för Myndigheten för vÄrd- och omsorgsanalys. Om sÄdana behov finns, ska utredaren lÀmna behöv- liga författningsförslag.

Den 11 januari 2018 beslutade regeringen att ge utredaren i tillÀggs- uppdrag att analysera de rÀttsliga möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till Myn- digheten för vÄrd- och omsorgsanalys för anvÀndning i myndig- hetens analysprojekt, och vid behov lÀmna förslag som möjliggör nödvÀndigt uppgiftsutlÀmnande. Tiden för uppdraget förlÀngdes till och med den 30 juni 2018.

I det uppdrag som redovisas i detta betĂ€nkande har som sakkunniga medverkat kanslirĂ„det Annika Remaeus (Socialdepartementet), Ă€mnes- rĂ„det Linda Stridsberg (Utbildningsdepartementet), departements- sekreteraren Anna Weinholt (Socialdepartementet) och kanslirĂ„det Esbjörn Åkesson (Socialdepartementet). Som experter har med- verkat chefsjuristen Catarina Eklundh Ahlgren (Inspektionen för socialförsĂ€kringen), verksjuristen Daniel Granqvist (Statistiska central- byrĂ„n), professorn Peter Höglund (Centrala etikprövningsnĂ€mnden), avdelningsdirektören Suzanne Isberg (Datainspektionen), juristen Ulrika Marusarz (Socialstyrelsen) samt stabschefen och chefsjuristen Karin NylĂ©n (Myndigheten för vĂ„rd- och omsorgsanalys).

Som sekreterare i utredningen förordnades verksjuristen HélÚne Runsten frÄn och med den 8 augusti 2016 och hovrÀttsassessorn Jonna Wiborn frÄn och med den 1 september 2016. De avslutade sitt arbete i utredningen den 15 januari 2018. FrÄn och med den 1 janu- ari 2018 förordnades hovrÀttsassessorn Magdalena Petersson som sekreterare.

HÀrmed fÄr jag överlÀmna betÀnkandet Behandling av person- uppgifter vid Myndigheten för vÄrd- och omsorgsanalys (SOU 2018:52).

Utredningsarbetet Àr dÀrmed avslutat.

Stockholm i juni 2018

Sören Öman

/ Magdalena Petersson

InnehÄll

Sammanfattning ................................................................

15

1

Författningsförslag.....................................................

25

1.1Förslag till lag om behandling av personuppgifter

vid Myndigheten för vÄrd- och omsorgsanalys.....................

25

1.2Förslag till lag om Àndring i lagen (2003:460) om

etikprövning av forskning som avser mÀnniskor ..................

30

1.3Förslag till förordning om behandling av

 

personuppgifter vid Myndigheten för vÄrd-

 

 

och omsorgsanalys..................................................................

32

2

Utredningsarbetet och betÀnkandet .............................

33

2.1

Utredningsdirektiven..............................................................

33

2.2

Utredningsarbetet...................................................................

33

2.3

BetÀnkandets disposition........................................................

34

BAKGRUND

......................................................................

37

3

GÀllande rÀtt.............................................................

39

3.1

Europakonventionen ..............................................................

39

3.2

Dataskyddskonventionen.......................................................

39

3.3

Dataskyddsdirektivet..............................................................

41

3.4

Dataskyddsförordningen........................................................

41

 

3.4.1

Inledning ..................................................................

41

 

3.4.2

Materiell och territoriell avgrÀnsning.....................

42

 

 

 

5

InnehÄll

SOU 2018:52

3.4.3

Definitioner.............................................................

43

3.4.4

GrundlÀggande principer ........................................

44

3.4.5

Laglig behandling av personuppgifter....................

45

3.4.6KĂ€nsliga personuppgifter och uppgifter om

 

lagövertrÀdelser .......................................................

46

3.4.7

Den registrerades rÀttigheter..................................

48

3.4.8Personuppgiftsansvarigas och

 

personuppgiftsbitrÀdens skyldigheter....................

51

3.4.9

Dataskyddsombud ..................................................

52

3.4.10

Överföring av personuppgifter till tredjeland .......

53

3.4.11

Tillsynsmyndigheter ...............................................

54

3.4.12NĂ€r uppgifter behandlas i strid med

 

dataskyddsförordningen.........................................

54

3.4.13

Konkurrens med andra rÀttigheter.........................

55

3.4.14

Övrigt ......................................................................

55

3.5 Regeringsformen ....................................................................

56

3.5.1

Skydd för den personliga integriteten....................

56

3.5.2BegrÀnsning av skyddet för den personliga

 

 

integriteten ..............................................................

57

 

3.5.3

IntrÄng i den personliga integriteten .....................

58

3.6

Personuppgiftslagen ...............................................................

62

3.7

Dataskyddslagen.....................................................................

62

4

Myndigheten för vÄrd- och omsorgsanalys .....................

65

4.1

Myndighetens uppdrag...........................................................

65

4.2

Myndighetens verksamhet .....................................................

67

4.2.1Egeninitierad verksamhet

 

och regeringsuppdrag..............................................

67

4.2.2

Arbetsmetoder ........................................................

68

4.3RÀttsligt stöd för myndighetens behandling

av personuppgifter..................................................................

70

4.4 Behovet av att behandla personuppgifter..............................

71

4.4.1

Inledning..................................................................

71

4.4.2

Behov av uppgifter frÄn andra aktörer ...................

72

6

SOU 2018:52InnehÄll

 

4.4.3

Myndighetens egen bearbetning

 

 

 

av personuppgifter...................................................

74

5

Regleringen av andra analysmyndigheters behandling

 

 

av personuppgifter.....................................................

77

5.1

Inledning..................................................................................

77

5.2

Statskontoret...........................................................................

78

5.3

Ekonomistyrningsverket (ESV).............................................

78

5.4

Brottsförebyggande rÄdet (BrÄ).............................................

78

5.5Institutet för arbetsmarknads- och utbildningspolitisk

 

utvÀrdering (IFAU)................................................................

80

5.6

Inspektionen för socialförsÀkringen (ISF)............................

81

5.7

Myndigheten för kulturanalys................................................

83

5.8Myndigheten för tillvÀxtpolitiska utvÀrderingar

 

och analyser (TillvÀxtanalys)..................................................

83

5.9

Trafikanalys .............................................................................

84

6

UtlÀmnande av personuppgifter till Myndigheten för

 

 

vÄrd- och omsorgsanalys.............................................

85

6.1

Inledning..................................................................................

85

6.2

Myndighetens behov...............................................................

86

 

6.2.1

Myndighetens behov av att anvÀnda redan

 

 

 

befintliga data som finns hos andra aktörer...........

86

6.2.2Myndighetens behov av att rikta sig direkt till

 

patienter, brukare och andra specifika grupper .....

87

6.2.3

Myndighetens behov av att rikta sig till

 

 

personal ....................................................................

89

6.2.4Myndighetens behov av att följa utveckling

 

över tid .....................................................................

89

6.3 UppgiftslÀmnande mellan myndigheter och sekretess.........

90

6.3.1

UppgiftslÀmnande mellan myndigheter.................

90

6.3.2

SekretessbestÀmmelsernas uppbyggnad.................

91

6.3.3

PrimÀr och sekundÀr sekretess ...............................

91

7

InnehÄll

SOU 2018:52

6.4Sekretess för uppgifter hos Socialstyrelsen

och Statistiska centralbyrÄn ...................................................

92

6.4.1Lagen om den officiella statistiken

 

och statistikansvariga myndigheter........................

93

6.4.2

Statistiksekretess.....................................................

95

6.4.3

Vad Àr statistik?.......................................................

95

6.4.4

SĂ€rskild statistikverksamhet ...................................

96

6.4.5

Annan jÀmförbar undersökning.............................

97

6.4.6Uppgift om enskilds personliga eller

 

ekonomiska förhÄllande..........................................

98

6.4.7

Absolut sekretess ....................................................

98

6.4.8Undantaget för uppgift för forsknings-

och statistikÀndamÄl..............................................

100

6.4.9Undantaget för uppgifter som inte Àr direkt

hÀnförliga till den enskilde ...................................

102

6.5Sekretess för uppgifter hos Myndigheten för vÄrd-

och omsorgsanalys................................................................

102

6.6Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till

Myndigheten för vÄrd- och omsorgsanalys ........................

103

6.6.1Undantaget för uppgift som behövs för

forskningsÀndamÄl ................................................

103

6.6.2Undantaget för uppgift som behövs för

statistikÀndamÄl.....................................................

104

6.6.3Undantaget för uppgift som inte Àr direkt

hÀnförlig till den enskilde .....................................

106

6.7 Sekretessbrytande bestÀmmelser .........................................

107

6.7.1UppgiftslÀmnande pÄ grund av lag

eller förordning .....................................................

108

6.7.2Sekretessbrytande bestÀmmelse för uppgifter

hos Socialstyrelsen och Statistiska

 

centralbyrÄn...........................................................

109

8

SOU 2018:52InnehÄll

ÖVERVÄGANDEN OCH FÖRSLAG......................................

111

7

Behandling av personuppgifter med stöd av

 

 

dataskyddsförordningen ...........................................

113

7.1

RÀttslig grund för behandling av personuppgifter..............

113

 

7.1.1

Regleringen i dataskyddsförordningen ................

113

 

7.1.2

Behandling med stöd av samtycke........................

114

7.1.3Behandling för att utföra en arbetsuppgift

av allmÀnt intresse .................................................

117

7.1.4Inget behov av nationell reglering av rÀttslig

 

grund för myndighetens behandling ....................

127

7.2 Behandling av kÀnsliga personuppgifter..............................

128

7.2.1

Regleringen i dataskyddsförordningen ................

128

7.2.2Undantag för behandling med stöd av

 

samtycke.................................................................

129

7.2.3

Undantag för viktiga allmÀnna intressen .............

130

7.2.4Undantag för hÀlso- och sjukvÄrd samt social

 

 

omsorg....................................................................

138

 

7.2.5

Undantag för statistikÀndamÄl .............................

140

7.3

Behandling av uppgifter om lagövertrÀdelser......................

142

8

Behovet av en reglering............................................

145

9

En ny lag om behandling av personuppgifter...............

147

9.1Lagen bör inte innehÄlla bestÀmmelser som generellt

tillÄter behandling .................................................................

147

9.2Nationella bestÀmmelser som kompletterar

dataskyddsförordningen.......................................................

149

9.3 Lagens tillÀmpningsomrÄde..................................................

152

9.3.1

Verksamhet som bör omfattas av lagen ...............

152

9.3.2Automatiserad behandling och manuella

 

register....................................................................

153

9.3.3

Uppgifter om avlidna personer.............................

153

9.4 FörhÄllandet till annan reglering..........................................

155

9.4.1

Dataskyddsförordningen ......................................

155

9

InnehÄll

SOU 2018:52

 

9.4.2

Dataskyddslagen ...................................................

156

 

9.4.3

Etikprövningslagen ...............................................

158

10

Krav pÄ extern prövning vid riskfyllda behandlingar

 

 

utan samtycke .........................................................

161

10.1

Det behövs en prövning i varje enskilt fall vid riskfyllda

 

 

behandlingar..........................................................................

161

10.2

NÄgon extern prövning behövs inte vid samtycke.............

164

10.3

Vilken oberoende instans ska göra prövningen? ................

166

 

10.3.1

Inledning................................................................

166

10.3.2Etikprövningsmyndigheten Àr den naturliga

instansen ................................................................

167

10.3.3Alternativ till Etikprövningsmyndigheten

 

 

och ÖverklagandenĂ€mnden för etikprövning

..... 171

 

10.3.4

ÖvervĂ€ganden om alternativen.............................

180

 

10.3.5 Utredningen lÀmnar inget ytterligare förslag

 

 

 

pÄ lÀmplig prövningsinstans .................................

185

10.4

Vilken avvÀgningsnorm ska den oberoende instansen

 

 

tillÀmpa?

................................................................................

187

 

10.4.1

Etikprövningsmyndigheten och

 

 

 

ÖverklagandenĂ€mnden för etikprövning

 

 

 

ska tillÀmpa nuvarande regelverk

 

 

 

pÄ motsvarande sÀtt...............................................

187

 

10.4.2 VÀljs en annan instans ska den göra

 

 

 

en kvalificerad intresseavvÀgning

 

 

 

som faststÀlls i lag..................................................

192

11

KĂ€nsliga personuppgifter ..........................................

197

11.1

Inledande bedömning...........................................................

197

11.2

Behovet av att behandla kÀnsliga personuppgifter .............

198

11.3FörutsÀttningarna för att göra undantag frÄn förbudet mot att behandla kÀnsliga personuppgifter med hÀnsyn

till ett viktigt allmÀnt intresse Àr uppfyllda.........................

200

11.3.1

Krav pÄ skyddsÄtgÀrder.........................................

200

11.3.2

Krav pÄ nödvÀndighet ...........................................

202

10

SOU 2018:52

InnehÄll

11.3.3 Krav pÄ proportionalitet........................................

203

11.4 Krav pÄ etisk prövning för behandling av uppgifter

 

om hÀlsa och personuppgifter som avslöjar etniskt

 

ursprung utan samtycke .......................................................

204

11.4.1Behandling tillÄts om det finns uttryckligt

 

 

samtycke eller etikgodkÀnnande...........................

204

 

11.4.2 Undantag frÄn kravet pÄ etisk prövning...............

206

12

LagövertrÀdelser ......................................................

207

12.1

Behovet av att behandla uppgifter om lagövertrÀdelser......

207

12.2

Krav pÄ etisk prövning för behandling av uppgifter

 

 

om lagövertrÀdelser utan samtycke......................................

208

 

12.2.1 Behandling tillÄts om det finns uttryckligt

 

 

 

samtycke eller etikgodkÀnnande...........................

208

 

12.2.2 Undantag frÄn kravet pÄ etisk prövning...............

210

13

Andra personuppgifter Àn kÀnsliga personuppgifter

 

 

och uppgifter om lagövertrÀdelser .............................

211

13.1

Behovet av att behandla andra personuppgifter..................

211

13.2

Behandling av andra personuppgifter i projekt

 

 

som godkÀnts vid en etisk prövning ....................................

212

13.3

Utvidgad möjlighet till etisk prövning av projekt

 

 

som endast innefattar andra uppgifter.................................

214

14

SkyddsÄtgÀrder .......................................................

217

14.1

Krav pÄ skydds- eller sÀkerhetsÄtgÀrder ..............................

217

 

14.1.1

Regleringen i dataskyddsförordningen ................

217

 

14.1.2 Reglering i den föreslagna lagen ...........................

219

14.2

ÄndamĂ„lsbestĂ€mning för varje projekt ...............................

221

 

14.2.1

Krav pÄ ÀndamÄlsbestÀmning................................

221

14.2.2Generellt formulerade ÀndamÄl

i registerförfattningar ............................................

222

14.2.3Registerförfattningar utan

ÀndamÄlsbestÀmmelser ..........................................

223

14.2.4 Finalitetsprincipen.................................................

228

11

InnehÄll

SOU 2018:52

 

14.2.5 ÖvervĂ€ganden........................................................

228

14.3

Personuppgifter som fÄr behandlas.....................................

233

14.4

Behandling som den registrerade invÀnder mot .................

234

14.5

Pseudonymisering ................................................................

238

14.6

Behörighetsstyrning .............................................................

240

15

Gallring och bevarande.............................................

243

15.1

GÀllande rÀtt .........................................................................

243

15.2

ÖvervĂ€ganden .......................................................................

245

16

BegrÀnsning av skyddet mot betydande intrÄng

 

 

i den personliga integriteten .....................................

247

17Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter

till Myndigheten för vÄrd- och omsorgsanalys..............

251

17.1 Inledning ...............................................................................

251

17.2UtlÀmnande av personuppgifter kan inte ske med stöd av undantaget för uppgifter som behövs

 

för forskningsÀndamÄl..........................................................

252

17.3

UtlÀmnande av personuppgifter kan ske med stöd av

 

 

undantaget för uppgifter som behövs

 

 

för statistikÀndamÄl ..............................................................

253

17.4

UtlÀmnande av personuppgifter kan ske med stöd av

 

 

undantaget för uppgifter som inte Àr direkt hÀnförliga

 

 

till den enskilde.....................................................................

257

17.5

Det bör inte införas nÄgon uppgiftsskyldighet

 

 

för Socialstyrelsen och Statistiska centralbyrÄn..................

259

AVSLUTANDE DEL...........................................................

261

18

IkrafttrÀdande .........................................................

263

12

SOU 2018:52

 

InnehÄll

19

Konsekvenser..........................................................

265

19.1

Inledning................................................................................

265

19.2

Uppdraget och de förslag som lÀmnas.................................

266

19.3

Alternativa lösningar och konsekvenser av

 

 

att den föreslagna regleringen inte genomförs....................

267

19.4

Ekonomiska konsekvenser...................................................

267

19.5

Övriga konsekvenser enligt kommittĂ©förordningen..........

269

19.6

Konsekvenser för den personliga integriteten ....................

270

20

Författningskommentar ............................................

271

20.1

Förslaget till lag om behandling av personuppgifter

 

 

vid Myndigheten för vÄrd- och omsorgsanalys...................

271

20.2

Förslaget till lag om Àndring i lagen (2003:460) om

 

 

etikprövning av forskning som avser mÀnniskor ................

290

Referenser ......................................................................

291

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2016:52 ...........................................

297

Bilaga 2

Kommittédirektiv 2017:67 ...........................................

309

Bilaga 3

Kommittédirektiv 2018:1 .............................................

311

13

Sammanfattning

Det behövs en registerlag för Myndigheten för vÄrd- och omsorgsanalys

Socialdataskyddsutredningen har utrett behovet av en registerför- fattning för Myndigheten för vÄrd- och omsorgsanalys. Myndig- heten har enligt sin instruktion till uppgift att följa upp och analysera verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgarperspektiv. Att göra uppföljningar ur de perspektiven innebÀr i sig att myndigheten behöver kunna rikta sig till patienter, brukare och medborgare med frÄgor, men ocksÄ att frÄgestÀllningar pÄ andra sÀtt behöver betraktas med dessa grupper som utgÄngspunkt. För att kunna fullgöra sin arbetsuppgift behöver myndigheten dÀrför behandla vissa kÀnsliga personuppgifter, personuppgifter frÄn socialtjÀnsten och omsorgen samt, i enstaka fall, uppgifter om lagövertrÀdelser. Med hÀnsyn till den omfattning av personuppgifter det kan bli frÄga om, uppgift- ernas delvis kÀnsliga karaktÀr, behovet av att personuppgifterna i vissa fall sammankopplas och omstÀndigheten att behandlingen inte alltid kan ske med samtycke, blir resultatet i vissa fall det som enligt 2 kap. 6 § andra stycket regeringsformen kan betraktas som en kartlÀggning av enskildas personliga förhÄllanden och ett betydande intrÄng i den personliga integriteten.

Myndigheten för vÄrd- och omsorgsanalys har möjlighet att i sin analysverksamhet behandla personuppgifter, Àven kÀnsliga sÄdana, med stöd av regleringen i dataskyddsförordningen och dataskydds- lagen. Det finns emellertid en överenskommelse mellan regering och riksdag om att myndighetsregister med ett stort antal registrerade och ett sÀrskilt kÀnsligt innehÄll ska regleras sÀrskilt i lag, dvs. inte bara av den generella dataskyddsregleringen. Utredningen bedömer att den behandling av personuppgifter myndigheten behöver göra Àr

15

Sammanfattning

SOU 2018:52

sÄdan att den i vissa situationer faller under den överenskommelsen. Behandlingen bör, pÄ grund av sin karaktÀr, vidare kringgÀrdas av mer specifika restriktioner och skyddsÄtgÀrder Àn som följer av den allmÀnna dataskyddsregleringen. Utredningen föreslÄr dÀrför en lag om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys.

Lagens tillÀmpningsomrÄde

Lagen ska vara tillÀmplig vid behandling av personuppgifter i verk- samhet vid Myndigheten för vÄrd- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgarperspektiv. Endast sÄdan behandling av personupp- gifter som Àr helt eller delvis automatiserad samt behandling av personuppgifter som ingÄr eller Àr avsedda att ingÄ i ett register (en strukturerad samling av personuppgifter som Àr tillgÀngliga för sök- ning eller sammanstÀllning enligt sÀrskilda kriterier) ska omfattas.

Lagens bestÀmmelser om skyddsÄtgÀrder ska tillÀmpas pÄ uppgif- ter om bÄde levande och avlidna personer.

FörhÄllandet till annan reglering

Den föreslagna lagen kompletterar de direkt tillÀmpliga bestÀmmel- serna i EU:s dataskyddsförordning. Dessutom gÀller dataskydds- lagen, med generella kompletterande bestÀmmelser, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den.

Vid forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (kÀnsliga personupp- gifter) eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden, ska inte den föreslagna lagen gÀlla. DÄ ska myn- digheten i stÀllet tillÀmpa etikprövningslagen.

16

SOU 2018:52

Sammanfattning

Krav pÄ extern etisk prövning vid riskfyllda behandlingar utan samtycke

Myndigheten för vÄrd- och omsorgsanalys har i uppdrag att göra analyser och uppföljningar inom flera sektorer och uppdraget krÀver att flera sorters personuppgifter behandlas för olika konkreta Ànda- mÄl som i praktiken svÄrligen lÄter sig sammanfattas pÄ ett sÄdant sÀtt att behandlingen kan begrÀnsas pÄ förhand genom lagstiftning. En ÀndamÄlsbestÀmmelse i lag med förutsÀttningar för att behand- ling ska fÄ ske skulle dÀrför behöva vara sÄ allmÀnt hÄllen att man, enligt utredningens bedömning, inte kan överlÄta Ät myndigheten att sjÀlv tillÀmpa den i de fall det gÀller mer integritetskÀnslig behandling av personuppgifter. Utredningen har dÀrför kommit fram till att det bÀsta sÀttet att tillfredsstÀllande reglera nÀr myndigheten ska fÄ utföra sÀrskilt riskfyllda behandlingar Àr att föreskriva att det i varje enskilt fall ska göras en bedömning av en extern oberoende och kompetent instans. Med sÀrskild riskfyllda behandlingar avses hÀr behandling av kÀnsliga personuppgifter och uppgifter om lagöver- trÀdelser samt behandling av personuppgifter i sÄdan omfattning att det, med hÀnsyn till den stora mÀngden personuppgifter, uppgift- ernas integritetskÀnsliga karaktÀr och behovet av att koppla samman uppgifterna, innebÀr en kartlÀggning av enskildas personliga förhÄll- anden och ett sÄdant betydande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör dock inte omfattas av ett krav pÄ extern prövning, eftersom sÄdan behandling inte bedöms förknippad med samma risker för den personliga integriteten och dÄ den registrerade sjÀlv genom sitt sam- tycke dÄ förfogar över bedömningen.

KĂ€nsliga personuppgifter

Utredningen föreslÄr att myndighetens projekt som innefattar be- handling av uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ursprung ska genomgÄ en extern etisk prövning. Behandling av kÀnsliga personuppgifter med stöd av den registrerades uttryck- liga samtycke ska dock inte omfattas av kravet pÄ etisk prövning. Utredningen föreslÄr dÀrför en bestÀmmelse som innebÀr att kÀnsliga

17

Sammanfattning

SOU 2018:52

personuppgifter fÄr behandlas bara med stöd av uttryckligt samtycke eller, i frÄga om uppgifter om hÀlsa eller personuppgifter som av- slöjar etniskt ursprung, om projektet har prövats och godkÀnts vid en etisk prövning. Behandling av uppgifter om hÀlsa eller person- uppgifter som avslöjar etniskt ursprung om fÀrre Àn 100 personer i ett projekt behöver dock inte genomgÄ etisk prövning.

Uppgifter om lagövertrÀdelser

I vissa projekt kan det finnas behov av att behandla uppgifter om lagövertrÀdelser. Behov kan exempelvis uppstÄ i analyser av social- tjÀnstens arbete med unga lagövertrÀdare eller vÄrdpÄföljder. Utred- ningen anser, trots att det inte finns nÄgot krav pÄ sÀrskilda skyddsÄtgÀrder vid myndigheters behandling av uppgifter om lag- övertrÀdelser enligt dataskyddsförordningen, att det Àr rimligt att Àven lÄta behandling av uppgifter om lagövertrÀdelser omfattas av kravet pÄ extern etisk prövning. Om den registrerade har lÀmnat sitt samtycke till behandlingen av personuppgifter, ska nÄgon sÄdan prövning dock inte krÀvas. Utredningen föreslÄr dÀrför en bestÀm- melse som innebÀr att uppgifter om lagövertrÀdelser fÄr behandlas bara med stöd av samtycke eller om projektet har prövats och god- kÀnts vid en etisk prövning. Behandling av uppgifter om lagöver- trÀdelser om fÀrre Àn 100 personer i ett projekt behöver dock inte genomgÄ etisk prövning.

Behandling av andra personuppgifter i etikgodkÀnda projekt

Det Àr utredningens uppfattning att en extern etisk prövning utgör en garanti för att samtlig behandling av personuppgifter, inte enbart behandling av kÀnsliga personuppgifter och uppgifter om lagöver- trÀdelser, inom ett godkÀnt projekt Àr vÀlgrundad och proportioner- lig. Har projektet vid prövningen ansetts motivera behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser, Àr det ocksÄ befogat att behandla andra personuppgifter i projektet. Ut- redningen föreslÄr dÀrför en bestÀmmelse som innebÀr att andra personuppgifter Àn sÄdana som Àr kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser fÄr behandlas utan de registrerades

18

SOU 2018:52

Sammanfattning

samtycke i ett projekt, om projektet har prövats och godkÀnts vid en etisk prövning.

Möjlighet till etisk prövning för att ett projekt ska kunna genomföras

Vissa projekt kan omfatta enbart behandling av personuppgifter som inte Àr kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser. Om behandlingen av dessa personuppgifter Àr sÄ omfattande att den fÄr anses innebÀra en kartlÀggning av enskildas personliga förhÄll- anden och ett sÄdant betydande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen, Àr den inte tillÄten utan lagstöd. Utredningen föreslÄr dÀrför att sÄdana projekt som myndigheten bedömer inte kan genomföras pÄ grund av den nÀmnda bestÀmmelsen ska kunna genomgÄ en extern etisk prövning och att behandlingen av personuppgifterna ska vara tillÄten om pro- jektet godkÀnns vid en sÄdan prövning.

Prövningen av etiska frÄgor

Utredningens föreslĂ„r i första hand att prövningen av myndighetens projekt ska göras av Etikprövningsmyndigheten eller Överklagande- nĂ€mnden för etikprövning. Utredningen finner att Etikprövnings- myndigheten och ÖverklagandenĂ€mnden för etikprövning har den sammansĂ€ttning, kompetens och organisation som krĂ€vs för att hantera ansökningar om etikprövning. Om den etablerade etikpröv- ningsorganisationen inte anses lĂ€mplig, bör prövningen utföras av ett annat sĂ€rskilt organ som Ă€r en statlig myndighet eller ett organ som Ă€r knutet till en annan statlig myndighet Ă€n Myndigheten för vĂ„rd- och omsorgsanalys. Det sĂ€rskilda organet för prövning av etiska frĂ„gor bör ha företrĂ€dare för sĂ„vĂ€l det allmĂ€nna som forsk- ningen, och kompetens att pröva etiska frĂ„gestĂ€llningar.

Etikprövningsmyndighetens prövning av myndighetens projekt ska göras med tillÀmpning av etikprövningslagen pÄ motsvarande sÀtt och utifrÄn motsvarande kriterier som vid bedömningen av projekt som avser forskning. I stÀllet för att, som nÀr det gÀller forskning, vÀga riskerna mot det vetenskapliga vÀrdet, ska myndig- heten vÀga riskerna med behandlingen av personuppgifter mot det

19

Sammanfattning

SOU 2018:52

samhÀlleliga intresset av den kunskap som projektet kan förvÀntas resultera i. Om ett annat sÀrskilt organ gör prövningen, ska ett projekt fÄ godkÀnnas bara om behandlingen av personuppgifter i projektet Àr nödvÀndig och om samhÀllsintresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. Ett godkÀnnande ska fÄ förenas med villkor. Efter prövningen mÄste myndigheten följa de eventuella villkor som godkÀnnandet förenats med samt övrig gÀll- ande rÀtt. Regeringen föreslÄs fÄ meddela föreskrifter om det sÀr- skilda organet.

SkyddsÄtgÀrder

ÄndamĂ„lsbestĂ€mning för varje projekt

Utredningen gör bedömningen att det inte Àr möjligt att för myn- dighetens verksamhet i lag faststÀlla tillrÀckligt avgrÀnsade och förut- sÀgbara ÀndamÄl för den behandling av personuppgifter som ska vara tillÄten. I stÀllet för att i lagen ange ÀndamÄl föreslÄr utredningen dÀrför att myndighetschefen ska besluta om sÀrskilda ÀndamÄl för behandlingen av personuppgifter i varje enskilt uppföljnings- och analysprojekt. Utan ett sÄdant beslut ska personuppgifter inte fÄ behandlas i uppföljnings- och analysverksamheten. Beslutet ska offentliggöras pÄ lÀmpligt sÀtt.

Utredningen föreslÄr att för att personuppgifter som har samlats in för ett beslutat ÀndamÄl i ett projekt ska fÄ behandlas för ett annat ÀndamÄl, krÀvs att myndighetschefen beslutar om det. Innan beslut fattas mÄste beaktas att personuppgifter som har samlats in för ett visst ÀndamÄl i ett projekt fÄr anvÀndas för andra ÀndamÄl bara om det Àr förenligt med tillÀmpliga regler, t.ex. den s.k. finalitetsprin- cipen och kravet pÄ etisk prövning.

Personuppgifter som fÄr behandlas

I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslÄr utredningen att myndighetschefen, utöver att faststÀlla sÀrskilda ÀndamÄl för behandlingen av personuppgifter, för varje projekt Àven ska besluta om vilka kategorier av personuppgifter som

20

SOU 2018:52

Sammanfattning

fÄr behandlas om vilka kategorier av personer. Utan ett sÄdant beslut fÄr personuppgifter inte behandlas i verksamheten med uppföljning och analys. Beslutet ska offentliggöras pÄ lÀmpligt sÀtt.

Pseudonymisering

Pseudonymiserade uppgifter Àr uppgifter som inte direkt kan hÀn- föras till en person men som kan Äteridentifieras med hjÀlp av kom- pletterande uppgifter som förvaras separat. Pseudonymisering nÀmns sÀrskilt i artikel 25 och 32 i dataskyddsförordningen som ett exem- pel pÄ en lÀmplig teknisk och organisatorisk ÄtgÀrd som den per- sonuppgiftsansvarige ska vidta.

Utredningen föreslÄr ett krav pÄ pseudonymisering av de person- uppgifter som myndigheten behandlar inom ramen för den före- slagna lagen. Om ÀndamÄlet med behandlingen av personuppgifter i nÄgot fall inte kan uppnÄs med pseudonymiserade uppgifter, fÄr myndighetschefen dock möjlighet att i ett enskilt fall besluta om att personuppgifter inte behöver pseudonymiseras. Efter pseudonymi- sering ska personuppgifter göras identifierbara igen endast om det finns starka skÀl för detta. För att tydliggöra hanteringen ska myndighetschefen besluta om riktlinjer och villkor för nÀr och hur pseudonymiserade personuppgifter fÄr göras identifierbara. Myndig- hetschefen ska dessutom införa ett förbud mot att, i andra fall Àn de som uttryckligen framgÄr av de av myndighetschefen beslutade rikt- linjerna och villkoren, sammanföra pseudonymiserade personupp- gifter med personuppgifter som Àr direkt hÀnförliga till individer.

Behörighetsstyrning

Myndigheten ska begrÀnsa behörigheten att ta del av personupp- gifter till vad som behövs för att den enskilde tjÀnstemannen ska kunna fullgöra sina arbetsuppgifter. För att det ska bli tydligt vad som gÀller i frÄga om behörighetstilldelning ska myndighetschefen bestÀmma villkoren för tilldelning av behörighet för Ätkomst till personuppgifter.

För att kunna upptÀcka och ÄtgÀrda obehörig Ätkomst som inte förhindrats av tekniska begrÀnsningar ska Ätkomsten till personupp- gifter registreras, lÀmpligen i en logg. Det ska med hjÀlp av loggen

21

Sammanfattning

SOU 2018:52

ocksÄ finnas en funktion vid myndigheten som regelbundet kon- trollerar om nÄgon obehörig Ätkomst till personuppgifterna har före- kommit.

Gallring och bevarande

Personuppgifter ska, i enlighet med principen om lagringsmini- mering i artikel 5.1 e i dataskyddsförordningen, inte förvaras i en form som möjliggör identifiering av den registrerade under en lÀngre tid Àn vad som Àr nödvÀndigt för de ÀndamÄl för vilka personupp- gifterna behandlas. Utredningen föreslÄr att myndigheten som huvud- regel ska gallra personuppgifter senast sex mÄnader efter att ett projekt Àr slutfört. För eventuella behov av undantag frÄn huvud- regeln föreslÄr utredningen att regeringen eller den myndighet som regeringen bestÀmmer (Riksarkivet) ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att gallring ska ske senast vid en viss tidpunkt.

Regeringen eller den myndighet regeringen bestĂ€mmer ska dess- utom ha möjlighet att besluta att personuppgifter som ingĂ„r i ett projekt som Ă€r slutfört – och som myndigheten dĂ€rför Ă€r skyldig att gallra – ska fĂ„ bevaras för arkivĂ€ndamĂ„l av allmĂ€nt intresse, veten- skapliga eller historiska forskningsĂ€ndamĂ„l eller statistiska Ă€ndamĂ„l.

UtlÀmnande av personuppgifter frÄn Socialstyrelsen och Statistiska centralbyrÄn till Myndigheten för vÄrd- och omsorgsanalys

För att kunna fullgöra sitt uppdrag behöver Myndigheten för vÄrd- och omsorgsanalys samla in personuppgifter, Àven vissa kÀnsliga per- sonuppgifter, frÄn andra aktörer Àn den registrerade sjÀlv. Utred- ningen har haft i uppdrag att sÀrskilt bedöma om myndigheten kan fÄ nödvÀndiga personuppgifter frÄn Socialstyrelsen och Statistiska centralbyrÄn. De aktuella personuppgifterna Àr hos Socialstyrelsen och Statistiska centralbyrÄn skyddade av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen, s.k. statistiksekretess. För person- uppgifterna gÀller alltsÄ som huvudregel absolut sekretess. Undantag

22

SOU 2018:52

Sammanfattning

gÀller dock för uppgift som behövs för forsknings- eller statistik- ÀndamÄl och uppgift som inte genom namn, annan identitets- beteckning eller liknande förhÄllande Àr direkt hÀnförlig till den en- skilde, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men. Utredningen bedömer att Socialstyrelsen och Statistiska centralbyrÄn kan lÀmna ut nödvÀndiga personuppgifter till Myndigheten för vÄrd- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl (24 kap. 8 § tredje stycket offentlighets- och sekre- tesslagen). Socialstyrelsen och Statistiska centralbyrÄn kan ocksÄ, med stöd av samma bestÀmmelse, lÀmna ut personuppgifter som inte Àr direkt hÀnförliga till den enskilde, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men. De berörda myndigheterna delar utredningens bedömningar. Eventuella hinder mot utlÀmnande kan vanligtvis lösas genom en dialog mellan utlÀmnande och mottagande myndighet. Utredningen lÀmnar sÄledes inte nÄgot författningsförslag i denna del.

IkrafttrÀdande

Utredningen föreslÄr att den nya lagstiftningen ska trÀda i kraft den 1 juli 2019. NÄgra sÀrskilda övergÄngsbestÀmmelser bedöms inte be- hövas.

Konsekvenser

Myndigheten för vÄrd- och omsorgsanalys kan behöva vidta ÄtgÀrder för att anpassa verksamheten utifrÄn de föreslagna kraven pÄ skydds- ÄtgÀrder och utbilda medarbetare. Eventuella kostnader för detta bedöms dock rymmas inom befintliga anslag. Inte heller kravet pÄ etikprövning bedöms medföra nÄgon ökad kostnad för myndig- heten.

Kravet pĂ„ etikprövning medför att Etikprövningsmyndigheten kommer att pröva ett nĂ„got ökat antal ansökningar om etikprövning och att ÖverklagandenĂ€mnden för etikprövning kan komma att fĂ„ en marginell ökning av antalet Ă€renden. Förslagen bedöms dock inte medföra annat Ă€n en sĂ„dan marginell ökning av Etikprövnings-

23

Sammanfattning

SOU 2018:52

myndighetens och ÖverklagandenĂ€mnden för etikprövnings kost- nader att den ryms inom befintliga anslag, jĂ€mte de avgifter som fĂ„r tas ut.

I övrigt förvÀntas förslagen inte fÄ nÄgra negativa konsekvenser.

24

1 Författningsförslag

1.1Förslag till lag om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys

HÀrigenom föreskrivs följande.

Lagens tillÀmpningsomrÄde

1 § Denna lag gÀller vid behandling av personuppgifter i verksam- het vid Myndigheten för vÄrd- och omsorgsanalys som avser upp- följning och analys av verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och med- borgarperspektiv.

Lagen gÀller endast om behandlingen Àr helt eller delvis automati- serad eller om personuppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sök- ning eller sammanstÀllning enligt sÀrskilda kriterier.

BestĂ€mmelserna i 3 och 9–11 §§ gĂ€ller Ă€ven vid behandling av uppgifter om avlidna personer.

FörhÄllandet till annan reglering

2 § Denna lag innehÄller bestÀmmelser som kompletterar Europa- parlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

25

Författningsförslag

SOU 2018:52

Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Vid forskning gÀller lagen (2003:460) om etikprövning av forsk- ning som avser mÀnniskor.

ÄndamĂ„lsbestĂ€mning

3 § Myndighetschefen ska för varje projekt besluta om sÀrskilda ÀndamÄl för behandlingen av personuppgifter och vilka kategorier av personuppgifter som fÄr behandlas om vilka kategorier av personer. Utan ett sÄdant beslut fÄr personuppgifter inte behandlas.

För att personuppgifter som har samlats in för ett beslutat Ànda- mÄl i ett projekt ska fÄ behandlas för ett annat ÀndamÄl, krÀvs att myndighetschefen beslutar om det.

KĂ€nsliga personuppgifter

4 § SÄdana sÀrskilda kategorier av personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr behandlas i ett projekt bara

1.med de registrerades uttryckliga samtycken, med stöd av arti- kel 9.2 a i samma förordning, eller

2.sÄvitt avser uppgifter om hÀlsa eller personuppgifter som av- slöjar etniskt ursprung, om projektet har prövats och godkÀnts en- ligt 8 §, med stöd av artikel 9.2 g, h eller j i samma förordning.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ur- sprung om fÀrre Àn 100 personer inte prövas och godkÀnnas enligt 8 §.

26

SOU 2018:52

Författningsförslag

Uppgifter om lagövertrÀdelser

5 § Personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihets- berövanden (uppgifter om lagövertrÀdelser) fÄr behandlas i ett pro- jekt bara

1.med de registrerades samtycken, eller

2.om projektet har prövats och godkÀnts enligt 8 §.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om lagövertrÀdelser om fÀrre Àn 100 personer inte prövas och godkÀnnas enligt 8 §.

Övriga personuppgifter i godkĂ€nda projekt

6 § NÀr sÄdana personuppgifter som avses i 4 och 5 §§, efter pröv- ning och godkÀnnande enligt 8 § fÄr behandlas i ett projekt, fÄr ocksÄ andra personuppgifter behandlas utan de registrerades samtycken i projektet.

Prövning av projekt som inte innefattar kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser

7 § Om myndigheten bedömer att ett projekt, som endast inne- fattar behandling av andra personuppgifter Àn sÄdana som avses i 4 och 5 §§, inte kan genomföras pÄ grund av 2 kap. 6 § andra stycket regeringsformen, fÄr personuppgifterna behandlas om projektet har prövats och godkÀnts enligt 8 §.

27

Författningsförslag

SOU 2018:52

Prövningen av etiska frÄgor

 

ALTERNATIV A

 

ALTERNATIV B

 

 

 

 

 

8 §

Prövningen enligt 4 § 2, 5 § 2

Prövningen enligt 4 § 2, 5 § 2

och 7 § ska göras av Etikpröv-

och 7 § ska göras av ett sÀrskilt

ningsmyndigheten

eller

Över-

organ för prövning av etiska

klagandenÀmnden

för etikpröv-

frÄgor som har företrÀdare för

ning. Vid prövning och god-

sÄvÀl det allmÀnna som forsk-

kÀnnande

ska

bestÀmmelserna

ningen och som Àr en statlig myn-

om forskning

i

6–11 §§

lagen

dighet eller Àr knutet till en annan

(2003:460) om etikprövning av

statlig myndighet Àn Myndig-

forskning som avser mÀnniskor

heten för vÄrd- och omsorgs-

tillÀmpas

pÄ

motsvarande sÀtt.

analys.

I frÄga om

handlÀggningsord-

 

ningen för prövning och god- kĂ€nnande samt om överklagande tillĂ€mpas bestĂ€mmelserna i 24– 33 samt 36 och 37 §§ samma lag.

Ett projekt fÄr godkÀnnas bara om behandlingen av personupp- gifter i projektet Àr nödvÀndig och om samhÀllsintresset av pro- jektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behand- lingen kan innebÀra. Ett godkÀn- nande fÄr förenas med villkor.

Regeringen meddelar före- skrifter om organ som avses i första stycket.

28

SOU 2018:52

Författningsförslag

SkyddsÄtgÀrder

9 § De personuppgifter som behandlas i ett projekt ska pseudo- nymiseras.

Myndighetschefen fÄr för ett sÀrskilt fall besluta om undantag frÄn första stycket, i den utstrÀckning ÀndamÄlet med behandlingen inte kan uppnÄs med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för nÀr och hur pseudonymiserade personuppgifter fÄr göras identifierbara och förbud mot att i andra fall sammanföra sÄdana personuppgifter med personuppgifter som Àr direkt hÀnförliga till individer.

10 § Behörighet för Ätkomst till personuppgifter ska begrÀnsas till vad som behövs för att den enskilde tjÀnstemannen ska kunna full- göra sina arbetsuppgifter.

Myndighetschefen ska bestĂ€mma villkoren för tilldelning av be- hörighet för Ă„tkomst till personuppgifter. Åtkomsten till person- uppgifter ska registreras och det ska finnas en funktion vid myn- digheten som regelbundet kontrollerar registreringarna i syfte att upptĂ€cka och Ă„tgĂ€rda obehörig Ă„tkomst.

Gallring

11 § Personuppgifter som behandlats i ett projekt ska gallras senast sex mÄnader efter att projektet Àr slutfört, om inte regeringen eller den myndighet som regeringen bestÀmmer har meddelat före- skrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter fÄr bevaras för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl.

Denna lag trÀder i kraft den 1 juli 2019.

29

Författningsförslag

SOU 2018:52

1.2Förslag till lag om Àndring i lagen (2003:460) om etikprövning av forskning som avser mÀnniskor

HÀrigenom föreskrivs i frÄga om lagen (2003:460) om etikprövning av forskning som avser mÀnniskor att 24 och 31 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

24 §1

Etikprövningsmyndigheten ska

Etikprövningsmyndigheten ska

pröva ansökningar som anges i

pröva

23 §.

1. ansökningar som anges i

23 §,

2. vissa frÄgor i samband med inrÀttande av biobanker enligt lagen (2002:297) om biobanker i hÀlso- och sjukvÄrden m.m., och

3. vissa frÄgor enligt lagen (2019:xx) om behandling av per- sonuppgifter vid Myndigheten för vÄrd- och omsorgsanalys.

Myndigheten ska Àven pröva vissa frÄgor i samband med in- rÀttandet av biobanker enligt lagen (2002:297) om biobanker i hÀlso- och sjukvÄrden m.m.

31 §2

ÖverklagandenĂ€mnden för etikprövning ska pröva överklagan- den av sĂ„dana beslut av Etikprövningsmyndigheten som anges i 36 §.

NÀmnden ska Àven pröva Àren-

NÀmnden ska Àven pröva Àren-

den som Etikprövningsmyndig-

den som Etikprövningsmyndig-

heten har lÀmnat över enligt 29 §

heten har lÀmnat över enligt 29 §

och utöva tillsyn enligt 34 och

och utöva tillsyn enligt 34 och

35 §§. NÀmnden har ocksÄ till

35 §§. NÀmnden har ocksÄ till

1Senaste lydelse SFS 2018:147.

2Senaste lydelse SFS 2018:147.

30

SOU 2018:52

Författningsförslag

uppgift att pröva vissa frÄgor i samband inrÀttande av biobanker enligt lagen (2002:297) om bio- banker i hÀlso- och sjukvÄrden m.m.

uppgift att pröva vissa frÄgor i samband inrÀttande av biobanker enligt lagen (2002:297) om bio- banker i hÀlso- och sjukvÄrden

m.m.och vissa frÄgor enligt lagen (2019:xx) om behandling av per- sonuppgifter vid Myndigheten för vÄrd- och omsorgsanalys.

Denna lag trÀder i kraft den 1 juli 2019.

31

Författningsförslag

SOU 2018:52

1.3Förslag till förordning om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys

HÀrigenom föreskrivs följande.

1 § I denna förordning finns kompletterande föreskrifter om sÄdan behandling av personuppgifter som omfattas av lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vÄrd- och om- sorgsanalys.

2 § Myndigheten för vÄrd- och omsorgsanalys ska pÄ lÀmpligt sÀtt offentliggöra sÄdana beslut om ÀndamÄl och begrÀnsningar av vilka kategorier av personuppgifter om vilka kategorier av personer som fÄr behandlas i ett visst projekt som avses i 3 § första stycket lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys.

ALTERNATIV A

ALTERNATIV B

3 §

Ansökan om prövning enligt 8 § lagen (2019:xx) om behand- ling av personuppgifter vid Myn- digheten för vÄrd- och omsorgs- analys ska göras hos Etikpröv- ningsmyndighetens verksamhets- region i Stockholm.

Ansökan om prövning enligt 8 § lagen (2019:xx) om behand- ling av personuppgifter vid Myn- digheten för vÄrd- och omsorgs- analys ska göras hos [XX].

4 § Riksarkivet fÄr meddela sÄdana föreskrifter och beslut i enskilda fall om gallring och bevarande som avses i 11 § lagen (2019:xx) om behandling av personuppgifter vid Myndigheten för vÄrd- och om- sorgsanalys.

Denna förordning trÀder i kraft den 1 juli 2019.

32

2Utredningsarbetet och betÀnkandet

2.1Utredningsdirektiven

I utredningens utredningsdirektiv (dir. 2017:67) anges följande.

Utredaren fÄr i tillÀggsuppdrag att utreda behovet av en sÀrskild för- fattning med bestÀmmelser om personuppgiftsbehandling för Myndig- heten för vÄrd- och omsorgsanalys. Om sÄdana behov finns, ska utred- aren lÀmna behövliga författningsförslag. Utredningstiden förlÀngs nu t.o.m. den 15 januari 2018 nÀr det gÀller tillÀggsuppdraget.

Enligt tillÀggsdirektiv (dir. 2018:1) ska utredaren Àven analysera de rÀttsliga möjligheterna för Socialstyrelsen och Statistiska central- byrÄn att lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgsanalys för anvÀndning i myndighetens analysprojekt och vid behov lÀmna författningsförslag som möjliggör nödvÀndigt uppgifts- utlÀmnande. Genom tillÀggsdirektiven förlÀngdes ocksÄ utrednings- tiden till och med den 30 juni 2018.

2.2Utredningsarbetet

Utredningen har bedrivits pÄ sedvanligt sÀtt med sammantrÀden och andra kontakter med experter och sakkunniga samt andra berörda. Sammanlagt har fem utredningssammantrÀden hÄllits för arbetet med detta betÀnkande.

För att undersöka möjligheten för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut sekretessbelagda personuppgifter till Myn- digheten för vÄrd- och omsorgsanalys gjorde den senare myndig- heten, inom ramen för utredningsarbetet, fiktiva ansökningar om utlÀmnande av personuppgifter för anvÀndning i myndighetens ana- lysprojekt, som sedan fiktivt prövades av Socialstyrelsen respektive

33

Utredningsarbetet och betÀnkandet

SOU 2018:52

Statistiska centralbyrÄn. Prövningarna resulterade efter viss dialog mellan myndigheterna i bedömningen att uppgifterna kunde lÀmnas ut till Myndigheten för vÄrd- och omsorgsanalys.

2.3BetÀnkandets disposition

BetÀnkandet Àr indelat i tre delar, förutom sammanfattningen, för- fattningsförslagen och detta kapitel.

Den första delen, som omfattar kapitel 3–6, innehĂ„ller en allmĂ€n bakgrund. Kapitel 3 innehĂ„ller en kort beskrivning av gĂ€llande rĂ€tt. I kapitel 4 finns det en beskrivning av Myndigheten för vĂ„rd- och omsorgsanalys, dess arbetsuppgifter och arbetsmetoder. I kapitlet redogörs ocksĂ„ för myndighetens behov av att behandla personupp- gifter. I kapitel 5 görs en översiktlig genomgĂ„ng av andra analysmyn- digheter och deras författningsstöd för att behandla personuppgifter. I kapitel 6 redogörs för möjligheterna att lĂ€mna ut personuppgifter till Myndigheten för vĂ„rd- och omsorgsanalys.

I betĂ€nkandets andra del, kapitel 7–17, finns utredningens över- vĂ€ganden och förslag. I kapitel 7 redovisas vilka möjligheter Myn- digheten för vĂ„rd- och omsorgsanalys har att behandla personupp- gifter enbart med stöd av dataskyddsförordningen. I kapitel 8 finns utredningens övervĂ€ganden om behovet av en lagreglering om be- handling av personuppgifter vid Myndigheten för vĂ„rd- och om- sorgsanalys. Den nya lagens tillĂ€mpningsomrĂ„de och förhĂ„llande till annan lagstiftning behandlas i kapitel 9. I kapitel 10–13 redogör ut- redningen för sina slutsatser kring behovet av reglering av behand- ling av kĂ€nsliga personuppgifter, uppgifter om lagövertrĂ€delser och övriga personuppgifter. Kapitel 10 innehĂ„ller en kort redogörelse för hur etikprövningen av myndighetens projekt Ă€r avsedd att gĂ„ till. Utredningens övervĂ€ganden kring vilka skyddsĂ„tgĂ€rder som behövs finns i kapitel 14. Gallring och bevarande berörs i kapitel 15. I kapi- tel 16 gör utredningen en bedömning av om lagförslaget utgör en tillĂ„ten begrĂ€nsning av grundlagsskyddet mot betydande intrĂ„ng i den personliga integriteten. Utredningens övervĂ€ganden avseende Socialstyrelsens och Statistiska centralbyrĂ„ns möjligheter att lĂ€mna ut personuppgifter till Myndigheten för vĂ„rd-och omsorgsanalys finns i kapitel 17.

34

SOU 2018:52

Utredningsarbetet och betÀnkandet

Slutligen finns i betĂ€nkandets tredje del, kapitel 18–20, de av- slutande kapitlen. I kapitel 18 berörs ikrafttrĂ€dande. Kapitel 19 inne- hĂ„ller en beskrivning av konsekvenserna av utredningens förslag. Författningskommentarer finns i kapitel 20.

35

BAKGRUND

3 GÀllande rÀtt

3.1Europakonventionen

Artikel 8 i den europeiska konventionen om skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna (Europakonvention- en) avser rÀtt till skydd för privat- och familjeliv. Artikeln lyder en- ligt följande:

1.Var och en har rÀtt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2.Offentlig myndighet fÄr inte inskrÀnka Ätnjutande av denna rÀttig- het annat Àn med stöd av lag och om det i ett demokratiskt sam- hÀlle Àr nödvÀndigt med hÀnsyn till statens sÀkerhet, den allmÀnna sÀkerheten, landets ekonomiska vÀlstÄnd eller till förebyggande av oordning eller brott eller till skydd för hÀlsa eller moral eller för andra personers fri- och rÀttigheter.

Artikel 8 Ă€r tillĂ€mplig pĂ„ behandling av personuppgifter men om- fattar inte all slags behandling av personuppgifter – frĂ„gan mĂ„ste gĂ€lla privatliv, familjeliv, hem eller korrespondens. Europakonven- tionen tar i första hand sikte pĂ„ Ă„tgĂ€rder av det allmĂ€nna.

3.2Dataskyddskonventionen

EuroparĂ„dets ministerkommittĂ© antog Ă„r 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person- uppgifter (dataskyddskonventionen). Dataskyddskonventionen trĂ€dde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EU- medlemskapet. Även övriga medlemsstater i EU Ă€r anslutna till dataskyddskonventionen. Dess syfte Ă€r att sĂ€kerstĂ€lla den enskildes rĂ€tt till personlig integritet och att förbĂ€ttra förutsĂ€ttningarna för

39

GÀllande rÀtt

SOU 2018:52

ett fritt informationsflöde över grÀnserna. TillÀmpningsomrÄdet Àr enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmÀn och enskild verksamhet (artikel 3).

Dataskyddskonventionen har sju kapitel. Den centrala delen Ă€r kapitel II (artiklarna 4–11) som innehĂ„ller de grundlĂ€ggande princi- perna för dataskydd. Konventionsstaterna ska vidta nödvĂ€ndiga Ă„t- gĂ€rder i sin nationella lagstiftning för att ge principerna effekt (artikel 4). Det handlar bl.a. om att personuppgifter ska inhĂ€mtas och behandlas pĂ„ ett korrekt sĂ€tt bara nĂ€r det Ă€r lagligt och för sĂ€r- skilt angivna Ă€ndamĂ„l, att personuppgifterna ska vara relevanta med hĂ€nsyn till Ă€ndamĂ„let och att personuppgifter ska vara riktiga och upp- daterade vid behov (artikel 5). Uppgifter om ras, politiska Ă„sikter, religiös tro eller annan övertygelse, hĂ€lsa, sexualliv samt brott fĂ„r inte behandlas automatiserat, om inte den nationella lagen ger ett Ă€nda- mĂ„lsenligt skydd (artikel 6). LĂ€mpliga sĂ€kerhetsĂ„tgĂ€rder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillĂ„ten förstör- else m.m. (artikel 7). Vidare föreskrivs bl.a. att alla som Ă€r regi- strerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att fĂ„ felaktiga uppgifter rĂ€ttade (artikel 8).

De grundlÀggande principerna ger ett minimiskydd och bestÀm- melserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd Àn det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat fÄr dock, enligt artikel 12 i kapi- tel III, inte hindra grÀnsöverskridande överföring av personupp- gifter till en annan konventionsstat bara av skÀl som rör integritets- skydd. Avvikelser kan göras Àven frÄn minimiskyddet enligt data- skyddskonventionen under förutsÀttning att avvikelserna anges i lag och Àr nödvÀndiga i ett demokratiskt samhÀlle för att bl.a. skydda den registrerades eller andra personers fri- och rÀttigheter (artikel 9).

Kapitel III innehÄller bestÀmmelser om behandlingen i nationell lag av flödet av personuppgifter över grÀnserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehÄller bestÀmmelser om hur man kan ansluta sig till konventionen och hur den kan Àndras.

Dataskyddskonventionen Àr för nÀrvarande föremÄl för en över- syn.

40

SOU 2018:52

GÀllande rÀtt

3.3Dataskyddsdirektivet

Den allmÀnna regleringen om behandling av personuppgifter inom EU fanns tidigare i Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter, nedan kallat dataskyddsdirektivet. Dataskydds- direktivet syftade till att garantera en hög och i alla medlemsstater likvÀrdig skyddsnivÄ nÀr det gÀllde enskilda personers fri- och rÀttig- heter med avseende pÄ behandling av personuppgifter, samt att frÀmja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet var direkt bindande för medlemsstaterna i frÄga om det resultat som skulle uppnÄs. Medlemsstaterna be- stÀmde dock sjÀlva pÄ vilket sÀtt dataskyddsdirektivet skulle inför- livas i den nationella lagstiftningen och defick, inom den ram som angavs i dataskyddsdirektivet, nÀrmare precisera villkoren för nÀr behandling av personuppgifter fick förekomma. SÄdana preciseringar fick inte hindra det fria flödet av personuppgifter inom unionen.

Dataskyddsdirektivet upphörde att gÀlla den 25 maj 2018 i sam- band med att dataskyddsförordningen började tillÀmpas, se avsnitt 3.4.

En redogörelse för bestÀmmelserna i dataskyddsdirektivet finns i utredningens första betÀnkande, SOU 2017:66.

3.4Dataskyddsförordningen

3.4.1Inledning

Den 27 april 2016 antogs Europaparlamentets och rÄdets förordning (EU) 2016/679 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn data- skyddsförordning), nedan kallad dataskyddsförordningen. Data- skyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och började tillÀmpas den 25 maj 2018. Den ersatte dÄ dataskyddsdirektivet. Det huvudsakliga syftet med dataskyddsförordningen Àr att ytterligare harmonisera och effektivi- sera skyddet för personuppgifter för att förbÀttra den inre mark- nadens funktion och öka enskildas kontroll över sina personuppgifter.

41

GÀllande rÀtt

SOU 2018:52

Dataskyddsförordningen baseras till stor del pÄ dataskyddsdirek- tivets struktur och innehÄll men det har Àven tillkommit nÄgra ny- heter sÄsom en utökad informationsskyldighet, administrativa sank- tionsavgifter och inrÀttandet av Europeiska dataskyddsstyrelsen. Data- skyddsförordningen Àr direkt tillÀmplig i medlemsstaterna, men bÄde förutsÀtter och möjliggör kompletterande nationella bestÀmmelser av olika slag.

3.4.2Materiell och territoriell avgrÀnsning

Dataskyddsförordningen Ă€r – precis som dataskyddsdirektivet – tillĂ€mplig pĂ„ helt eller delvis automatiserad behandling av person- uppgifter och pĂ„ manuell behandling av personuppgifter, om upp- gifterna ingĂ„r i eller kommer att ingĂ„ i ett register. Vissa behand- lingar av personuppgifter Ă€r dock uttryckligen undantagna frĂ„n tillĂ€mpningsomrĂ„det. Det rör sig om behandling som sker inom verksamhet som inte omfattas av EU-rĂ€tten (t.ex. försvar och natio- nell sĂ€kerhet), behandling som sker inom EU:s gemensamma utrikes- och sĂ€kerhetspolitik, behandling som utförs av en fysisk person och som Ă€r av rent privat natur samt behandling som sker inom brotts- bekĂ€mpande verksamhet (artikel 2).

Behandlingar av personuppgifter som utförs inom brottsbekÀmp- ande verksamhet omfattas i stÀllet av ett sÀrskilt EU-direktiv, Europa- parlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behöriga myn- digheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkstÀlla straffrÀttsliga pÄ- följder, och det fria flödet av sÄdana uppgifter och om upphÀvande av rÄdets rambeslut 2008/977/RIF.

För att dataskyddsförordningen ska vara tillÀmplig krÀvs att de personuppgiftsansvariga Àr etablerade i EU/EES eller att de behand- lar personuppgifter i samband med att de erbjuder varor och tjÀnster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av mÀnniskors beteende inom EU/EES (artikel 3).

42

SOU 2018:52

GÀllande rÀtt

3.4.3Definitioner

Dataskyddsförordningen innehÄller i artikel 4 en rad definitioner av olika begrepp som anvÀnds i dataskyddsförordningen. HÀr anges nÄgra av definitionerna.

Personuppgifter Àr varje upplysning som avser en identifierad eller identifierbar fysisk person (kallad registrerad). Som identifikatorer anges förutom namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer Àven en eller flera faktorer som Àr speci- fika för den fysiska personens fysiska, fysiologiska, genetiska, psy- kiska, ekonomiska, kulturella eller sociala identitet.

Behandling (av personuppgifter) Àr en ÄtgÀrd eller kombination av ÄtgÀrder betrÀffande personuppgifter eller uppsÀttningar av per- sonuppgifter, oberoende av om de utförs automatiserat eller inte, sÄsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller Àndring, framtagning, lÀsning, anvÀndning, utlÀm- ning genom överföring, spridning eller tillhandahÄllande pÄ annat sÀtt, justering eller sammanförande, begrÀnsning, radering eller för- störing.

Profilering Àr varje form av automatisk behandling av person- uppgifter som bestÄr i att dessa personuppgifter anvÀnds för att be- döma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsÀga denna fysiska persons arbetspresta- tioner, ekonomiska situation, hÀlsa, personliga preferenser, intressen, pÄlitlighet, beteende, vistelseort eller förflyttningar.

Register Àr en strukturerad samling av personuppgifter som Àr tillgÀnglig enligt sÀrskilda kriterier, oavsett om samlingen Àr centra- liserad, decentraliserad eller spridd pÄ grundval av funktionella eller geografiska förhÄllanden.

Personuppgiftsansvarig Àr en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensam eller tillsam- mans med andra bestÀmmer ÀndamÄlen och medlen för behand- lingen av personuppgifter. Om ÀndamÄlen och medlen för behand- lingen lagts fast i medlemsstaternas nationella rÀtt, fÄr den nationella rÀtten ocksÄ peka ut vem som Àr personuppgiftsansvarig.

PersonuppgiftsbitrÀde Àr en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personupp- gifter för den personuppgiftsansvariges rÀkning.

43

GÀllande rÀtt

SOU 2018:52

Samtycke Àr varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekrÀftande handling, godtar be- handling av personuppgifter som rör honom eller henne.

Personuppgiftsincident Àr en sÀkerhetsincident som leder till oav- siktlig eller olaglig förstöring, förlust eller Àndring eller till obehörigt röjande av eller obehörig Ätkomst till de personuppgifter som överförts, lagrats eller pÄ annat sÀtt behandlats.

Genetiska uppgifter Àr alla personuppgifter som rör nedÀrvda eller förvÀrvade genetiska kÀnnetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hÀlsa och vilka framför allt hÀrrör frÄn en analys av ett biologiskt prov frÄn den fysiska personen i frÄga.

Biometriska uppgifter Àr personuppgifter som erhÄllits genom en sÀrskild teknisk behandling som rör en fysisk persons fysiska, fysio- logiska eller beteendemÀssiga kÀnnetecken och som möjliggör eller bekrÀftar identifieringen av denna fysiska person, sÄsom ansiktsbilder eller fingeravtrycksuppgifter.

Uppgifter om hÀlsa Àr personuppgifter som rör en fysisk persons fysiska eller psykiska hÀlsa, inbegripet tillhandahÄllande av hÀlso- och sjukvÄrdstjÀnster, vilka ger information om dennes hÀlsostatus.

3.4.4GrundlÀggande principer

För all behandling av personuppgifter enligt dataskyddsförordningen gĂ€ller samma övergripande principer som enligt dataskyddsdirekti- vet (artikel 5). Personuppgifter ska behandlas pĂ„ ett lagligt, korrekt och öppet sĂ€tt och de ska samlas in för pĂ„ förhand bestĂ€mda och berĂ€ttigade Ă€ndamĂ„l, som tydligt angivits. Personuppgifterna ska vara riktiga – alla rimliga Ă„tgĂ€rder ska vidtas för att felaktiga uppgifter rĂ€ttas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhĂ„llande till Ă€ndamĂ„let. Behandlingen ska ske pĂ„ ett sĂ€kert sĂ€tt och inte pĂ„gĂ„ under lĂ€ngre tid Ă€n vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till Ă€ndamĂ„let. Personuppgifter kan dock under vissa förutsĂ€ttningar lagras under lĂ€ngre perioder i den mĂ„n som uppgift- erna enbart behandlas för arkivĂ€ndamĂ„l av allmĂ€nt intresse, vetenskap- liga eller historiska forskningsĂ€ndamĂ„l eller statistiska Ă€ndamĂ„l.

44

SOU 2018:52

GÀllande rÀtt

Personuppgifter som samlats in för ett visst ÀndamÄl fÄr som huvudregel inte behandlas för nÄgot annat ÀndamÄl som strider mot det ursprungliga ÀndamÄlet, den s.k. finalitetsprincipen. Undantag gÀller om den registrerade har samtyckt till behandling för det nya ÀndamÄlet eller om behandlingen grundar sig pÄ rÀttslig reglering (artikel 5.1 b och 6.4). Av skÀl 50 till dataskyddsförordningen framgÄr att vid sÄdan vidarebehandling som inte hindras av finalitetsprincipen bör det inte krÀvas nÄgon annan separat rÀttslig grund Àn den med stöd av vilken insamlingen av personuppgifter medgavs. Detta Àr en nyhet i förhÄllande till dataskyddsdirektivet.

3.4.5Laglig behandling av personuppgifter

För att en behandling av personuppgifter över huvud taget ska vara tillÄten, krÀvs pÄ samma sÀtt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor mÄste vara uppfyllt. Det första alternativa villkoret Àr att den registrerade har lÀmnat sitt samtycke till behandlingen. Behandling kan ocksÄ ske om den Àr nödvÀndig för att fullgöra ett avtal eller en rÀttslig förpliktelse, för att skydda intressen som Àr av grundlÀggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmÀnt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutligen behand- las med stöd av en intresseavvÀgning. En nyhet Àr dock att behand- ling av personuppgifter som utförs av offentliga myndigheter nÀr de fullgör sina uppgifter inte fÄr ske med stöd av en intresseavvÀgning.

Om behandling av personuppgifter ska ske med stöd av samtycke frÄn den registrerade, krÀvs att samtycket Àr frivilligt. Det ska ocksÄ vara tydligt vad samtycket avser och det ska ha föregÄtts av informa- tion frÄn den personuppgiftsansvarige om vad samtycket innebÀr. Samtycket kan lÀmnas skriftligt, muntligt eller genom konkludent handlande och kan nÀr som helst tas tillbaka (artikel 7).

Grunden för sÄdan behandling av personuppgifter som Àr nöd- vÀndig för att den personuppgiftsansvarige ska kunna uppfylla en rÀttslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av all- mÀnt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) mÄste faststÀllas i nationell rÀtt eller EU-rÀtt (artikel 6.3). Det inne-

45

GÀllande rÀtt

SOU 2018:52

bĂ€r att det inte – till skillnad frĂ„n vad som tidigare gĂ€llt enligt data- skyddsdirektivet och personuppgiftslagen – kommer att vara möjligt att endast stödja sig pĂ„ den generella regleringen i dataskyddsför- ordningen vid sĂ„dan behandling.

Ytterligare ett krav nÀr det gÀller behandling med stöd av den rÀttsliga grunden i artikel 6.1 c Àr att syftet med behandling som sker pÄ den grunden att den Àr nödvÀndig för att fullgöra en rÀttslig för- pliktelse ska faststÀllas i den rÀttsliga grunden. I frÄga om behandling enligt artikel 6.1 e gÀller i stÀllet att syftet med behandlingen ska vara nödvÀndigt för att utföra en arbetsuppgift av allmÀnt intresse eller som ett led i myndighetsutövning.

Det finns ocksÄ möjlighet att i nationell rÀtt mer detaljerat reglera olika krav pÄ sÄdan behandling av personuppgifter som Àr nödvÀndig för att den personuppgiftsansvarige ska kunna uppfylla en rÀttslig skyldighet eller utföra en arbetsuppgift av allmÀnt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rÀttsliga grunden kan innehÄlla sÀrskilda bestÀmmelser för att anpassa tillÀmpningen av dataskyddsförordningen. Denna möjlighet ger utrymme för s.k. registerlagstiftning för bl.a. myndigheter.

3.4.6KÀnsliga personuppgifter och uppgifter om lagövertrÀdelser

Behandling av vissa sÀrskilda kategorier av personuppgifter Àr som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning (artikel 9.1). Av dessa kategorier av uppgifter Àr genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell lÀggning nya i förhÄllande till data- skyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas kÀnsliga personuppgifter.

FrÄn huvudregeln att kÀnsliga personuppgifter inte fÄr behandlas finns flera undantag angivna (artikel 9.2). KÀnsliga personuppgifter kan t.ex. behandlas med stöd av samtycke eller för att uppgifterna pÄ ett tydligt sÀtt har offentliggjorts av den registrerade. De kan ocksÄ behandlas för att skyldigheter och rÀttigheter ska kunna tillvaratas

46

SOU 2018:52

GÀllande rÀtt

inom arbetsrÀtten i den omfattning detta Àr tillÄtet enligt unions- rÀtten, nationell rÀtt eller kollektivavtal. Samma sak gÀller pÄ omrÄ- dena social trygghet och socialt skydd, vilket Àr nytt i förhÄllande till dataskyddsdirektivet. Behandling av kÀnsliga personuppgifter Àr vidare tillÄten om den Àr nödvÀndig för att skydda en fysisk persons grundlÀggande intressen nÀr den registrerade Àr förhindrad att ge sitt samtycke. Ett annat undantag avser behandling som Àr nödvÀndig för att faststÀlla, göra gÀllande eller försvara rÀttsliga ansprÄk eller Àr en del av domstolarnas dömande verksamhet. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte fÄr behandla kÀnsliga personuppgifter om sina medlemmar. KÀnsliga personupp- gifter kan ocksÄ behandlas i anslutning till hÀlso- och sjukvÄrd, yrkesmedicin och social omsorg, pÄ grundval av EU-rÀtten eller medlemsstaternas nationella rÀtt, under förutsÀttning att uppgift- erna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Dataskyddsförordningen tillÄter Àven behandling av hÀnsyn till ett viktigt allmÀnt intresse, av skÀl av allmÀnt intresse pÄ folkhÀlsoomrÄdet och för arkivÀndamÄl av allmÀnt intresse, veten- skapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl, pÄ grundval av EU-rÀtten eller medlemsstaternas nationella rÀtt. Vill- koret att nödvÀndig behandling av kÀnsliga personuppgifter inom hÀlso- och sjukvÄrd ska ske pÄ grundval av EU-rÀtt eller nationell lagstiftning Àr nytt i förhÄllande till dataskyddsdirektivet. Det har inte heller, sÄsom dataskyddsdirektivet tolkats i Sverige, tidigare funnits nÄgot krav pÄ att kÀnsliga personuppgifter inom hÀlso- och sjukvÄrden ska behandlas under ansvar av nÄgon som omfattas av tystnadsplikt. Vidare har undantagen för allmÀnt intresse pÄ folk- hÀlsoomrÄdet och för arkivÀndamÄl av allmÀnt intresse, vetenskap- liga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl inte tidigare uttryckligen framgÄtt av dataskyddsdirektivet.

Medlemsstaterna har möjlighet att komplettera dataskyddsför- ordningen med ytterligare villkor, Àven begrÀnsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hÀlsa (artikel 9.4).

Behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀng- ande sÀkerhetsÄtgÀrder mÄste ske under kontroll av en myndighet eller med stöd av sÀrskild lagstiftning. Till skillnad frÄn vad som

47

GÀllande rÀtt

SOU 2018:52

gÀller enligt dataskyddsdirektivet omfattas inte friande brottmÄls- domar av denna begrÀnsning. Det finns inte heller nÄgon reglering avseende administrativa frihetsberövanden (artikel 10).

3.4.7Den registrerades rÀttigheter

Dataskyddsförordningen föreskriver ett antal rĂ€ttigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rĂ€tt att fĂ„ omfattande infor- mation frĂ„n den personuppgiftsansvarige. Informationen ska avse allt frĂ„n den personuppgiftsansvariges kontaktuppgifter och vilka rĂ€ttigheter den registrerade har till uppgifter om hur personuppgift- erna kommer att anvĂ€ndas. Information som den registrerade redan kĂ€nner till behöver inte lĂ€mnas. Om personuppgifterna har samlats in frĂ„n nĂ„gon annan Ă€n den registrerade, behöver information inte heller lĂ€mnas om det skulle visa sig vara omöjligt eller innebĂ€ra en anstrĂ€ngning som inte stĂ„r i proportion till nyttan, om erhĂ„llande eller utlĂ€mnande av personuppgifter Ă€r rĂ€ttsligt reglerat eller om personuppgifterna mĂ„ste förbli konfidentiella till följd av tystnads- plikt (artikel 12–14).

Den informationsskyldighet som framgÄr av dataskyddsförord- ningen Àr betydligt mer omfattande Àn den som föreskrevs i data- skyddsdirektivet. Nytt i förhÄllande till dataskyddsdirektivet Àr bl.a. att om den personuppgiftsansvarige avser att behandla personupp- gifterna för ett annat syfte Àn det för vilket de samlades in, ska den registrerade fÄ information om detta nya syfte samt övrig relevant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rÀtten att Äterkalla ett samtycke och rÀtten att inge klagomÄl Àr andra exempel pÄ information som tillkommit. Regleringen av vid vilken tidpunkt information ska lÀm- nas om behandling av uppgifter som har samlats in frÄn nÄgon annan Àn den registrerade har ocksÄ Àndrats. Huvudregeln enligt data- skyddsdirektivet, att informationen ska lÀmnas vid tiden för regi- streringen, har Àndrats pÄ sÄ sÀtt att information i stÀllet ska lÀmnas inom en rimlig tid frÄn erhÄllandet av uppgifterna. Det finns ocksÄ möjlighet att informera först i samband med den första kommu- nikationen med den registrerade (artikel 13 och 14).

48

SOU 2018:52

GÀllande rÀtt

Vidare stÀller dataskyddsförordningen i artikel 12.1 nya krav pÄ att informationen som lÀmnas ska vara koncis, klar och tydlig, be- griplig och lÀttillgÀnglig.

Den registrerade kan ocksĂ„ begĂ€ra registerutdrag med informa- tion om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att fĂ„ fel- aktiga personuppgifter som rör honom eller henne rĂ€ttade och att under vissa förutsĂ€ttningar fĂ„ uppgifterna raderade eller Ă„tminstone fĂ„ behandlingen begrĂ€nsad (artikel 16–18). RĂ€tten till radering eller rĂ€tten att bli bortglömd följer av artikel 17 och Ă€r betydligt mer detaljerat reglerad Ă€n rĂ€tten till utplĂ„ning enligt dataskyddsdirekti- vet. Det finns vissa undantag till bestĂ€mmelsen. Bland annat gĂ€ller den inte för behandling som sker med stöd av grunderna i arti- kel 6.1 c och e (rĂ€ttslig förpliktelse och arbetsuppgift av allmĂ€nt in- tresse eller som ett led i myndighetsutövning). Det finns ocksĂ„ undantag för bl.a. arkivĂ€ndamĂ„l.

Den personuppgiftsansvarige ska underrÀtta varje mottagare till vilken personuppgifterna har lÀmnats ut om eventuell rÀttelse, radering av personuppgifter eller begrÀnsning av behandling och den registrerade ska ocksÄ kunna fÄ information om dessa mottagare (artikel 19).

Personuppgifter som den registrerade har tillhandahÄllit den per- sonuppgiftsansvarige, ska pÄ begÀran lÀmnas ut i ett strukturerat, all- mÀnt anvÀnt och maskinlÀsbart format i syfte att kunna överlÀmnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig pÄ samtycke eller avtal (artikel 20). Denna rÀtt gÀller inte i frÄga om en behandling som Àr nödvÀndig för att utföra en arbetsuppgift av allmÀnt intresse eller som Àr ett led i myn- dighetsutövning som utförs av den personuppgiftsansvarige.

Den registrerade har rÀtt att nÀr som helst göra invÀndningar mot behandling av personuppgifter som sker pÄ den grunden att behand- lingen bedömts nödvÀndig för att utföra en arbetsuppgift av allmÀnt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvÀgning. Möjligheten att genom invÀndningar förhindra behandling av personuppgifter Àr utökad i förhÄllande till data- skyddsdirektivet. Om den registrerade invÀnder mot behandling av personuppgifter fÄr den personuppgiftsansvarige inte lÀngre be- handla uppgifterna, sÄvida denne inte kan pÄvisa avgörande berÀttigade skÀl för behandlingen som vÀger tyngre Àn den registrerades in- tressen, rÀttigheter och friheter eller om det sker för faststÀllande,

49

GÀllande rÀtt

SOU 2018:52

utövande eller försvar av rÀttsliga ansprÄk. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl ska den registrerade, av skÀl som hÀnför sig till hans eller hennes specifika situation, ha rÀtt att invÀnda mot behand- ling av hans eller hennes personuppgifter. Detta gÀller om inte behandlingen Àr nödvÀndig för att utföra en arbetsuppgift av allmÀnt intresse (artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag frÄn rÀtten att invÀnda mot behandling, men endast under de förutsÀttningar som anges i arti- kel 23.1 (se nedan). Det innebÀr att medlemsstaterna inte lÀngre kan begrÀnsa rÀtten att invÀnda mot behandling genom generella bestÀm- melser. För att kunna införa eventuella nationella begrÀnsningar krÀvs det stÀllet att en prövning görs mot artikel 23.1.

En ytterligare rÀttighet för den registrerade Àr att slippa bli före- mÄl för ett beslut som grundas enbart pÄ automatiserad behandling, inbegripet profilering (artikel 22). Denna rÀttighet gÀller dock inte om beslutet Àr nödvÀndigt för att ingÄ eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillÄts enligt EU-rÀtt eller nationell rÀtt som ocksÄ faststÀller lÀmpliga ÄtgÀrder till skydd för den registrerades rÀttigheter, friheter och berÀttigade intressen eller om beslutet grundar sig pÄ den registrerades uttryckliga samtycke.

Dataskyddsförordningen lĂ€mnar ett förhĂ„llandevis stort hand- lingsutrymme till medlemsstaterna att under vissa förutsĂ€ttningar göra undantag frĂ„n och modifiera ovan angivna rĂ€ttigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom be- stĂ€mmelser i sin lagstiftning begrĂ€nsa omfattningen av de skyldig- heter och rĂ€ttigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mĂ„n dessa bestĂ€mmelser motsvarar de rĂ€ttigheter och skyldigheter som faststĂ€lls i artiklarna 12–22. En sĂ„dan begrĂ€nsning mĂ„ste vara en nödvĂ€ndig och proportionell Ă„tgĂ€rd i ett demokratiskt samhĂ€lle i syfte att sĂ€kerstĂ€lla olika upprĂ€knade intressen, bl.a. nationell sĂ€kerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mĂ„l av generellt allmĂ€nt intresse (dĂ€ribland penning-, budget- eller skattefrĂ„gor, folkhĂ€lsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av övertrĂ€delser av etiska regler som gĂ€ller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har

50

SOU 2018:52

GÀllande rÀtt

samband med myndighetsutövning i fall som nÀmnts ovan och skydd av den registrerade eller andras rÀttigheter och friheter.

Om personuppgifter behandlas för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller sta- tistiska ÀndamÄl, fÄr det i EU-rÀtten eller i medlemsstaternas natio- nella rÀtt föreskrivas om undantag frÄn vissa av den registrerades rÀttigheter. Det rör sig om rÀtten till registerutdrag, rÀttelse, begrÀns- ning av behandling och invÀndning mot behandling. Undantag fÄr göras om det krÀvs för att uppnÄ ÀndamÄlet med behandlingen. Om personuppgifter behandlas för arkivÀndamÄl av allmÀnt intresse, fÄr undantag Àven göras frÄn kravet pÄ dataportabilitet och kravet pÄ att den personuppgiftsansvarige ska underrÀtta mottagare av person- uppgifter om eventuella rÀttelser, raderingar eller begrÀnsningar av behandling som skett (artikel 89).

3.4.8Personuppgiftsansvarigas och personuppgiftsbitrÀdens skyldigheter

Den personuppgiftsansvarige ansvarar för att genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fast- stÀlla sina respektive ansvarsomrÄden om dessa inte faststÀlls genom rÀttslig reglering (artikel 26).

Om den personuppgiftsansvarige anlitar ett personuppgiftsbitrÀde, ska hanteringen regleras genom avtal eller motsvarande rÀttsakt. Per- sonuppgiftsbitrÀdet fÄr endast behandla personuppgifter pÄ instruk- tion frÄn den personuppgiftsansvarige, sÄvida en skyldighet att behandla uppgifter inte framgÄr av EU-rÀtten eller nationell rÀtt (artikel 28 och 29).

Varje personuppgiftsansvarig och varje personuppgiftsbitrÀde ska var för sig skriftligen upprÀtta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lÀr inte behöva uppfylla definitionen i artikel 4, men registret ska innehÄlla kontakt- uppgifter, upplysning om ÀndamÄl med behandlingen, en beskriv- ning av kategorier av registrerade och kategorier av personuppgifter, upplysning om eventuella mottagare av uppgifterna, eventuell över- föring till tredjeland, tidsfrister för radering och en allmÀn beskriv-

51

GÀllande rÀtt

SOU 2018:52

ning av tekniska och organisatoriska sÀkerhetsÄtgÀrder. Det Àr följ- aktligen inte lÀngre dataskyddsombudets arbetsuppgift att upprÀtta en förteckning över behandlingar (jÀmför artikel 39 och personupp- giftsombudets tidigare uppgifter enligt artikel 18 i dataskyddsdirek- tivet).

Den personuppgiftsansvarige och personuppgiftsbitrÀdet ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla en sÀkerhetsnivÄ som Àr lÀmplig i förhÄllande till eventuella risker (arti- kel 32). Detta innefattar bl.a. att se till att personer som fÄr tillgÄng till personuppgifter med anledning av sitt arbete endast behandlar dessa pÄ instruktion frÄn den personuppgiftsansvarige, under förut- sÀttning att EU-rÀtten eller nationell rÀtt inte ÄlÀgger personen att behandla uppgifterna.

En nyhet i dataskyddsförordningen Ă€r att personuppgiftsinci- denter inom 72 timmar ska anmĂ€las till tillsynsmyndigheten. Den personuppgiftsansvarige Ă€r ocksĂ„ skyldig att dokumentera alla person- uppgiftsincidenter (artikel 33). Även den registrerade ska i vissa fall fĂ„ information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rĂ€ttigheter och friheter (arti- kel 34).

För att minska risker med behandling av personuppgifter inne- hÄller dataskyddsförordningen dessutom bestÀmmelser om konse- kvensbedömningar och förhandssamrÄd med tillsynsmyndigheten, som ska tillÀmpas om behandlingen sannolikt leder till en hög risk för fysiska personers rÀttigheter och friheter (artikel 35 och 36).

3.4.9Dataskyddsombud

Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, mÄste enligt dataskyddsförordningen utnÀmna dataskyddsombud (artikel 37). Kravet pÄ att ha ett data- skyddsombud omfattar i vissa fall Àven andra personuppgiftsansva- riga och personuppgiftsbitrÀden. Ett dataskyddsombud ska i dessa fall utnÀmnas om en kÀrnverksamhet bestÄr av behandling som, pÄ grund av sin karaktÀr, sin omfattning och/eller sina ÀndamÄl, krÀver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska ocksÄ utnÀmnas om en kÀrn-

52

SOU 2018:52

GÀllande rÀtt

verksamhet bestÄr av behandling i stor omfattning av kÀnsliga person- uppgifter och personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott. Att det i vissa fall krÀvs att ett dataskyddsombud utses Àr en nyhet.

Ett dataskyddsombud ska utses pÄ grundval av yrkesmÀssiga kvalifikationer, sakkunskap och förmÄga att utföra arbetsuppgif- terna. Arbetsuppgifterna ska utföras sjÀlvstÀndigt, utan instruktioner frÄn den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frÄgor som rör dataskydd. Som en följd av detta ska data- skyddsombudet ocksÄ, nÀr det gÀller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfi- dentialitet. Dataskyddsombudet fÄr inte avsÀttas eller bli föremÄl för sanktioner för att ha utfört sina arbetsuppgifter. Rapporteringen ska ske direkt till den högsta förvaltningsnivÄn (artikel 38).

Dataskyddsombudet ska informera och ge rĂ„d till berörda samt övervaka efterlevnaden av dataskyddsbestĂ€mmelser. Dataskydds- ombudet ska ocksĂ„ samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamrĂ„d och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet (artikel 39).

3.4.10Överföring av personuppgifter till tredjeland

Personuppgifter fÄr överföras till tredjeland eller en internationell organisation endast under vissa förutsÀttningar. En sÄdan förut- sÀttning Àr om kommissionen har beslutat att tredjelandet, ett terri- torium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen sÀkerstÀller en adekvat skydds- nivÄ (artikel 45). I avsaknad av ett beslut frÄn kommissionen fÄr personuppgifter överföras till tredjeland eller en internationell orga- nisation efter att lÀmpliga skyddsÄtgÀrder vidtagits och pÄ villkor att lagstadgade rÀttigheter för registrerade och effektiva rÀttsmedel för registrerade finns tillgÀngliga (artikel 46). DÀrutöver anges i data- skyddsförordningen ett antal förhÄllanden som kan grunda rÀtt till överföring till tredjeland i sÀrskilda situationer (artikel 49).

53

GÀllande rÀtt

SOU 2018:52

3.4.11Tillsynsmyndigheter

Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillĂ€mp- ningen av dataskyddsförordningen (artikel 51). Tillsynsmyndigheten och dess ledamöter ska vara oberoende (artikel 52–54) och behörig- heten att utföra uppgifter ska vara begrĂ€nsad till vad som framgĂ„r av dataskyddsförordningen (artikel 55–57). I form av utredningsbefog- enheter kan tillsynsmyndigheten bl.a. krĂ€va information som behövs för att myndigheten ska kunna fullgöra sina uppgifter, genomföra undersökningar och fĂ„ tillgĂ„ng till lokaler. Tillsynsmyndigheten har ocksĂ„ korrigerande befogenheter som bl.a. bestĂ„r av att utfĂ€rda var- ningar, reprimander, förelĂ€gganden, införa förbud mot behandling och pĂ„föra administrativa sanktionsavgifter. Dessutom kan tillsyns- myndigheter utfĂ€rda tillstĂ„nd och ge rĂ„d (artikel 58).

Tillsynsmyndigheter ska samarbeta med varandra, utbyta relevant information och ge varandra bistÄnd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).

3.4.12NĂ€r uppgifter behandlas

i strid med dataskyddsförordningen

En registrerad som anser att behandling av personuppgifter avseende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad frĂ„n vad som tidigare varit möjligt enligt dataskyddsdirek- tivet – kunna lĂ€mna klagomĂ„l till tillsynsmyndigheten och fĂ„ ett överklagbart beslut (artikel 77 och 78). Den registrerade ska ocksĂ„ kunna vĂ€cka talan i domstol mot den personuppgiftsansvarige eller personuppgiftsbitrĂ€det (artikel 79).

Den som har lidit materiell eller immateriell skada till följd av en övertrÀdelse av dataskyddsförordningen ska ha rÀtt till skadestÄnd (artikel 82). Ett skadestÄndsansprÄk kan, i likhet med vad som gÀller enligt dataskyddsdirektivet, riktas mot den personuppgiftsansvarige. Under vissa förutsÀttningar kan dock skadestÄndsansprÄk begÀras Àven av ett personuppgiftsbitrÀde, vilket Àr nytt i förhÄllande till vad som gÀllt tidigare.

Tillsynsmyndigheten ska enligt en annan nyhet i dataskyddsför- ordningen kunna pĂ„föra s.k. administrativa sanktionsavgifter (arti- kel 83). TvĂ„ olika kategorier av övertrĂ€delser – uppdelade utifrĂ„n

54

SOU 2018:52

GÀllande rÀtt

bestĂ€mmelser som föreskriver rĂ€ttigheter och skyldigheter – föran- leder tvĂ„ olika maxbelopp (artikel 83.4 och 83.5). Medlemsstaterna fĂ„r sjĂ€lva bestĂ€mma i vilken utstrĂ€ckning myndigheter ska kunna pĂ„- föras administrativa sanktionsavgifter.

Medlemsstaterna ska vidare faststÀlla regler om andra sanktioner för övertrÀdelser av dataskyddsförordningen, sÀrskilt för övertrÀdel- ser som inte Àr föremÄl för administrativa sanktionsavgifter (arti- kel 84).

3.4.13Konkurrens med andra rÀttigheter

Medlemsstaterna ska i lag förena rÀtten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ÀndamÄl eller för akademiskt, konstnÀrligt eller litterÀrt skapande ska med- lemsstaterna faststÀlla undantag eller avvikelser frÄn stora delar av dataskyddsförordningen om det Àr nödvÀndigt för att förena rÀtten till integritet med yttrande- och informationsfriheten (artikel 85.2).

Personuppgifter i allmÀnna handlingar fÄr lÀmnas ut av myndig- heter i enlighet med nationell rÀtt (artikel 86).

3.4.14Övrigt

Medlemsstaterna fÄr sjÀlva bestÀmma hur ett nationellt identifika- tionsnummer (personnummer) fÄr behandlas, med beaktande av lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter enligt dataskyddsförordningen (artikel 87).

För behandling av personuppgifter i anstÀllningsförhÄllanden, fÄr medlemsstaterna i lag eller kollektivavtal faststÀlla mer specifika regler för att sÀkerstÀlla skyddet av anstÀlldas rÀttigheter och friheter (arti- kel 88).

Dataskyddsförordningen innehĂ„ller ocksĂ„ bl.a. bestĂ€mmelser om uppförandekoder och certifiering (artikel 40–43), mekanismer för en enhetlig tillĂ€mpning av dataskyddsförordningen (artikel 63–67) och Europeiska dataskyddsstyrelsens stĂ€llning och arbetsuppgifter (artikel 68–76).

55

GÀllande rÀtt

SOU 2018:52

3.5Regeringsformen

3.5.1Skydd för den personliga integriteten

I regeringsformen finns grundlÀggande bestÀmmelser till skydd för den personliga integriteten. Redan i mÄlsÀttningsstadgandet i 1 kap. 2 § regeringsformen slÄs fast att den offentliga makten ska utövas med respekt för den enskilda mÀnniskans frihet och vÀrdighet samt att det allmÀnna ska vÀrna den enskildes privatliv och familjeliv. Av 2 kap. 6 § andra stycket regeringsformen framgÄr att var och en gentemot det allmÀnna Àr skyddad mot betydande intrÄng i den per- sonliga integriteten, om det sker utan samtycke och innebÀr över- vakning eller kartlÀggning av den enskildes personliga förhÄllanden.

Uttrycket enskildas personliga förhĂ„llanden avses enligt för- arbetena ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Det innebĂ€r att regler- ingen i 2 kap. 6 § andra stycket regeringsformen kan komma att omfatta vitt skilda slag av information som Ă€r knuten till den en- skildes person, t.ex. uppgifter om namn och andra personliga identi- fikationsuppgifter, adress, familjeförhĂ„llanden, hĂ€lsa och vandel. Även fotografisk bild samt uppgifter som inte Ă€r direkt knutna till den enskildes privata sfĂ€r, t.ex. uppgift om anstĂ€llning, omfattas av uttrycket. I enlighet med vad som framgĂ„r av förarbetena till 1980 Ă„rs sekretesslag (1980:100) torde Ă€ven en uppgift om en persons eko- nomi omfattas av uttrycket personliga förhĂ„llanden.1

Avgörande för om en ÄtgÀrd ska anses innebÀra övervakning eller kartlÀggning Àr enligt förarbetena inte dess huvudsakliga syfte utan vilken effekt ÄtgÀrden har.2 Som exempel anges att en ÄtgÀrd frÄn det allmÀnnas sida som vidtas primÀrt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, mÄnga gÄnger kan anses innebÀra kartlÀggning av enskildas förhÄllanden. Detta oaktat att avsikten med ÄtgÀrden inte Àr att kartlÀgga enskilda. Det konstateras vidare att det förekommer myndighetsspecifika verksamhetsregister och databaser med information som Àr knuten till en myndighets Àrendehantering inom i stort sett all statlig och kommunal förvalt- ning och att informationshanteringen i mÄnga fall finns sÀrskilt reglerad. Enligt propositionen fÄr uppgifterna i flertalet fall anses

1Prop. 2009/10:80 s. 177.

2Prop. 2009/10:80 s. 250.

56

SOU 2018:52

GÀllande rÀtt

tillgÀngliga för myndigheterna pÄ sÄdant sÀtt att lagringen och be- handlingen av uppgifterna kan sÀgas innebÀra att enskilda kartlÀggs, Àven om det huvudsakliga ÀndamÄlet med behandlingen Àr ett helt annat.3 Som exempel pÄ kartlÀggning angav Integritetskommittén i sitt betÀnkande hantering av uppgifter om den enskildes hÀlsa i pati- entjournaler och hÀlsodataregister eller inom ramen för forskning i det allmÀnnas regi.4

Vad som utgör ett betydande intrÄng fÄr enligt förarbetena av- göras utifrÄn bl.a. uppgifternas karaktÀr och omfattning. En hantering av kÀnsliga uppgifter kan innebÀra ett betydande intrÄng i den per- sonliga integriteten Àven om det rör sig om ett fÄtal uppgifter.

Åandra sidan kan mĂ€ngden uppgifter i sig vara en betydelsefull faktor i sammanhanget. Även Ă€ndamĂ„let med behandlingen Ă€r av vikt för att avgöra om det rör sig om ett betydande intrĂ„ng. En hantering som syftar till att utreda brott anses i förarbetena normalt vara mer kĂ€nslig Ă€n t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbĂ€ttringar av kvaliteten i handlĂ€ggningen. Omfattningen av utlĂ€mnande av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan ocksĂ„ vara av bety- delse vid bedömningen.5

3.5.2BegrÀnsning av skyddet för den personliga integriteten

Skyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen Àr inte absolut och kan under vissa förut- sÀttningar begrÀnsas med hÀnsyn till andra motstÄende intressen. En begrÀnsning mÄste dock enligt 2 kap. 20 § regeringsformen ske genom lag och fÄr enligt 2 kap. 21 § regeringsformen göras endast för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle. BegrÀnsningen fÄr aldrig gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och inte heller strÀcka sig sÄ lÄngt att den utgör ett hot mot den fria Äsiktsbild- ningen sÄsom en av folkstyrelsens grundvalar. BegrÀnsningen fÄr

3Prop. 2009/10:80 s. 180 f. Det kan dock noteras att Informationshanteringsutredningen i SOU 2015:39 s. 198 ff. argumenterar för att det inte Àr helt sjÀlvklart att bestÀmmelser i re- gisterförfattningar alltid mÄste anses utgöra sÄdan reglering som medför ett betydande intrÄng i den personliga integriteten.

4SOU 2008:3 s. 271.

5Prop. 2009/10:80 s. 183 f.

57

GÀllande rÀtt

SOU 2018:52

inte göras enbart pÄ grund av politisk, religiös, kulturell eller annan sÄdan ÄskÄdning.

Regleringen avser enligt förarbetena att understryka kravet pÄ att lagstiftaren, nÀr en fri- och rÀttighetsinskrÀnkande lag beslutas, noga redovisar sina syften.6 Eftersom begrÀnsningen inte fÄr gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlet, mÄste ett lagstift- ningsarbete som pÄverkar skyddet av den personliga integriteten inkludera en integritetsanalys. Det intrÄng som sker i den enskildes personliga integritet mÄste vara befogat och stÄ i rimlig proportion till de fördelar som intrÄnget bidrar med till det motstÄende intresset. Det Àr endast tillÄtet med lagar som inskrÀnker integritetsskyddet om det inte finns nÄgra mindre integritetskÀnsliga alternativ och det intresse som ska tillgodoses Àr sÄ starkt att det vÀger över intresset av skydd för den personliga integriteten. I förarbetena framfördes en förvÀntan pÄ att kravet pÄ att lagstiftaren tydligt redovisar vilka avvÀgningar som gjorts vid proportionalitetsbedömningen skulle medföra att avvÀgningarna i frÄga om integritetsintrÄnget skulle bli mer ingÄende belysta och presenteras pÄ ett sÄdant sÀtt att kvaliteten i lagstiftningen skulle höjas ytterligare.7

Det Àr sÄledes bara genom (svensk) lag som skyddet enligt 2 kap. 6 § andra stycket regeringsformen kan inskrÀnkas. Den rÀtt att behandla personuppgifter som följer av den i Sverige direkt tillÀmp- liga dataskyddsförordningen gör alltsÄ inte att myndigheter fÄr be- handla personuppgifter i strid med 2 kap. 6 § andra stycket reger- ingsformen.

3.5.3IntrÄng i den personliga integriteten

MĂ„nga förarbeten till författningar och enstaka bestĂ€mmelser rörande behandling av personuppgifter som beslutats före 2011, dĂ„ 2 kap. 6 § andra stycket regeringsformen började gĂ€lla, innehĂ„ller inte en grund- lig analys av om regleringen kan förvĂ€ntas orsaka ett betydande intrĂ„ng i den personliga integriteten. Även om slutsatsen ofta Ă€r att regleringen av myndigheters behandling av personuppgifter ska ske i lag, Ă€r det resonemang som leder fram till det inte sĂ€llan summariskt och mynnar mĂ„nga gĂ„nger ut i en hĂ€nvisning till en överenskommelse

6Prop. 1975/76:209 s. 153.

7Prop. 2009/10:80 s. 177.

58

SOU 2018:52

GÀllande rÀtt

mellan regering och riksdag frĂ„n början av 1990-talet. Överens- kommelsen framgĂ„r av de förarbeten som följde pĂ„ Data- och offentlighetskommittĂ©ns betĂ€nkande. KommittĂ©n hade behandlat frĂ„gor om författningsreglering av personregister och med anledning av detta konstaterat att register med kvalificerat kĂ€nsliga person- uppgifter krĂ€ver speciallagstiftning.8 I det efterföljande lagstiftnings- arbetet uttalade regeringen att myndighetsregister med ett stort antal registrerade och ett sĂ€rskilt kĂ€nsligt innehĂ„ll ska regleras sĂ€r- skilt i lag.9 Konstitutionsutskottet stĂ€llde sig bakom detta stĂ€llnings- tagande.10 Dessa uttalanden har senare vid Ă„tskilliga tillfĂ€llen Ă„be- ropats i lagstiftningsĂ€renden som vĂ€gledande för att vĂ€lja lagform för registerförfattningsreglering. Uttalandena har med Ă„ren kommit att tillĂ€mpas pĂ„ sĂ„vĂ€l regleringen av regelrĂ€tta register som myndig- heters behandling av personuppgifter i stort.11

Ett exempel pÄ ett lagstiftningsÀrende som regeringen ansett innefattat sÄdan integritetskÀnslig informationshantering som enskilda Àr skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen Àr kustbevakningsdatalagen (2012:145). Med hÀnsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndig- hetsutövning som ingÄr i myndighetens uppdrag samt behovet av att kunna behandla personuppgifter Àven av kÀnsligare slag inom frÀmst den brottsbekÀmpande verksamheten, ansÄg regeringen att stora delar av Kustbevakningens behandling av personuppgifter innefattar sÄdan integritetskÀnslig informationshantering som enskilda Àr skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen.12

Även Utredningen om personuppgiftsbehandlingen vid ISF kom, i sitt betĂ€nkande med förslag till en lag om behandling av person- uppgifter inom verksamheten för Inspektionen för socialförsĂ€k- ringen, fram till att regleringen skulle medföra en sĂ„dan kartlĂ€ggning av enskildas personliga förhĂ„llanden och sĂ„dana betydande intrĂ„ng i den personliga integriteten som enligt 2 kap. 6 § andra stycket och 20 § första stycket 2 regeringsformen behöver ha stöd i lag. Som skĂ€l angavs dels arten av den verksamhet som Inspektionen för social- försĂ€kringen bedriver, dĂ€r det finns behov av att behandla ett stort

8SOU 1987:31 s. 161 f.

9Prop. 1990/91:60 s. 58.

10Bet. 1990/91:KU11 s. 11.

11Se t.ex. prop. 1997/98:44 s. 41, bet. 1997/98:KU18 s. 43, prop. 1999/2000:39 s. 78 och 2009/10:80 s. 183 f.

12Prop. 2011/12:45 s. 62.

59

GÀllande rÀtt

SOU 2018:52

antal personuppgifter, inklusive kÀnsliga sÄdana och personuppgifter om lagövertrÀdelser m.m., dels att personuppgifter behöver samman- kopplas och att dessa behandlingar normalt sker utan att den en- skilde sjÀlv fÄr kÀnnedom om dem eller kan lÀmna sitt godkÀnnande. Till detta kom att personuppgifterna kan komma att sparas under avsevÀrd tid.13

Ett exempel pÄ motsatt bedömning Àr nÀr regeringen i förarbet- ena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering konstaterade att den behandling av personuppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering har behov av att utföra för att fullgöra sitt uppdrag i sig inte kan anses innebÀra ett sÄdant betydande intrÄng i den personliga integriteten att det av den anledningen krÀvs att behandlingen regleras i lag, sÀrskilt mot bakgrund av att behandlingen till sÄ stor del avser avidentifierade personuppgifter för forskningsÀndamÄl. Avgörande för att vÀlja lag- form blev dÀrför den överenskommelse mellan regering och riksdag som nÀmns ovan.14

En annan bedömning i förhÄllande till 2 kap. 6 § regeringsformen gjorde Informationshanteringsutredningen som i sitt betÀnkande med förslag till myndighetsdatalag menade att det Àr i rena undan- tagsfall som behandling av personuppgifter hos icke brottsbekÀmp- ande myndigheter kan anses innehÄlla nÄgra sÀrskilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sÄdan kartlÀggning eller övervakning som innebÀr ett betydande intrÄng i den personliga integriteten och dÀrför omfattas av grundlagsstadgan- det.15 Det kan noteras att Datainspektionen har ifrÄgasatt denna be- dömning.16

Innan man prövar om ett förslag till reglering utgör ett betydande intrÄng i den personliga integriteten och omfattas av grundlags- skyddet i 2 kap. 6 § andra stycket regeringsformen, kan det finnas skÀl att analysera om de föreslagna bestÀmmelserna över huvud taget medför ett intrÄng. Behandling av personuppgifter med stöd av samtycke, som undantas i 2 kap. 6 § andra stycket regeringsformen, torde exempelvis inte anses utgöra samma integritetsintrÄng som behandling som sker utan att den registrerade tillfrÄgas. För att en

13SOU 2014:67 s. 89.

14Prop. 2011/12:176 s. 19 f.

15SOU 2015:39 s. 206 ff.

16Datainspektionens yttrande, dnr 1125-2015.

60

SOU 2018:52

GÀllande rÀtt

reglering av behandling av personuppgifter ska anses utgöra ett intrĂ„ng i den personliga integriteten mĂ„ste regleringen rimligen avse en Ă„tgĂ€rd som i nĂ„gon mĂ„n inskrĂ€nker den enskildes möjligheter att sjĂ€lv bestĂ€mma över sina personuppgifter. En reglerad skyldighet att behandla personuppgifter, exempelvis en föreskrift om att en myn- dighet ska föra ett visst register med personuppgifter eller att upp- gifter ska lĂ€mnas frĂ„n en personuppgiftsansvarig till en annan fĂ„r alltid anses medföra ett visst intrĂ„ng i enskildas personliga integritet. Skyldigheten att behandla vissa personuppgifter innebĂ€r att den registrerade inte sjĂ€lv kan pĂ„verka behandlingen eller omfattningen av densamma. Även en tillĂ„tande bestĂ€mmelse som innebĂ€r att en myndighet fĂ„r möjlighet att utföra en viss behandling av personupp- gifter som annars skulle ha varit otillĂ„ten, fĂ„r anses medföra ett intrĂ„ng i enskildas personliga integritet. I och med att behandlingen av personuppgifter har gjorts tillĂ„ten, tvingas den enskilde finna sig i eventualiteten att hans eller hennes personuppgifter behandlas utan att samtycke först inhĂ€mtas.

Integritetsskyddskommittén, som lÀmnade förslaget till grundlags- bestÀmmelsen i 2 kap. 6 § andra stycket regeringsformen, konstaterade att de frÄn integritetsskyddssynpunkt viktigaste momenten i han- teringen handlar om hur uppgifter om enskilda fÄr samlas in, Ànda- mÄlet med behandlingen och i vilken utstrÀckning uppgifter pÄ grund av uppgiftsskyldighet, som alltsÄ bryter sekretess som gÀller för uppgifterna, ska lÀmnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skÀl.17 BestÀmmelser om direktÄtkomst till personuppgifter hos en annan personuppgifts- ansvarig liksom de sekretessbrytande bestÀmmelser som krÀvs för att direktÄtkomst ska kunna tillÄtas, fÄr genomgÄende anses medföra intrÄng i den personliga integriteten. Samma sak gÀller bestÀmmelser som medger utökade befogenheter att sammanstÀlla personupp- gifter. BestÀmmelser som inte föranleder behandling av personupp- gifter utan i stÀllet begrÀnsar den personuppgiftsansvariges möjligheter att behandla personuppgifter, t.ex. i form av olika skyddsÄtgÀrder, kan dÀremot inte i sig anses medföra intrÄng i den personliga integriteten. BestÀmmelser om begrÀnsning av Ätkomst till person- uppgifter, krav pÄ behörighetstilldelning och krav pÄ pseudonymi- sering av personuppgifter skapar sjÀlvstÀndigt ingen möjlighet till

17SOU 2008:3 s. 272.

61

GÀllande rÀtt

SOU 2018:52

behandling av personuppgifter utan utgör snarare regler om skydd för den enskildes personliga integritet.

3.6Personuppgiftslagen

Dataskyddsdirektivet genomfördes i Sverige genom personuppgifts- lagen (1998:204) och ett antal andra författningar som komplet- terade personuppgiftslagen eller innehöll sÀrreglering i förhÄllande till personuppgiftslagen. Personuppgiftslagen trÀdde i kraft den 24 ok- tober 1998 och ersatte den tidigare gÀllande datalagen (1973:289). Per- sonuppgiftslagen upphÀvdes i anslutning till att dataskyddsförord- ningen började tillÀmpas den 25 maj 2018.

En redogörelse för bestÀmmelserna i personuppgiftslagen finns i utredningens första betÀnkande, SOU 2017:66.

3.7Dataskyddslagen

Lagen med kompletterande bestÀmmelser till EU:s dataskyddsförord- ning (2018:218), dataskyddslagen, trÀdde i kraft den 25 maj 2018. Vid samma tidpunkt upphÀvdes personuppgiftslagen.

Dataskyddsförordningen Àr direkt tillÀmplig i Sverige, vilket innebÀr begrÀnsade möjligheter att införa och behÄlla nationella bestÀmmelser om dataskydd.18 Dataskyddsförordningen förutsÀtter och medger dock nationella bestÀmmelser som kompletterar och föreskriver undantag frÄn förordningens regler. I vissa fall tillÄter ocksÄ dataskyddsförordningen att förordningens regler specificeras i nationell rÀtt. Svenska bestÀmmelser som kompletterar dataskydds- förordningen och Àr av generell karaktÀr har samlats i den nya övergripande dataskyddalagen. Termer och uttryck i dataskydds- lagen har samma betydelse som i dataskyddsförordningen.

Dataskyddslagen innehÄller bestÀmmelser om utvidgad tillÀmp- ning av bestÀmmelserna i dataskyddsförordningen. Av 1 kap. 2 och 3 §§ dataskyddslagen framgÄr att bestÀmmelserna i dataskydds- förordningen och dataskyddslagen ska gÀlla Àven i verksamhet utan- för unionsrÀttens tillÀmpningsomrÄde och vid Sveriges deltagande i den gemensamma utrikes- och sÀkerhetspolitiken. Undantag gÀller

18Prop. 2017/18:105 s. 21 f.

62

SOU 2018:52

GÀllande rÀtt

dock för verksamhet som omfattas av lagen (2007:258) om behand- ling av personuppgifter i Försvarsmaktens försvarsunderrÀttelse- verksamhet och militÀra sÀkerhetstjÀnst, lagen (2007:259) om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrÀtt- else- och utvecklingsverksamhet eller 6 kap. polisdatalagen (2010:361). Dataskyddslagen Àr dock subsidiÀr i förhÄllande till annan lag eller förordning (1 kap. 6 § dataskyddslagen). Det möjliggör avvikande bestÀmmelser i registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter pÄ ett avgrÀnsat omrÄde. Dataskydds- lagens inledande kapitel innehÄller ocksÄ bestÀmmelser om lagens territoriella tillÀmpningsomrÄde, förhÄllandet till tryck- och yttrande- friheten och tystnadsplikt för personuppgiftsombud.

I dataskyddslagens andra kapitel finns bestÀmmelser som förtyd- ligar nÀr behandling av personuppgifter Àr laglig med stöd av data- skyddsförordningen. Av skÀl 41 till dataskyddsförordningen kan man dra slutsatsen att den rÀttsliga grunden för behandling av personuppgifter inte mÄste faststÀllas i en av riksdagen beslutad lag, men dÀremot att grunden mÄste vara faststÀlld i laga ordning, dvs. pÄ ett konstitutionellt korrekt sÀtt. Vad detta konkret innebÀr i svensk rÀtt nÀr det gÀller arbetsuppgifter av allmÀnt intresse har preciserats i 2 kap. 2 § 1 dataskyddslagen. Enligt den bestÀmmelsen fÄr person- uppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförord- ningen om behandlingen Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse som följer av lag eller annan författning, av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En bestÀmmelse som Àr ny i förhÄllande till tidigare lagstiftning Àr att ett barn som Àr minst 13 Är kan samtycka till be- handling av personuppgifter i samband med anvÀndning av informa- tionssamhÀllets tjÀnster, t.ex. sociala medier.

I tredje kapitlet finns kompletterande bestÀmmelser om behand- ling av sÀrskilda kategorier av personuppgifter. I dataskyddslagen benÀmns sÄdana uppgifter kÀnsliga personuppgifter (3 kap. 1 § data- skyddslagen). Kapitlet innehÄller ocksÄ bestÀmmelser om behandling av personuppgifter som rör lagövertrÀdelser samt personnummer och samordningsnummer.

AnvÀndningsbegrÀnsningar för personuppgifter som behandlas för arkivÀndamÄl och statistiska ÀndamÄl finns i 4 kap. dataskydds- lagen.

63

GÀllande rÀtt

SOU 2018:52

BegrĂ€nsningar av vissa rĂ€ttigheter och skyldigheter i dataskydds- förordningen finns i dataskyddslagenslagens femte kapitel. BestĂ€m- melserna i artiklarna 13–15 i dataskyddsförordningen om informa- tion och rĂ€tt att fĂ„ tillgĂ„ng till personuppgifter gĂ€ller inte uppgifter som den personuppgiftsansvarige inte fĂ„r lĂ€mna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte Ă€r en myndighet gĂ€ller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretess- lagen (5 kap. 1 § dataskyddslagen). BestĂ€mmelsen i dataskyddsför- ordningen om den registrerades rĂ€tt till tillgĂ„ng till personuppgifter

m.m.gÀller inte personuppgifter i löpande text som utgör utkast eller minnesanteckning eller liknande. Undantaget gÀller dock inte om uppgifterna har lÀmnats ut till tredje part, om uppgifterna be- handlas enbart för arkivÀndamÄl av allmÀnt intresse eller för statistiska ÀndamÄl eller om de har behandlats under lÀngre tid Àn ett Är i löpande text som inte har fÄtt sin slutliga utformning (5 kap. 2 § dataskyddslagen). Regeringen fÄr meddela ytterligare föreskrifter om begrÀnsningar enligt dataskyddsförordningen (5 kap. 3 § dataskydds- lagen).

Dataskyddslagens sjÀtte kapitel innehÄller bestÀmmelser om till- synsmyndighetens handlÀggning och beslut. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen gÀller vid myndighetens tillsyn över att bestÀmmelserna i dataskyddslagen och andra före- skrifter som kompletterar förordningen följs. Det finns ocksÄ nÀrmare bestÀmmelser om sanktionsavgifter vid övertrÀdelse av dataskydds- förordningen.

I det sjunde och avslutande kapitlet finns bestÀmmelseser som rör skadestÄnd och överklagande. Av 7 kap. 1 § dataskyddslagen framgÄr att rÀtten till ersÀttning frÄn den personuppgiftsansvarige eller per- sonuppgiftsbitrÀdet enligt artikel 82 i dataskyddsförordningen gÀller vid övertrÀdelser av bestÀmmelser i dataskyddslagen och andra före- skrifter som kompletterar dataskyddsförordningen, dvs. Àven andra registerförfattningar.

64

4Myndigheten för

vÄrd- och omsorgsanalys

4.1Myndighetens uppdrag

Myndigheten för vÄrd- och omsorgsanalys inrÀttades den 1 januari 2011, dÄ under namnet Myndigheten för vÄrdanalys. Myndigheten hade till en början till uppgift att följa upp och analysera verk- samheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd samt i grÀnssnittet mellan vÄrd och omsorg.

De huvudsakliga skÀlen till att myndigheten bildades var behovet av mer kvalificerad och systematisk analys och uppföljning av de aktu- ella sektorerna, en oberoende analys samt ett patient- och brukar- perspektiv i utvÀrderingen.

I direktiven till den organisationskommitté som fick i uppdrag att förbereda och genomföra bildandet av Myndigheten för vÄrdanalys angavs att Sverige behöver en oberoende aktör som kan bedriva en kvalificerad och systematisk uppföljning, utvÀrdering och effektivi- tetsgranskning av hÀlso- och sjukvÄrden. Myndighetens verksamhet ska vara oberoende pÄ sÄ sÀtt att den kan granska alla delar av hÀlso- och sjukvÄrden, dÀribland myndigheternas arbete. Vidare ska myn- digheten inte stÄ i beroendestÀllning i förhÄllande till vÄrdgivarna, intresseorganisationer eller andra intressenter. Myndigheten ska ocksÄ ha ett patient- och medborgarperspektiv i syfte att stÀrka dessa gruppers stÀllning och inflytande över hÀlso- och sjukvÄrden.1

Den 1 juli 2015 utvidgades myndighetens uppdrag till att Àven omfatta omsorgen. Med det avses hela socialtjÀnstens omrÄde och de verksamheter som bedrivs med stöd av lagen (1990:52) med sÀr- skilda bestÀmmelser om vÄrd av unga, lagen (1988:870) om vÄrd av missbrukare i vissa fall och lagen (1993:387) om stöd och service till

1Dir. 2010:58.

65

Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

vissa funktionshindrade med flera författningar. I samband med att uppdraget utvidgades fick myndigheten sitt nuvarande namn.

Myndigheten för vÄrd- och omsorgsanalys har enligt 1 § förord- ningen (2010:1385) med instruktion för Myndigheten för vÄrd- och omsorgsanalys till uppgift att ur ett patient-, brukar-, och med- borgarperspektiv följa upp och analysera verksamheter och förhÄll- anden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg. Av 2 och 3 §§ samma förordning framgÄr att uppgiften mer specifikt innebÀr att myndigheten ska

‱följa upp och analysera vĂ„rdens och omsorgens funktionssĂ€tt,

‱effektivitetsgranska statliga Ă„taganden och verksamheter,

‱inom sitt verksamhetsomrĂ„de bistĂ„ regeringen med underlag och rekommendationer för effektivisering av statlig verksamhet och styrning,

‱kontinuerligt utvĂ€rdera sĂ„dan information om vĂ„rden och om- sorgen som lĂ€mnas till den enskilde, i frĂ„ga om informationens innehĂ„ll, kvalitet, Ă€ndamĂ„lsenlighet och tillgĂ€nglighet,

‱pĂ„ regeringens uppdrag bistĂ„ med utvĂ€rderingar och uppfölj- ningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt

‱inom sitt verksamhetsomrĂ„de bedriva omvĂ€rldsbevakning och genomföra internationella jĂ€mförelser.

Myndighetens uppgift beskrivs nÄgot mer utförligt i direktiven till den organisationskommitté som hade i uppdrag att förbereda och genomföra bildandet av myndigheten. I direktiven2 uttalade reger- ingen följande.

Den nya myndighetens ansvarsomrÄde omfattar all offentligt finan- sierad hÀlso- och sjukvÄrd (inklusive tandvÄrd), oavsett huvudmanna- skap eller driftsform, samt den privat finansierade hÀlso- och sjukvÄr- den.

UtgÄngspunkten för myndighetens verksamhet ska vara att ur ett patient- och medborgarperspektiv följa upp, utvÀrdera, effektivitets- granska och redovisa förhÄllanden inom hÀlso- och sjukvÄrden sÀrskilt med fokus pÄ verksamhetens kvalitet och effektivitet. Myndighetens uppgift Àr att följa upp hur vÀl hÀlso- och sjukvÄrden totalt sett fungerar

2Dir. 2010:58.

66

SOU 2018:52

Myndigheten för vÄrd- och omsorgsanalys

och analysera större satsningar och reformer ur ett patient- och med- borgarperspektiv. Centrala frÄgestÀllningar handlar om hur kvaliteten och effektiviteten i hÀlso- och sjukvÄrden utvecklas och vilka effekter och konsekvenser som kan mÀtas till följd av olika satsningar och reformer. Det skulle exempelvis kunna röra sig om frÄgor som handlar om tillgÀngligheten till hÀlso- och sjukvÄrden, patientsÀkerhet, sam- verkan mellan sjukvÄrdshuvudmÀnnen etc. UtvÀrderingar kan omfatta hela kedjan frÄn lagstiftning, normering och tillsyn till tillÀmpning och utfall pÄ regional och lokal nivÄ.

För patienternas och medborgarnas del handlar det om att underlÀtta deras möten med hÀlso- och sjukvÄrden genom ökad kunskap, exem- pelvis genom att stÀrka deras möjligheter att göra informerade val.

För beslutsfattarna genereras underlag som kan ligga till grund för ett mer kunskapsbaserat beslutsstöd för framtida styrning, verksamhets- uppföljning, förbÀttringsarbete och prioriteringar i hÀlso- och sjuk- vÄrden.

Uppföljning och utvÀrdering pÄ hÀlso- och sjukvÄrdens makronivÄ underlÀttas ofta av jÀmförelser med andra lÀnder. Internationella studier och jÀmförelser mellan Sverige och andra lÀnder ska sÄledes vara en del av myndighetens verksamhet.

Som anges ovan omfattar myndighetens uppdrag numera Àven hela socialtjÀnstens omrÄde och de verksamheter som bedrivs med stöd av lagen med sÀrskilda bestÀmmelser om vÄrd av unga, lagen om vÄrd av missbrukare i vissa fall och lagen om stöd och service till vissa funktionshindrade med flera författningar.

Myndigheten ska enligt 4 § i instruktionen senast den 1 februari varje Ă„r i en sĂ€rskild analys- och granskningsplan ange vilken huvud- saklig inriktning verksamheten ska ha under Ă„ret. Resultatet av sĂ„- dana analyser, granskningar, uppföljningar och utvĂ€rderingar som avses i 1–3 §§ ska enligt 12 § i instruktionen löpande redovisas till regeringen.

4.2Myndighetens verksamhet

4.2.1Egeninitierad verksamhet och regeringsuppdrag

Verksamheten vid Myndigheten för vÄrd- och omsorgsanalys bestÄr av bÄde egeninitierade analyser och genomförande av sÀrskilda upp- drag frÄn regeringen. NÀr det gÀller den egeninitierade verksamheten konkretiseras den breda arbetsuppgift som följer av instruktionen i den analysplan som myndigheten ska ta fram varje Är. I analysplanen beskrivs ett antal analysomrÄden som myndigheten avser att arbeta

67

Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

inom. Arbetet inom ett analysomrÄde pÄgÄr i ett antal Är. Exempel pÄ omrÄden som Àr med i 2018 Ärs analysplan Àr en jÀmlik vÄrd och omsorg utan omotiverade skillnader och effektiva vÄrd- och om- sorgssystem för en god vÄrd och omsorg. Inom varje analysomrÄde utarbetas frÄgestÀllningar som ska besvaras. UtifrÄn analysplanen tar myndigheten fram en verksamhetsplan som konkretiserar vilka specifika projekt som ska bedrivas inom respektive analysomrÄde under verksamhetsÄret. DÀr preciseras ocksÄ syfte, mÄl och frÄge- stÀllningar samt budget och övergripande tidsplan. NÀr verksam- hetsplanen har beslutats, tas projekten vidare inom ramen för myn- dighetens projektstyrningsmodell.

Vid sidan av analysomrĂ„dena arbetar myndigheten Ă€ven med det den kallar för ”Aktuell respons”. Inom den verksamheten kan myn- digheten med kort varsel initiera och genomföra avgrĂ€nsade analyser av angelĂ€gna frĂ„gor med hög aktualitet. Projekten bedrivs normalt under kortare tid Ă€n övriga projekt.

Utöver den egeninitierade verksamheten fÄr myndigheten sÀr- skilda uppdrag av regeringen antingen i myndighetens regleringsbrev eller genom sÀrskilda regeringsbeslut. Regeringsuppdragen Ätföljs som regel av sÀrskild finansiering för att myndigheten ska ha möj- lighet att sjÀlv bestÀmma inriktningen pÄ den egeninitierade verk- samheten. Regeringsuppdragen Àr ofta ganska omfattande och pÄgÄr under ett till tvÄ Är.

4.2.2Arbetsmetoder

Analysverksamheten bedrivs i projektform. Det gÀller oavsett om det Àr en Äterkommande undersökning som ska göras eller om det Àr en specifik frÄga som ska besvaras vid ett tillfÀlle. Ett projekt Àr, enligt den definition myndigheten anvÀnder, en tidsbegrÀnsad arbetsuppgift som ska genomföras inom bestÀmda ramar, exempelvis i frÄga om tid, arbetsinsatser och ekonomi.

Arbetet inleds genom att det tas fram ett projektdirektiv som beskriver bakgrunden till att en analys bör genomföras, syfte, mÄl och övergripande resursbehov. DÀrefter utformas en detaljerad pro- jektplan som bl.a. innehÄller syfte, mÄl, frÄgestÀllningar, omfattning, avgrÀnsningar, bakgrund, intressenter, samverkan och beroenden till andra projekt, metod och beskrivning av datainsamling, aktivitets-

68

SOU 2018:52

Myndigheten för vÄrd- och omsorgsanalys

och tidsplan, juridiska och etiska aspekter samt riskanalys. NÀr pro- jektplanen Àr beslutad pÄbörjas arbetet. Projekten ska bedrivas i enlighet med myndighetens projektstyrningsmodell. Resultatet av analysarbetet presenteras i rapporter eller promemorior.

Myndigheten har inget uttryckligt uppdrag att bedriva och anser inte att dess verksamhet i dag utgör forskning. Det kan i detta sammanhang dock konstateras att merparten av myndighetens an- stÀllda Àr disputerade forskare och att myndigheten anlitar externa forskare som bedriver forskning pÄ myndighetens uppdrag. Myn- digheten utgÄr ocksÄ frÄn vetenskapliga principer och metoder i sitt analysarbete. Som en del i detta anvÀnder den statistiska metoder. Myndigheten vinnlÀgger sig om att ha effektiva processer som till- godoser behovet av anvÀndbara kunskapsunderlag.

Varje projekt har en styrgrupp som bestÄr av generaldirektören, analyschefen, chefsjuristen samt enhetschefen (projektdirektören) för den enhet som hÄller i projektet. Styrgruppen fattar de mer avgörande besluten i projekten, medan det dagliga arbetet leds av en projektledare. Till projektet finns en arbetsgrupp knuten. Projekt- deltagarna har olika kompetens beroende pÄ vad projektet handlar om. Vid myndigheten finns exempelvis hÀlsoekonomer, statsvetare, jurister och personer med medicinsk bakgrund. En stor andel av personalen pÄ analysavdelningen Àr disputerad.

Personuppgifter samlas in i ett sÀrskilt projekt i syfte att kunna besvara frÄgestÀllningarna i det specifika projektet. Myndigheten har alltsÄ inte nÄgra egna databaser dÀr insamlade uppgifter lagras i syfte att anvÀndas för olika ÀndamÄl i framtiden. NÀr personuppgifterna har samlats in ersÀtts personnummer med löpnummer med hjÀlp av en kodnyckel. Det förekommer inte personnummer eller namn i de datafiler som anvÀnds inom projektet. Endast ett fÄtal personer har tillgÄng till kodnyckeln, som Àr krypterad och förvaras inlÄst. Per- sonuppgifterna arkiveras senast nÀr projektet avslutas. Om det skulle visa sig att personuppgifterna Àr nödvÀndiga att behandla i ett annat projekt, görs en bedömning av om den nya behandlingen av per- sonuppgifterna Àr tillÄten och förenlig med finalitetsprincipen enligt dataskyddsförordningen och om uppgifterna kan lÀmnas ut till det andra projektet trots sekretessregleringen.

69

Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

4.3RÀttsligt stöd för myndighetens behandling av personuppgifter

Myndigheten för vÄrd- och omsorgsanalys behandlade tidigare per- sonuppgifter med stöd av personuppgiftslagen. För att myndigheten skulle kunna behandla personuppgifter mÄste dÀrmed varje behand- ling föregÄs av en prövning enligt bl.a. 10 § personuppgiftslagen, dÀr det föreskrevs att personuppgifter endast fÄr behandlas om den registrerade har lÀmnat sitt samtycke till behandlingen eller om be- handlingen Àr nödvÀndig för vissa i paragrafen angivna syften. Be- handlingen kunde t.ex. vara tillÄten om den ansÄgs nödvÀndig för att en arbetsuppgift av allmÀnt intresse skulle kunna utföras. Behand- lingen kunde ocksÄ vara tillÄten om den var nödvÀndig för att ett ÀndamÄl som rörde ett berÀttigat intresse hos den personuppgifts- ansvarige eller den till vilken personuppgifterna ska lÀmnas ut ska kunna tillgodoses, om detta intresse vÀgde tyngre Àn den registrerades intresse av skydd mot krÀnkning av den personliga integriteten.

Myndigheten för vÄrd- och omsorgsanalys hade med denna re- glering endast möjlighet att behandla kÀnsliga personuppgifter med stöd av den registrerades uttryckliga samtycke enligt 15 § person- uppgiftslagen. Myndigheten anser sig inte bedriva nÄgon forskning, och behandling av kÀnsliga personuppgifter kunde dÀrför inte heller ske med stöd av undantaget avseende forskningsÀndamÄl i 19 § första stycket personuppgiftslagen.

Personuppgiftslagen upphÀvdes den 25 maj 2018 i anslutning till att dataskyddsförordningen började tillÀmpas. Eftersom Myndigheten för vÄrd- och omsorgsanalys saknade sÀrskild registerförfattning vid denna tidpunkt, mÄste myndigheten i stÀllet enbart tillÀmpa data- skyddsförordningen och den kompletterande dataskyddslagen.

Redan i samband med att Myndigheten för vÄrdanalys bildades uppmÀrksammade organisationskommittén att myndigheten inte hade författningsstöd för att utföra all den behandling av person- uppgifter som behövdes. I den promemoria som togs fram kon- staterade kommittén att myndigheten i viss utstrÀckning skulle kunna utföra behandling av kÀnsliga personuppgifter, t.ex. uppgifter om hÀlsa, med stöd av samtycke eller dÀrför att den sker för statistik- ÀndamÄl. NÄgon mer omfattande behandling av kÀnsliga person- uppgifter kunde enligt kommittén dock inte grundas pÄ de undan- tagen. Kommittén gjorde dÀrför bedömningen att det i normalfallet

70

SOU 2018:52

Myndigheten för vÄrd- och omsorgsanalys

inte skulle vara möjligt för myndigheten att behandla kÀnsliga per- sonuppgifter. Kommittén ansÄg att myndigheten borde ges utökade möjligheter att behandla personuppgifter i syfte att ge myndigheten möjlighet att genomföra fler typer av analyser och dÀrmed kunna fÄ fram ytterligare resultat. Kommitténs slutsats var att frÄgan om myndighetens behov av att behandla personuppgifter krÀvde författ- ningsÀndringar som borde utredas sÀrskilt.3

Myndigheten för vÄrd- och omsorgsanalys har dÀrefter, alltsedan myndigheten bildades, fört en dialog med Socialdepartementet angÄ- ende behovet av författningsstöd som möjliggör behandling av de personuppgifter som behövs i analysverksamheten.

4.4Behovet av att behandla personuppgifter

4.4.1Inledning

För att myndigheten ska kunna fullgöra sitt uppdrag enligt instruk- tionen behöver myndigheten behandla personuppgifter. Eftersom myndighetens verksamhet bestÄr i att följa upp och analysera vÄrden och omsorgen ur ett patient-, brukar och medborgarperspektiv, Àr det ofta aktuellt att behandla kÀnsliga personuppgifter om hÀlsa. Myndighetens projekt inkluderar dock Àven andra typer av person- uppgifter. Det kan röra sig om demografiska uppgifter om t.ex. Älder, kön, bostadsuppgifter, civilstÄnd och familj. Det finns ocksÄ behov av att behandla socioekonomiska uppgifter om t.ex. utbild- ning, ekonomi, bidrag, sysselsÀttning och sysselsÀttningsgrad. Vidare kan det förekomma fall dÄ det behövs uppgifter om socialförsÀk- ringsförmÄner. Uppgifter om vÄrd- och omsorgsbehov samt vÄrd- och omsorgsinsatser behöver behandlas och detsamma gÀller upp- gifter om patienters och brukares upplevelser samt om medicinska resultat. Gemensamt för alla dessa behov Àr att utgÄngspunkten för undersökningarna Àr att fÄnga hÀlso- och sjukvÄrden och omsorgen ur patienters, brukares och medborgares perspektiv.

I avsnitt 6.5 berörs frÄgan om sekretess för uppgifter hos Myn- digheten för vÄrd- och omsorgsanalys.

3Promemoria av Utredningen om inrÀttande av en ny oberoende granskningsmyndighet med ansvar för uppföljning och utvÀrdering av hÀlso- och sjukvÄrden (S 2010:05).

71

Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

4.4.2Behov av uppgifter frÄn andra aktörer

Insamling av personuppgifter

Eftersom myndigheten Àr beroende av att inhÀmta samtycke för att kunna behandla kÀnsliga personuppgifter (se avsnitt 4.3), Àr myndig- heten begrÀnsad till vissa arbetssÀtt. Myndigheten kan rikta sig antingen till ett urval av befolkningen i allmÀnhet, till patientpaneler som finns hos undersökningsföretag och som har samtyckt till att bli tillfrÄgade om deltagande eller till vÄrd- och omsorgspersonal för att samla in personuppgifter direkt frÄn enskilda. Personerna till- frÄgas om de exempelvis har varit patienter under en viss tid och om de i sÄ fall vill delta i en viss studie och samtycka till nödvÀndig behandling av personuppgifter. Uppgifterna samlas sedan in med stöd av samtycket genom enkÀter eller intervjuer.

Att vÀnda sig till ett urval av befolkningen i allmÀnhet Àr en framkomlig vÀg i mÄnga fall, sÀrskilt nÀr myndigheten undersöker breda populationers uppfattningar om nÄgot de flesta har erfarenhet av, exempelvis allmÀnhetens syn pÄ primÀrvÄrden eller apotekens verksamhet. I flera av myndighetens projekt, bÄde de egeninitierade och i regeringsuppdragen, analyseras dock mer specifika frÄgor som rör exempelvis vÄrden för personer med kronisk sjukdom, miss- bruksvÄrden eller cancerlÀkemedel. DÄ rör det sig om mer specifika grupper av patienter, brukare eller medborgare som Àr berörda. Det kan gÀlla t.ex. patienter med cancer, personer med missbruk, perso- ner i en viss Äldersgrupp, personer som lever under socioekonomiskt utsatta förhÄllanden eller personer som anvÀnder sÀrskilt dyra eller nya lÀkemedel. Myndigheten har dÀrför behov av att i vissa fall kunna nÄ specifika grupper för att genomföra enkÀtundersökningar eller intervjuer och pÄ sÄ sÀtt inhÀmta deras uppfattning om, instÀllning till eller erfarenhet av en viss frÄga.

MĂ„nga av de analyser Myndigheten för vĂ„rd- och omsorgsanalys behöver utföra, sĂ„vĂ€l sĂ„dana som hĂ€rrör frĂ„n regeringsuppdrag som analyser för den egeninitierade verksamheten, förutsĂ€tter behand- ling av personuppgifter som samlas in frĂ„n andra aktörer och inte enbart frĂ„n den registrerade sjĂ€lv. Myndigheten har framför allt behov av att behandla personuppgifter som finns i Socialstyrelsens hĂ€lsodataregister, hos Statistiska centralbyrĂ„n samt i kvalitetsregister och databaser hos kommuner och landsting. Även uppgifter som finns hos andra aktörer kan behövas i vissa fall. Sekretess har

72

SOU 2018:52

Myndigheten för vÄrd- och omsorgsanalys

Äberopats som hinder för att lÀmna ut personuppgifterna till Myn- digheten för vÄrd- och omsorgsanalys.

Som ett sÀtt att ÀndÄ lösa sina uppgifter har det förekommit att myndigheten tagit hjÀlp av externa forskare vid universitet och högskolor som utför forskning pÄ de aktuella omrÄdena och som har kunnat utföra studier Ät myndigheten. Dessa forskare hade tidigare möjlighet att behandla personuppgifter med stöd av undantaget avseende forskningsÀndamÄl i 19 § första stycket personuppgifts- lagen under förutsÀttning att behandlingen godkÀnts enligt lagen (2003:460) om etikprövning av forskning som avser mÀnniskor, etikprövningslagen. Enligt ett remitterat utkast till lagrÄdsremiss om behandling av personuppgifter för forskningsÀndamÄl kan behand- ling av personuppgifter ske direkt med stöd av artikel 6.1 dataskydds- förordningen. NÀr det gÀller behandling av kÀnsliga personuppgifter kan behandling för forskningsÀndamÄl enligt bedömningen i utkastet ske med stöd av artikel 9.2 j i dataskyddsförordningen och 2, 3, 6 och 10 §§ etikprövningslagen.4 Det förekommer ocksÄ att person- uppgifter som finns hos exempelvis Socialstyrelsen eller Statistiska centralbyrÄn avidentifieras och sammanstÀlls till statistik och dÀrefter lÀmnas ut till myndigheten.

Exempel pÄ personuppgifter som finns hos andra aktörer

I syfte att ÄskÄdliggöra behoven av att behandla personuppgifter som finns hos andra aktörer ges nedan nÄgra exempel pÄ regeringsupp- drag dÀr frÄgan har aktualiserats.

Ett regeringsuppdrag handlade om att följa och utvÀrdera nyttan med ordnat införande av nya lÀkemedel. Uppdraget bestod bl.a. av att analysera om ordnat införande leder till en ordnad och jÀmlik tillgÄng till nya kostnadseffektiva lÀkemedel till de som behöver det oavsett t.ex. bostadsort, Älder, kön och socioekonomiska faktorer.5 För att kunna genomföra den analysen behövdes individuppgifter om lÀkemedelsanvÀndning och de bakgrundsfaktorer som nÀmns i uppdraget samlas in frÄn olika myndigheter.

4Utkast till lagrÄdsremiss dnr U2018/01639/F s. 40 ff. och s. 79 f.

5Regeringens beslut dnr S2016/01693/FS (delvis).

73

Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

Ett liknande exempel Àr ett regeringsuppdrag som handlade om att ta fram ett kunskapsunderlag kring införande, anvÀndning och uppföljning av cancerlÀkemedel. Myndigheten skulle med anledning av uppdraget analysera vilka patienter som fÄr tillgÄng till lÀkemedel och vilka hinder mot jÀmlik tillgÄng som finns.6 För att genomföra en sÄdan analys behövde myndigheten behandla personuppgifter frÄn flera olika myndigheters register. Eftersom myndigheten inte hade författningsstöd för en sÄdan behandling av kÀnsliga person- uppgifter, anvÀnde myndigheten i stÀllet tidigare publicerade ana- lyser vilket medförde en begrÀnsning nÀr det gÀllde vilka frÄgor som var möjliga att undersöka.

Ytterligare ett exempel Àr ett regeringsuppdrag rörande primÀr- vÄrdens verksamhet dÀr det angavs att myndigheten skulle göra en fördjupad analys av förutsÀttningarna för en jÀmlik och patient- centrerad primÀrvÄrd. UtifrÄn befintliga data och kunskap om pri- mÀrvÄrdens funktionssÀtt skulle primÀrvÄrdens förutsÀttningar att erbjuda en god vÄrd efter behov analyseras.7 Uppdraget medförde att myndigheten behövde uppgifter frÄn landstingen om hur befolk- ningen anvÀnder primÀrvÄrden. Alla landsting kunde inte göra sÄdana utdrag ur sina databaser och de landsting som hade möjlighet att göra det bedömde att de inte kunde lÀmna ut personuppgifterna till myndigheten eftersom myndigheten saknade författningsstöd för att behandla sÄdana uppgifter. Landstingen kunde inte heller avsÀtta resurser för att sammanstÀlla uppgifterna i sÄdan form att de inte lÀngre var att betrakta som personuppgifter.

4.4.3Myndighetens egen bearbetning av personuppgifter

Myndigheten behöver inte bara kunna samla in personuppgifter frÄn andra aktörer. För att utföra de analyser som ingÄr i myndighetens uppdrag behöver myndigheten ocksÄ kunna bearbeta uppgifterna och analysera dem pÄ egen hand.

Det finns behov av att analysera uppgifterna ur olika synvinklar, för att exempelvis se vilka parametrar som sticker ut, vilka förhÄll- anden som verkar förekomma och hur de hÀnger ihop. Det Àr ocksÄ nödvÀndigt att kunna gÄ tillbaka till materialet för att kontrollera att

6Regeringens beslut dnr S2017/00359/FS (delvis).

7Regeringens beslut dnr S2015/04519/RS och S2015/08135/RS (delvis).

74

SOU 2018:52

Myndigheten för vÄrd- och omsorgsanalys

resultaten stÀmmer, Àr relevanta och tillrÀckligt sÀkra för att dra en viss slutsats eller dÀrför att det i analysprocessen framkommit ny information och kunskap som inte var möjlig att förutse. Inget av detta Àr möjligt om myndigheten endast kan anvÀnda statistik som tagits fram av en annan aktör enligt hur bestÀllningen formulerades initialt. Det finns en risk att den framtagna statistiken inte ger till- rÀckliga svar pÄ frÄgestÀllningarna eller att myndigheten missar vÀsentliga resultat. Om myndigheten inte sjÀlv fÄr behandla person- uppgifter Àr alltsÄ riskerna att analyserna inte blir oberoende och att kvaliteten och omfattningen av analyserna blir begrÀnsade.

Det Àr inte tillrÀckligt att myndigheten, av den aktör som har uppgifterna, fÄr dem sammanstÀllda i form av sÄdan statistik som innebÀr att det inte lÀngre Àr frÄga om personuppgifter. Myndig- heten har inte möjlighet att utföra en oberoende analys om den behöver förlita sig pÄ sammanstÀllningar av uppgifter som görs av de aktörer som myndigheten granskar. Det Àr inte heller möjligt för myndigheten att kvalitetssÀkra en databearbetning som har utförts av en annan aktör.

Det finns dessutom en risk att myndigheten över huvud taget inte fÄr tillgÄng till nÄgot underlag. Detta eftersom andra aktörer inte alltid har möjlighet att avsÀtta de resurser som krÀvs för att sam- manstÀlla de uppgifter som myndigheten behöver pÄ ett sÀtt som innebÀr att de inte lÀngre utgör personuppgifter. I de fall en aktör avsÀtter tid för att hjÀlpa till tar det ofta lÄng tid för myndigheten att fÄ del av sammanstÀllningarna. Det har förekommit att handlÀgg- ningen av myndighetens begÀran om uppgifter har tagit över ett Är. Det Àr inte möjligt för myndigheten att vÀnta sÄ lÀnge. Detta innebÀr att vissa analyser inte kan genomföras pÄ grund av att myndigheten över huvud taget inte fÄr tillgÄng till uppgifterna.

För att kunna analysera personuppgifter som exempelvis finns i journaler hos hÀlso- och sjukvÄrden och akter hos socialtjÀnsten och andra aktörer finns det ett behov av att kunna sammanstÀlla, syste- matisera och strukturera uppgifterna. Personuppgifterna kan i vissa fall Àven behöva sambearbetas med personuppgifter som samlats in frÄn annat hÄll.

Som ett exempel pÄ ett uppdrag dÀr behovet aktualiserats kan nÀmnas regeringsuppdraget att utvÀrdera PRIO-satsningen som var en handlingsplan för riktade insatser inom omrÄdet psykisk ohÀlsa.8

8Regeringens beslut dnr S2012/4529/FS.

75

Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

Uppdraget innebar att myndigheten skulle undersöka om s.k. indi- viduella planer anvĂ€nts. Myndigheten hade endast möjlighet att samla in uppgifter om hur mĂ„nga planer som tagits fram. För att kunna mĂ€ta effekterna av planerna och bedöma dess innehĂ„ll hade myndigheten behövt ta del av planerna och strukturera den infor- mationen som fanns i planerna för att dĂ€refter kunna göra analyser. Överlag saknas pĂ„ omsorgsomrĂ„det befintliga datakĂ€llor, vilket med- för att myndigheten har behov av att sjĂ€lv göra struktureringar och sammanstĂ€llningar.

Myndigheten har Àven behov av att kunna genomföra Äterkom- mande undersökningar. Det kan t.ex. handla om att Äterkommande vÀnda sig till en viss grupp för att följa utvecklingen av ett visst förhÄllande i vÄrden. För att kunna utföra vissa av dessa Äterkom- mande undersökningar pÄ ett ÀndamÄlsenligt sÀtt har myndigheten behov av att spara personuppgifter under en lÀngre tid.

76

5Regleringen av andra analysmyndigheters behandling av personuppgifter

5.1Inledning

Till regeringens förfogande finns ett antal sektorsanknutna analys- myndigheter med uppdrag liknande det uppdrag Myndigheten för vÄrd- och omsorgsanalys har. Det Àr dÀrför relevant att undersöka vilket stöd dessa andra myndigheter har för att behandla personupp- gifter. Myndigheterna Àr Brottsförebyggande rÄdet (BrÄ), Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering (IFAU), Inspektionen för socialförsÀkringen (ISF), Myndigheten för kultur- analys, Myndigheten för tillvÀxtpolitiska utvÀrderingar och analyser (TillvÀxtanalys) samt Trafikanalys. DÀrutöver finns Statskontoret, som genomför utredningar inom alla sektorer pÄ uppdrag av reger- ingen, och Ekonomistyrningsverket (ESV), som pÄ uppdrag av regeringen utför utredningar inom omrÄdet ekonomisk styrning. Till skillnad frÄn Statskontoret och ESV har de sektorsanknutna analysmyndigheterna en tydlig koppling till ett eller flera verksam- hetsomrÄden och de ansvarar för analyser eller utvÀrderingar inom sina respektive sektorer.

HÀr följer en översiktlig redogörelse för hur regleringen av de olika myndigheternas behandling av personuppgifter ser ut.

77

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

5.2Statskontoret

Statskontoret ska enligt förordningen (2007:827) med instruktion för Statskontoret genomföra utredningar, utvÀrderingar och upp- följningar av statlig och statligt finansierad verksamhet och av över- gripande frÄgor om den offentliga förvaltningens funktionssÀtt. Statskontoret Àr inte en statistikansvarig myndighet vilket innebÀr att lagen (2001:99) om den officiella statistiken, statistiklagen, inte Àr tillÀmplig.1 Det finns inte heller nÄgon registerförfattning som reglerar myndighetens behandling av personuppgifter. Eventuell be- handling av personuppgifter sker dÀrför med stöd av dataskydds- förordningen och dataskyddslagen.

5.3Ekonomistyrningsverket (ESV)

ESV ska enligt förordningen (2016:1023) med instruktion för Eko- nomistyrningsverket bl.a. utveckla och förvalta den ekonomiska styrningen av den statliga verksamheten. ESV Àr en statistikansvarig myndighet och ska vid behandling av personuppgifter vid framstÀll- ning av officiell statistik tillÀmpa statistiklagen och förordningen (2001:100) om den officiella statistiken, statistikförordningen. Vissa bestÀmmelser i statistiklagen gÀller Àven vid framstÀllning av annan statistik hos en statistikansvarig myndighet (1 kap. 1 § tredje stycket statistiklagen). DÀrutöver finns det inte nÄgon registerförfattning som reglerar myndighetens behandling av personuppgifter. Even- tuell behandling av personuppgifter sker, i den mÄn behandlingen inte Àr reglerad i statistiklagen, med stöd av dataskyddsförordningen och den kompletterande dataskyddslagen.

5.4Brottsförebyggande rÄdet (BrÄ)

BrÄ har enligt förordningen (2016:1201) med instruktion för Brotts- förebyggande rÄdet i uppdrag att utveckla kunskap pÄ det kriminal- politiska omrÄdet genom att ansvara för den officiella kriminal- statistiken i enlighet med förordningen om den officiella statistiken och utveckla denna statistik samt annan relevant statistik, initiera och bedriva forsknings-, analys- och utvecklingsarbete, och Ärligen

1Se vidare om lagen om den officiella statistiken i avsnitt 6.4.1.

78

SOU 2018:52

Regleringen av andra analysmyndigheters behandling av personuppgifter

genomföra den nationella trygghetsundersökningen, Ärligen ta fram kunskap om hatbrott och minst vart tredje Är genomföra skolunder- sökningen om brott.

NÀr BrÄ behandlar kÀnsliga personuppgifter i egenskap av stati- stikansvarig myndighet, sker behandlingen med stöd av statistik- lagen och statistikförordningen. Vissa bestÀmmelser i statistiklagen gÀller Àven vid framstÀllning av annan statistik Àn officiell statistik hos en statistikansvarig myndighet.

Enligt ett remitterat utkast till lagrĂ„dsremiss om behandling av personuppgifter för forskningsĂ€ndamĂ„l kan de myndigheter som har en tydlig författningsreglerad uppgift att bedriva forskning behandla personuppgifter för forskningsĂ€ndamĂ„l med stöd av artikel 6.1 e i dataskyddsförordningen, som avser behandling som Ă€r nödvĂ€ndig för att utföra en arbetsuppgift av allmĂ€nt intresse.2 Detta gĂ€ller sĂ„ledes vid BrĂ„s behandling av personuppgifter för forskningsĂ€nda- mĂ„l. Vidare kan BrĂ„ behandla kĂ€nsliga personuppgifter för forskning med stöd av artikel 9.2 j som avser behandling som Ă€r nödvĂ€ndig för vetenskapliga eller historiska forskningsĂ€ndamĂ„l.3 Vid behandling av kĂ€nsliga personuppgifter eller personuppgifter om lagövertrĂ€delser som innefattar brott, domar i brottmĂ„l, straffprocessuella tvĂ„ngs- medel eller administrativa frihetsberövanden i sĂ„dan verksamhet som avser forskning och utveckling ska behandlingen prövas och godkĂ€nnas av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning enligt 3 och 6 §§ etikprövningslagen.

Som anges i propositionen som föregick dataskyddslagen kan statistiska undersökningar vara en integrerad del av ett forsknings- projekt.4 I sÄdana fall ska behandling av personuppgifter som sker under forskarens ansvar bedömas enligt de bestÀmmelser som gÀller vid behandling för forskningsÀndamÄl.5

I övrigt behandlar BrÄ personuppgifter med stöd av dataskydds- förordningen och den kompletterande dataskyddslagen. I den natio- nella trygghetsundersökningen inhÀmtas exempelvis uppgifter med

2Utkast till lagrÄdsremiss dnr U2018/01639/F s. 40 ff.

3Utkast till lagrÄdsremiss dnr U2018/01639/F s. 74 f.

4Prop. 2017/18:105 s. 124.

5Prop. 2017/18:107 s. 28.

79

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

stöd av samtycke6 och skolundersökningen om brott genomförs med hjÀlp av en enkÀt som eleverna fyller i anonymt7.

5.5Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering (IFAU)

IFAU ska enligt förordningen (2007:911) med instruktion för Insti- tutet för arbetsmarknads- och utbildningspolitisk utvÀrdering frÀmja, stödja och genom forskning genomföra uppföljningar, utvÀrderingar och studier. Behandling av personuppgifter vid IFAU sker sÄledes företrÀdesvis i samband med forskning. SÄdan behandling omfattas av bestÀmmelserna i lagen (2012:741) om behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering och den tillhörande förordningen (2012:742) om behand- ling av personuppgifter vid Institutet för arbetsmarknads- och utbild- ningspolitisk utvÀrdering.

Personuppgifter fÄr enligt 5 § lagen om behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering endast behandlas om det Àr nödvÀndigt för att fullgöra institutets uppdrag att frÀmja, stödja och genom forskning genom- föra studier, uppföljningar och utvÀrderingar. Personuppgifter som behandlas för dessa ÀndamÄl fÄr enligt 6 § ocksÄ behandlas för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning. DÀrutöver Àr vidarebehandling som inte strider mot finalitetsprincipen tillÄten (6 a §).

Enligt 7 § första stycket lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀr- dering fÄr inte andra kÀnsliga personuppgifter Àn sÄdana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hÀlsa eller en persons sexuella lÀggning behandlas för de ÀndamÄl som anges i lagen. Av andra stycket i samma paragraf framgÄr att forsk- ning som innefattar behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden mÄste etikprövas enligt etikprövningslagen.

6Brottsförebyggande rÄdets rapport 2017:1 Nationella trygghetsundersökningen 2016

– Om utsatthet, otrygghet och förtroende, s. 17.

7Brottsförebyggande rÄdets rapport 2016:21 Skolundersökningen om brott 2015

– Om utsatthet och delaktighet i brott, s. 7.

80

SOU 2018:52

Regleringen av andra analysmyndigheters behandling av personuppgifter

För behandling av sĂ„vĂ€l kĂ€nsliga som icke kĂ€nsliga personupp- gifter gĂ€ller dessutom flera begrĂ€nsningsregler i 10–12 §§. Person- uppgifter som inte direkt kan hĂ€nföras till en person och som ingĂ„r i samlingar av personuppgifter som behandlas automatiserat fĂ„r t.ex. inte behandlas i syfte att röja en persons identitet (10 §). Vissa personuppgifter som har samlats in för att behandlas inom olika avgrĂ€nsade studier, uppföljningar eller utvĂ€rderingar fĂ„r endast under vissa förutsĂ€ttningar sambearbetas med varandra (11 §). TillgĂ„ngen till personuppgifter ska dessutom begrĂ€nsas till vad var och en be- höver för att kunna fullgöra sina arbetsuppgifter (12 §).

SÄdan behandling av personuppgifter vid IFAU som inte Àr sÀr- skilt reglerad i lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering och den tillhörande förordningen sker med stöd av dataskyddsförordningen och dataskyddslagen.

5.6Inspektionen för socialförsÀkringen (ISF)

ISF har enligt förordningen (2009:602) med instruktion för Inspek- tionen för socialförsÀkringen till uppgift att utöva systemtillsyn över och utföra effektivitetsgranskning inom socialförsÀkringsomrÄdet, i huvudsak av den verksamhet som bedrivs av FörsÀkringskassan, Pensionsmyndigheten, i de delar som inte stÄr under Finansinspek- tionens tillsyn, och Skatteverket, i de delar som avser beslut om pen- sionsgrundande inkomst. Utredningen om personuppgiftsbehand- lingen vid ISF har i SOU 2014:67 lÀmnat förslag till en lag om behandlingen av personuppgifter inom ISF:s tillsyns- och gransk- ningsverksamhet. Förslaget har Ànnu inte lett till nÄgon lagstiftning, sÄ ISF behandlar i dag personuppgifter bara med stöd av dataskydds- förordningen och dataskyddslagen.

Personuppgifter ska enligt 6 § i den föreslagna lagen om be- handling av personuppgifter inom verksamheten för Inspektionen för socialförsÀkringen fÄ behandlas om det behövs för att fullgöra inspektionens uppdrag att vid sin systemtillsyn eller effektivitets- granskning genomföra undersökningar av rÀttstillÀmpning, hand- lÀggning och administration inom socialförsÀkringsomrÄdet och inom verksamheter med direkt anknytning till socialförsÀkringen, effekter av förÀndringar inom socialförsÀkringsomrÄdet och nyttjandet av

81

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

socialförsÀkringen och av system som grÀnsar till socialförsÀkringen. Personuppgifter ska Àven fÄ behandlas om det behövs för att inspek- tionen vid sin systemtillsyn och effektivitetsgranskning ska kunna samverka med de tillsynsmyndigheter som berörs av inspektionens tillsyns- eller granskningsverksamhet. Personuppgifter föreslÄs ocksÄ enligt 7 § fÄ behandlas för att fullgöra ett utlÀmnande av uppgifter. DÀrutöver föreslÄs vidarebehandling som inte strider mot finalitets- principen vara tillÄten.

KÀnsliga personuppgifter och uppgifter om lagövertrÀdelser fÄr enligt 8 § förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsÀkringen behandlas om uppgifterna har lÀmnats i ett tillsyns- eller granskningsÀrende eller annars Àr nödvÀndiga för handlÀggningen av ett sÄdant Àrende.

I syfte att minska risken för intrĂ„ng i den personliga integriteten föreslĂ„s i 9 § att det vid ISF ska finnas en integritetsskyddsfunktion. Funktionen ska ha till uppgift att lagra de uppgifter som lĂ€mnas till eller hĂ€mtas in av inspektionen pĂ„ ett sĂ€kert sĂ€tt och förse uppgifter som Ă€r direkt hĂ€nförliga till enskilda med en beteckning. PĂ„ sĂ„ sĂ€tt fĂ„r medarbetare som arbetar med tillsyns- och granskningsĂ€renden normalt inte tillgĂ„ng till personuppgifter som Ă€r direkt hĂ€nförliga till enskilda individer. Integritetsskyddsfunktionen ska ocksĂ„ bereda ISF direktĂ„tkomst till uppgifter i socialförsĂ€kringsdatabasen och administrera behörigheter – bl.a. genom att styra Ă„tkomsten för projektmedarbetare i tillsyns- eller granskningsĂ€renden till uppgifter lagrade pĂ„ inspektionens servrar och till socialförsĂ€kringsdatabasen, nĂ€r de befattningshavare hos ISF som har till uppgift att sköta integ- ritetsskyddsfunktionen (informationsansvariga) av administrativa skĂ€l mĂ„ste delegera en sĂ„dan Ă„tkomst till en projektmedarbetare.8

Även vissa andra skyddsĂ„tgĂ€rder föreslĂ„s, sĂ„som tilldelning och begrĂ€nsning av behörigheter samt kontroll av elektronisk Ă„tkomst.9 Dessutom föreslĂ„s i 13 § att uppgifter i tillsyns- och gransknings- Ă€renden inte ska fĂ„ sammanföras med varandra eller med andra uppgifter i syfte att ta reda pĂ„ en enskild persons identitet.10

ISF bedömer att delar av myndighetens uppföljnings- och utvÀr- deringsverksamhet i praktiken faller inom ramen för forskning sÄ som begreppet definieras i etikprövningslagen.11 Utredningen om

8SOU 2014:67 s. 128.

9SOU 2014:67 s. 137.

10SOU 2014:67 s. 183.

11SOU 2014:67 s. 108.

82

SOU 2018:52

Regleringen av andra analysmyndigheters behandling av personuppgifter

personuppgiftsbehandlingen vid ISF anser att ISF:s möjligheter att behandla kÀnsliga personuppgifter och personuppgifter om lagöver- trÀdelser i första hand bör regleras genom den föreslagna register- lagen, inte genom etikprövningslagens regelsystem. Samtidigt konsta- terar dock samma utredning att ISF:s verksamhet i vissa avseenden bör anses utgöra forskning och att sÄdana projekt bör kunna genom- föras med stöd av ett godkÀnnande frÄn en etikprövningsnÀmnd.12

5.7Myndigheten för kulturanalys

Myndigheten för kulturanalys har enligt förordningen (2011:124) med instruktion för Myndigheten för kulturanalys till uppgift att göra utvÀrderingar, analyser och redovisningar inom kulturomrÄdet. Myndigheten ska ocksÄ ansvara för officiell statistik enligt förord- ningen om den officiella statistiken. För den delen av verksamheten som avser framstÀllning av officiell statistik gÀller statistiklagen och statistikförordningen. Vissa bestÀmmelser i statistiklagen gÀller Àven vid framstÀllning av annan statistik Àn officiell statistik hos myndig- heten. DÀrutöver gÀller dataskyddsförordningen och dataskyddslagen.

5.8Myndigheten för tillvÀxtpolitiska utvÀrderingar och analyser (TillvÀxtanalys)

TillvÀxtanalys har enligt förordningen (2016:1048) med instruktion för Myndigheten för tillvÀxtpolitiska utvÀrderingar och analyser till uppgift att göra utvÀrderingar, analyser och redovisningar avseende nationell och regional tillvÀxt och nÀringslivsutveckling. Myndig- heten svarar ocksÄ för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser fram- stÀllning av officiell statistik, och i vissa fall Àven vid framstÀllning av annan statistik hos myndigheten, gÀller statistiklagen och statistik- förordningen. DÀrutöver gÀller dataskyddsförordningen och data- skyddslagen.

12SOU 2014:67 s. 122.

83

Regleringen av andra analysmyndigheters behandling av personuppgifter

SOU 2018:52

5.9Trafikanalys

Trafikanalys har enligt förordningen (2010:186) med instruktion för Trafikanalys till huvuduppgift att, med utgÄngspunkt i de transport- politiska mÄlen, utvÀrdera och analysera samt redovisa effekter av föreslagna och genomförda ÄtgÀrder inom transportomrÄdet. Vidare ska myndigheten ansvara för att samla in, sammanstÀlla och sprida statistik pÄ transportomrÄdet. Trafikanalys fÄr inom sitt verksam- hetsomrÄde bedriva egen forskning utifrÄn statistiskt material. Myn- digheten svarar ocksÄ för officiell statistik enligt förordningen om den officiella statistiken. För den delen av verksamheten som avser framstÀllning av officiell statistik gÀller statistiklagen och statistik- förordningen. Vidare Àr vissa bestÀmmelser i statistiklagen tillÀmp- liga vid framstÀllning av annan statistik Àn officiell statistik hos Trafikanalys. DÀrutöver gÀller dataskyddsförordningen och data- skyddslagen.

84

6UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

6.1Inledning

I kapitel 4 redovisas de huvudsakliga skÀlen till att Myndigheten för vÄrd- och omsorgsanalys bildades. DÀr beskrivs ocksÄ myndighetens uppdrag enligt förordningen (2010:1385) med instruktion för Myn- digheten för vÄrd- och omsorgsanalys, myndighetens verksamhet och arbetsmetoder. Utredningen konstaterar att myndigheten, för att kunna fullgöra sitt uppdrag, behöver behandla personuppgifter, Àven vissa kÀnsliga personuppgifter. MÄnga av de analyser myndig- heten behöver utföra förutsÀtter behandling av personuppgifter som samlas in frÄn andra aktörer Àn den registrerade sjÀlv, t.ex. frÄn Socialstyrelsens hÀlsodataregister, Statistiska centralbyrÄn eller kva- litetsregister och databaser hos kommuner och landsting. De per- sonuppgifter som Myndigheten för vÄrd- och omsorgsanalys för sin analysverksamhet behöver fÄ frÄn Socialstyrelsen och Statistiska centralbyrÄn omfattas av s.k. statistiksekretess hos dessa myndig- heter. OcksÄ i analysverksamheten hos Myndigheten för vÄrd och omsorgsanalys omfattas personuppgifterna av statistiksekretess (se avsnitt 6.5).

Utredningens huvuduppdrag i denna del Àr att utreda behovet av en sÀrskild författning med bestÀmmelser om personuppgifts- behandling för Myndigheten för vÄrd- och omsorgsanalys. Utred- ningen ska dock, enligt tillÀggsdirektiv, ocksÄ analysera de rÀttsliga möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgs- analys för anvÀndning i myndighetens analysprojekt och vid behov

85

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

lÀmna författningsförslag som möjliggör nödvÀndigt uppgiftslÀm- nande. Utredningen redogör dÀrför i detta kapitel för den reglering som finns om utlÀmnande av personuppgifter frÄn Socialstyrelsen och Statistiska centralbyrÄn.

6.2Myndighetens behov

6.2.1Myndighetens behov av att anvÀnda redan befintliga data som finns hos andra aktörer

I avsnitt 4.4.2 ges nÄgra exempel pÄ regeringsuppdrag dÀr frÄgan om behovet för Myndigheten för vÄrd- och omsorgsanalys att behandla personuppgifter som finns hos andra aktörer aktualiserats. Andra exempel pÄ frÄgestÀllningar som myndigheten genom regeringsupp- drag har fÄtt i uppgift att analysera, och som krÀver att personupp- gifter hÀmtas frÄn andra myndigheter, Àr:

‱Finns det socioekonomiska skillnader i tillgĂ„ngen till kirurgisk behandling av prostatacancer?

‱Hur har vĂ„rdval inom den specialiserade vĂ„rden pĂ„verkat vĂ„rd- utnyttjandet mellan olika socioekonomiska grupper av patienter?

‱Hur har fördelningen av antalet vĂ„rdkontakter i primĂ€rvĂ„rden pĂ„ olika socioekonomiska grupper utvecklats före och efter vĂ„rd- valsreformen?

‱Vem besöker första linjens vĂ„rd, det vill sĂ€ga primĂ€rvĂ„rden, öppen specialistvĂ„rd eller akutmottagning?

Sammanfattningsvis kan sÀgas att myndigheten behöver kunna in- hÀmta personuppgifter frÄn andra aktörer och bearbeta uppgifterna pÄ egen hand. Det Àr inte tillrÀckligt att myndigheten, av en annan aktör, fÄr uppgifterna sammanstÀllda i en form som innebÀr att det inte lÀngre Àr frÄga om personuppgifter.

Myndigheten för vÄrd- och omsorgsanalys har angett tre huvud- sakliga skÀl till det.

För det första bör Myndigheten för vÄrd- och omsorgsanalys ges tillrÀckliga analysmÀssiga förutsÀttningar för att kunna genomföra uppdragen pÄ bÀsta möjliga sÀtt. Syftet med att behandla person- uppgifterna Àr att nÄ ny kunskap. Uppgifterna bör analyseras ur olika

86

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

synvinklar, för att exempelvis se vilka parametrar som utmĂ€rker sig, vilka förhĂ„llanden som verkar förekomma och hur de hĂ€nger ihop. UtifrĂ„n initiala analyser kan man ta den nya kunskapen som fram- kommit vidare till nĂ€sta steg i analysen. Ibland finns det behov av att gĂ„ tillbaka till de ursprungliga uppgifterna för att kontrollera att resultaten stĂ€mmer, Ă€r relevanta och tillrĂ€ckligt sĂ€kra för att dra en viss slutsats. Det Ă€r vanligt att det i analysprocessen framkommer ny information och kunskap som inte var möjlig att förutse, vilket gör att analysen behöver anpassas. Om myndigheten Ă€r hĂ€nvisad till att be en annan aktör om statistik, kan det innebĂ€ra att myndigheten blir ”lĂ„st” av hur bestĂ€llningen formulerades initialt, utan möjlighet till en undersökande analysprocess. Det kan medföra risk för att sammanstĂ€llningen inte ger tillrĂ€ckliga svar pĂ„ den aktuella frĂ„ge- stĂ€llningen eller att vĂ€sentliga resultat förbises.

Vidare ska myndigheten göra en oberoende analys. Om myndig- heten behöver be den aktör som ska granskas att sjÀlv sammanstÀlla sin egen data i statistikform Ät myndigheten finns det risk för att analyserna, men Àven myndighetens verksamhet i stort, ifrÄgasÀtts.

För det tredje behöver Myndigheten för vÄrd- och omsorgsanalys kunna sÀkra kvaliteten i analysen. Om en annan aktör utför bearbet- ningen av uppgifterna Àr det svÄrt att kvalitetssÀkra den, och myn- digheten blir beroende av en annan aktörs kvalitetssÀkringsmodell. I analyser som bygger pÄ stora datamaterial Àr det svÄrt för den aktör som inte har utfört analysen att fÄ en tillrÀcklig förstÄelse för data- material, resultaten, osÀkerhet i olika moment och hur analysen genomförts. Samtidigt Àr det nödvÀndigt att Myndigheten för vÄrd- och omsorgsanalys har sÄdan förstÄelse för materialet, för att kunna ta ansvar för vad som har gjorts och pÄ vilket sÀtt.

6.2.2Myndighetens behov av att rikta sig direkt till patienter, brukare och andra specifika grupper

I Myndigheten för vÄrd- och omsorgsanalys uppdrag ingÄr att följa upp och analysera vÄrden, omsorgen och tandvÄrden ur ett patient-, brukar-, och medborgarperspektiv. Det kan ocksÄ anges i de speci- fika regeringsuppdragen att myndigheten ska göra analyserna ur ett patient- och medborgarperspektiv.

87

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

För nÀrvarande löser myndigheten detta genom att vÀnda sig till ett urval av befolkningen och frÄga om nÄgon i urvalsgruppen varit patient exempelvis under en viss tid, och om han eller hon i sÄ fall vill delta i en studie. Det Àr en möjlig metod i mÄnga fall, sÀrskilt nÀr myndigheten undersöker breda populationers uppfattningar om nÄgot de flesta har erfarenhet av, till exempel allmÀnhetens syn pÄ primÀr- vÄrden eller pÄ apotekens öppettider.

I flera av myndighetens uppdrag berörs dock specifika grupper av patienter och medborgare. Det kan till exempel röra sig om patienter med cancer, personer med missbruk, personer i en viss Äldersgrupp, personer som lever under socioekonomiskt utsatta förhÄllanden eller som anvÀnder sÀrskilt dyra eller nya lÀkemedel. Myndigheten för vÄrd- och omsorgsanalys har anfört att för att göra de analyser som Àr nödvÀndiga behöver myndigheten i vissa fall nÄ dessa grupper direkt med exempelvis enkÀter för att inhÀmta deras uppfattning om, instÀllning till eller erfarenhet av en viss frÄga eller för att frÄga om deltagande i intervjuer. Uppgifter om vilka personer som tillhör de aktuella mÄlgrupperna finns till exempel i Socialstyrelsens hÀlsodata- register eller Statistiska centralbyrÄns datakÀllor.

Ett exempel pĂ„ ett regeringsuppdrag som aktualiserar frĂ„gan om kontakt med specifika grupper avser analys av de samlade insatserna som genomförs under perioden 2015–2019 inom förlossningsvĂ„rden, övrig hĂ€lso- och sjukvĂ„rd, primĂ€rvĂ„rd samt mammografin.1 Uppdra- get omfattar Ă€ven analys av införandet av kostnadsfria preventiv- medel för personer under 21 Ă„r. Myndigheten ska sĂ€rskilt granska insatserna utifrĂ„n ett patient- och medborgarperspektiv. De insatser som ska utvĂ€rderas riktar sig bl.a. till socioekonomiskt utsatta grupper. För att genomföra denna analys hade det varit lĂ€mpligt om myndig- heten hade kunnat kontakta specifika mĂ„lgrupper t.ex. patienter som varit i förlossningsvĂ„rden, patienter som genomgĂ„tt mammografi eller unga kvinnor.

För att nÄ en specifik grupp personer vÀnder sig myndigheten i dag, som anges i det föregÄende, till allmÀnheten och frÄgar om de exempelvis varit patienter med viss diagnos och vill delta i den specifika studie det Àr frÄga om. Den enskilde kan dÀrigenom lÀmna sitt samtycke, som ocksÄ utgör stöd för behandlingen av person- uppgifter. Myndigheten för vÄrd- och omsorgsanalys har gjort gÀllande att detta tillvÀgagÄngssÀtt inte Àr möjligt i vissa fall, dÄ

1S2016/06724/FS.

88

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

myndigheten inte pĂ„ ett Ă€ndamĂ„lsenligt sĂ€tt kan nĂ„ de grupper av individer som Ă€r aktuella. Med den nuvarande metoden finns det en risk för att urvalet blir för litet för att kunna ge ett tillförlitligt resultat. Det finns ocksĂ„ en risk för att ”fel” individer svarar dĂ„ det inte gĂ„r att sĂ€kerstĂ€lla individers diagnos, socioekonomiska förhĂ„ll- anden och andra omstĂ€ndigheter utifrĂ„n vad de sjĂ€lva uppger. Vidare innebĂ€r detta tillvĂ€gagĂ„ngssĂ€tt att myndigheten belastar lĂ„ngt fler personer Ă€n vad som Ă€r nödvĂ€ndigt. Det kan leda till sĂ€mre svars- frekvens, nĂ„got som redan Ă€r ett stort problem, vilket ocksĂ„ begrĂ€nsar vilka slutsatser som kan dras av undersökningarna.

Med det vidgade uppdrag Myndigheten för vÄrd- och omsorgs- analys fick 2015 krÀvs analyser Àven pÄ exempelvis socialtjÀnstens omrÄde. Enligt myndigheten Àr det svÄrt att genom att vÀnda sig till en större del av befolkningen hitta ett tillrÀckligt antal personer som fÄr insatser frÄn socialtjÀnsten.

6.2.3Myndighetens behov av att rikta sig till personal

I vissa undersökningar behöver Myndigheten om vÄrd- och omsorgs- analys vÀnda sig till olika personalgrupper för att stÀlla frÄgor om deras syn pÄ förhÄllanden inom vÄrden, tandvÄrden och omsorgen. Det rör sig dÄ om frÄgor utifrÄn deras anstÀllning eller utbildning och rör inte deras hÀlsa eller andra typer av kÀnsliga personuppgifter. Urvalet kan dÄ göras med hjÀlp av aktörer som har tillgÄng till upp- gifter om anstÀllda personer. De största begrÀnsningarna för denna typ av undersökningar Àr tillgÄngen till information om vilka perso- ner som ingÄr i olika personalgrupper.

6.2.4Myndighetens behov av att följa utveckling över tid

Som beskrivs i avsnitt 4.2.2 bedrivs analysverksamheten vid Myn- digheten fĂ„r vĂ„rd- och omsorgsanalys i projektform. Ett projekt Ă€r, enligt myndighetens definition, en tidsbegrĂ€nsad arbetsuppgift som ska genomföras inom bestĂ€mda ramar, exempelvis i frĂ„ga om tid, arbetsinsatser och ekonomi. Även om de flesta projekt Ă€r tids- begrĂ€nsade har myndigheten anfört att det i vissa fall kan finnas behov av att Ă„terkommande kunna vĂ€nda sig till en viss grupp för att följa utvecklingen över tid. Det kan röra sig om utvĂ€rderingar dĂ€r

89

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

myndigheten behöver Ă„terkomma till samma individer med samma typer av frĂ„gor för att följa deras syn pĂ„ utvecklingen kring vissa förhĂ„llanden i vĂ„rden. Ett annat exempel Ă€r att myndigheten Ă„ter- kommande vĂ€nder sig till personer som tillhör en grupp med samma frĂ„gor, t.ex. verksamhetschefer i hĂ€lso- och sjukvĂ„rden. Vidare ska myndigheten enligt sin instruktion kontinuerligt utvĂ€rdera sĂ„dan information om vĂ„rden och omsorgen som lĂ€mnas till den enskilde, i frĂ„ga om informationens innehĂ„ll, kvalitet, Ă€ndamĂ„lsenlighet och tillgĂ€nglighet. Även i sĂ„dana fall kan det vara vĂ€rdefullt att efter en tid vĂ€nda sig till samma personer för synpunkter. Myndigheten har ocksĂ„ haft ett Ă„terkommande regeringsuppdrag att fĂ„nga samma frĂ„gor i en internationell jĂ€mförande studie.

6.3UppgiftslÀmnande mellan myndigheter och sekretess

6.3.1UppgiftslÀmnande mellan myndigheter

Enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) ska en myndighet pÄ begÀran av en annan myndighet lÀmna uppgift som den förfogar över, om inte uppgiften Àr sekretessbelagd eller det skulle hindra arbetets behöriga gÄng. BestÀmmelser om sekretess finns i offentlighets- och sekretesslagen och offentlighets- och sekre- tessförordningen (2009:641). Med sekretess avses enligt 3 kap. 1 § offentlighets- och sekretesslagen ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlÀmnande av en allmÀn handling eller pÄ nÄgot annat sÀtt.

Som huvudregel gÀller föreskriven sekretess Àven mellan myndig- heter. Enligt 8 kap. 1 § offentlighets- och sekretesslagen fÄr en upp- gift för vilken sekretess gÀller inte röjas för andra myndigheter, om inte annat anges i lagen eller i lag eller förordning som offentlighets- och sekretesslagen hÀnvisar till.

90

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

6.3.2SekretessbestÀmmelsernas uppbyggnad

Offentlighets- och sekretesslagen innehÄller undantag frÄn offent- lighetsprincipen och sekretess ska dÀrför gÀlla bara om det finns ett sÀrskilt skyddsvÀrt intresse. För att klargöra sekretessens omfatt- ning Àr sekretessbestÀmmelserna som regel utformade med hjÀlp av tre olika slags rekvisit. Rekvisiten anger föremÄlet för sekretessen, sekretessens rÀckvidd och sekretessens styrka.2

Med föremÄlet för sekretessen avses vilket slags uppgift som sekre- tessregleringen avser, t.ex. uppgift om enskilds personliga och eko- nomiska förhÄllanden.

Sekretessens rÀckvidd anger inom vilken verksamhet eller i vilken typ av Àrenden sekretessbestÀmmelsen gÀller. I vissa fall hÀnvisas till en viss bestÀmd myndighet. Om inget annat anges, Àr bestÀmmelsen tillÀmplig inom hela den offentliga förvaltningen.

Sekretessens styrka anges genom ett skaderekvisit. Det finns i huvudsak tvÄ olika typer av skaderekvisit, det raka och det omvÀnda. Vid ett rakt skaderekvisit Àr utgÄngspunkten offentlighet. Det ut- trycks i lagtexten genom att sekretess gÀller om det kan antas att en viss skada intrÀffar om uppgiften röjs. Vid ett omvÀnt skaderekvisit finns det en presumtion för att uppgifterna omfattas av sekretess. Sekretessen uttrycks i dessa fall genom att sekretess gÀller om det inte stÄr klart att uppgiften kan röjas utan skada och men.

I vissa fall innehÄller sekretessbestÀmmelsen inte nÄgot skade- rekvisit. Sekretessen Àr i sÄdana fall absolut, vilket innebÀr att nÄgon sekretessprövning inte ska göras och att uppgiften inte kan lÀmnas ut.

6.3.3PrimÀr och sekundÀr sekretess

Det Àr en grundlÀggande princip i sekretessregleringen att sekretess inte automatiskt överförs mellan myndigheter.3 En sekretessbestÀm- melse som gÀller för en uppgift hos en myndighet blir inte utan sÀrskild reglering tillÀmplig hos en annan myndighet nÀr uppgiften lÀmnas dit. Detta har i förarbetena motiverats med att behovet av och styrkan i en sekretess inte kan bestÀmmas enbart med hÀnsyn till sekretessintresset, utan mÄste i varje sammanhang vÀgas mot

2Prop. 1979/80:2 Del A s. 72 f. och SOU 2003:99 s. 78 f.

3Prop. 2008/09:150 s. 315.

91

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

intresset av insyn i myndigheternas verksamhet.4 Kravet pÄ offent- lighet kan innebÀra att vissa uppgifter, som betraktas som hemliga hos en myndighet, Àr offentliga hos en annan myndighet som har inhÀmtat dem hos den förstnÀmnda myndigheten.

För att en uppgift ska omfattas av sekretess gÀller som huvudregel att det ska finnas en primÀr sekretessbestÀmmelse. Med en primÀr sekretessbestÀmmelse avses enligt 3 kap. 1 § offentlighets- och sekre- tesslagen en sekretessbestÀmmelse som en myndighet ska tillÀmpa pÄ grund av att bestÀmmelsen riktar sig direkt till myndigheten eller omfattar viss verksamhetstyp eller Àrendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter hos myndigheten. Ett alternativ Àr att det finns en sÀrskild överföringsbestÀmmelse som medför att sekretessen sprids utanför sitt ursprungliga tillÀmpnings- omrÄde, en sekundÀr sekretess. Enligt definitionen i offentlighets- och sekretesslagen Àr en sekundÀr sekretessbestÀmmelse en bestÀm- melse om sekretess som en myndighet ska tillÀmpa pÄ grund av en bestÀmmelse om överföring av sekretess (3 kap. 1 § offentlighets- och sekretesslagen).

6.4Sekretess för uppgifter hos Socialstyrelsen och Statistiska centralbyrÄn

För att kunna utföra sitt uppdrag i enlighet med sin instruktion har Myndigheten för vÄrd- och omsorgsanalys gjort gÀllande att myn- digheten behöver kunna hÀmta och behandla personuppgifter frÄn bland annat Socialstyrelsen och Statistiska centralbyrÄn. SkÀlet till att myndigheten inte kan fÄ tillgÄng till data i den omfattning och av den sort som behövs för vissa av myndighetens uppdrag Àr att uppgifterna Àr skyddade av sÄ kallad statistiksekretess hos Social- styrelsen och Statistiska centralbyrÄn. Nedan följer en kort redogör- else för regleringen av statistikansvariga myndigheter och vad den fÄr för konsekvenser för möjligheten för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till Myndigheten fÄr vÄrd och omsorgsanalys.

4Prop. 1979/80:2 Del A s. 75 f.

92

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

6.4.1Lagen om den officiella statistiken och statistikansvariga myndigheter

Den officiella statistiken regleras i lagen om den officiella statistiken (2001:99), statistiklagen, och förordningen (2001:100) om den offi- ciella statistiken, statistikförordningen. Statistiklagen innehÄller be- stÀmmelser som kompletterar dataskyddsförordningen vid behandling av personuppgifter vid framstÀllning av officiell statistik. Vid be- handling av personuppgifter med stöd av statistiklagen gÀller data- skyddslagen och föreskrifter som har meddelats med stöd av lagen, om inte annat följer av statistiklagen eller föreskrifter som meddelats i anslutning till lagen. Av 1 kap. 1 § tredje stycket statistiklagen fram- gÄr att vissa bestÀmmelser i lagen Àr tillÀmpliga Àven vid framstÀllning av annan statistik Àn officiell statistik hos en statistikansvarig myn- dighet.

Enligt 3 § statistiklagen ska officiell statistik finnas för allmÀn information, utredningsverksamhet och forskning. Den ska vara objektiv och allmÀnt tillgÀnglig (3 a § statistiklagen). I lagen anges ocksÄ vilka kvalitetskriterier som ska tillÀmpas nÀr den officiella statistiken utvecklas, framstÀlls och sprids.

Ansvaret för den officiella statistiken Àr fördelat pÄ ett antal stat- liga myndigheter. Regeringen beslutar inom vilka omrÄden det ska finnas officiell statistik och vilka myndigheter som ska ansvara för denna, s.k. statistikansvariga myndigheter. Vilka de statistikansvariga myndigheterna Àr och vilka ansvarsomrÄden respektive myndighet har regleras i en bilaga till statistikförordningen.

Statistiska centralbyrÄn Àr den dominerande statistikproducenten och svarar för en stor del av den officiella statistiken. Myndigheten ansvarar bl.a. för officiell statistik inom omrÄdena arbetsmarknad, befolkning, hushÄllens ekonomi och levnadsförhÄllanden.

Socialstyrelsen ansvarar för officiell statistik som rör hÀlsa och sjukdomar, hÀlso- och sjukvÄrd, dödsorsaker, individ- och familje- omsorg, Àldre- och handikappomsorg samt stöd och service till funktionshindrade.

Av 14 § statistiklagen framgÄr att en statistikansvarig myndighet fÄr behandla personuppgifter för framstÀllning av statistik, om inte annat följer av 15 §. Av den senare paragrafen framgÄr att kÀnsliga personuppgifter och personuppgifter som rör fÀllande domar i brott-

93

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

mÄl och övertrÀdelser eller dÀrmed sammanhÀngande sÀkerhets- ÄtgÀrder (artiklarna 9.1 och 10 i dataskyddsförordningen) fÄr behand- las om det följer av föreskrifter som regeringen meddelar. I en bilaga till statistikförordningen anges för vilka ÀndamÄl de statistikansva- riga myndigheterna fÄr behandla kÀnsliga personuppgifter och per- sonuppgifter som avser brott, domar i brottmÄl och straffprocessuella tvÄngsmedel och vilka kategorier av sÄdana personuppgifter som fÄr behandlas.

Vid framstÀllning av annan statistik Àn officiell statistik fÄr kÀnsliga personuppgifter och personuppgifter som rör fÀllande domar i brott- mÄl och övertrÀdelser eller dÀrmed sammanhÀngande sÀkerhets- ÄtgÀrder ocksÄ behandlas om behandlingen Àr nödvÀndig för sta- tistiska ÀndamÄl och samhÀllsintresset av det statistikprojekt dÀr behandlingen klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. Per- sonuppgifterna fÄr ocksÄ behandlas om de ingÄr i ett forsknings- projekt och behandlingen har godkÀnts enligt etikprövningslagen (15 § andra stycket statistiklagen). BestÀmmelserna i dataskydds- förordningen om rÀtten till rÀttelse och rÀtten till begrÀnsning av behandling av personuppgifter (artiklarna 16 och 18) gÀller inte vid behandling av personuppgifter som Àr tillÄten enligt statistiklagen (15 a § statistiklagen).

NÀr en statistikansvarig myndighet lÀmnar ut personuppgifter som inte direkt kan hÀnföras till en enskild, fÄr myndigheten i sam- band med utlÀmnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnum- mer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna (16 § statistiklagen). En sÄdan ÄtgÀrd fÄr vidtas om den som uppgifterna lÀmnas ut till ska anvÀnda dessa för forskning eller statistik samt har ett sÀrskilt behov av att senare kunna komplettera uppgifterna. I 17 § statistiklagen förtydligas att personuppgifter som lÀmnats ut med stöd av 16 § endast fÄr behandlas för forskning och statistik hos mottagaren.

94

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

6.4.2Statistiksekretess

I sÄdan sÀrskild verksamhet hos en myndighet som avser framstÀll- ning av statistik gÀller sekretess för uppgift som avser en enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde. Det framgÄr av 24 kap.8 § offentlighets- och sekretess- lagen. BestÀmmelsen reglerar sekretessen för den statistikproduk- tion som sker vid statistikansvariga myndigheter, statistiksekretessen.

Motsvarande sekretess gÀller enligt 24 kap. 8 § andra stycket offentlighets- och sekretesslagen bl.a. vid annan jÀmförbar under- sökning som utförs av en myndighet i den utstrÀckning regeringen meddelar föreskrifter om det.

För uppgift i en allmÀn handling gÀller sekretessen i högst sjuttio Är, om uppgiften avser en enskilds personliga förhÄllanden, och annars i högst tjugo Är.

6.4.3Vad Àr statistik?

Statistiksekretess gÀller i sÄdan sÀrskild verksamhet som avser fram- stÀllning av statistik. Vad som avses med statistik anges inte i stati- stiklagen eller statistikförordningen.

I motiven till statistiklagen anges att statliga myndigheter fram- stÀller statistik för olika ÀndamÄl.5 Först nÀmns sÄdan statistik som tas fram genom sammanstÀllning och bearbetning av uppgifter som myndigheterna förfogar över för att följa upp, bedöma och utvÀrdera sin egen verksamhet, s.k. driftstatistik. Statistiklagens reglering avser emellertid sÄdan statistik som framstÀlls av Statistiska centralbyrÄn och vissa andra myndigheter, och som har ett vidare syfte. Denna statistik bygger pÄ uppgifter som antingen samlas in direkt frÄn enskilda fysiska eller juridiska personer eller inhÀmtas frÄn admini- strativa kÀllor. Denna typ av statistik, den officiella statistiken, fÄr inte pÄverkas av ovidkommande faktorer och den fÄr inte heller utformas för att tjÀna vissa syften. Det ska vara en grundlÀggande statistisk information inom olika samhÀllsomrÄden för samhÀlls- planering, forskning, allmÀn information och för internationell rapportering. Statistiska metoder ska anvÀndas som garanterar att statistiken inte kan ifrÄgasÀttas ur sÄdana synvinklar. Statistiken ska

5Prop. 1991/92:118 s. 12 f. och 22 f.

95

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

ocksÄ offentliggöras pÄ sÄdant sÀtt att den Àr enkelt Ätkomlig för de behov som ska tillgodoses.

I propositionen som föregick de senaste Àndringarna i bestÀm- melserna om statistiksekretess diskuteras begreppet statistik.6 Det konstateras att uttrycket statistik inte definieras i offentlighets- och sekretesslagen eller i nÄgon annan lagstiftning. I allmÀnt sprÄkbruk anvÀnds statistik huvudsakligen i tvÄ olika betydelser. Den ena bety- delsen av statistik Àr sÄsom en beteckning pÄ en vetenskaplig disciplin. Ursprungligen menades med statistik en vetenskap som handlade om rÄdande förhÄllanden, i synnerhet politiska, sociala och eko- nomiska förhÄllanden, inom en stat eller olika stater. Statistiken som vetenskaplig disciplin kom senare att Àven inom fler omrÄden handla om metoder för insamling, bearbetning, redovisning och analys av data.

Statistik kan Àven avse sammanstÀllningar av data, vanligen i tabeller eller liknande, sammanstÀllningar som ofta Ästadkoms med de olika metoder för insamling, bearbetning, redovisning och analys som utvecklats inom den statistiska vetenskapen.

I propositionen dras slutsatsen att med statistik avses i 24 kap. 8 § offentlighets- och sekretesslagen den senare av de nÀmnda betydel- serna, dvs. sammanstÀllning av data. Statistik framstÀlls i mÄnga olika sammanhang. All statistikframstÀllning omfattas emellertid inte av bestÀmmelserna om statistiksekretess. Det beror inte pÄ att ut- trycket statistik har nÄgon sÀrskild betydelse i offentlighets- och sekretesslagen. Det beror i stÀllet pÄ att bestÀmmelsen bara Àr tillÀmp- lig i viss verksamhet som avser framstÀllning av statistik. Det gÀller dels sÀrskild statistikverksamhet hos myndigheter, dels vissa under- sökningar hos myndigheter.

6.4.4SĂ€rskild statistikverksamhet

BestĂ€mmelsen om statistiksekretess Ă€r tillĂ€mplig i ”sĂ€rskild verk- samhet för framstĂ€llning av statistik”. Av förarbetena till den tidi- gare sekretesslagen (1980:100) framgĂ„r att en och samma uppgift hos en myndighet kan vara offentlig nĂ€r den anvĂ€nds hos en hand- lĂ€ggande avdelning, men sekretessreglerad hos en avdelning som

6Prop. 2013/14:162 s. 8.

96

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

framstÀller statistik.7 För statistiksekretessens rÀckvidd Àr det sÄledes inte avgörande varifrÄn uppgifterna kommer eller hur de har kommit till myndigheten, utan i vilken verksamhet de förekommer. Det Àr en allmÀnt utredande verksamhet utan anknytning till nÄgot sÀrskilt Àrende som avses. Ett typexempel Àr den verksamhet som avser framstÀllning av den officiella statistiken.

BestĂ€mmelsen om statistiksekretess Ă€r inte tillĂ€mplig i all verk- samhet som avser framstĂ€llning av statistik, utan endast ”sĂ€rskild verksamhet”. Med sĂ€rskild verksamhet avses verksamhet som Ă€r skild frĂ„n annan verksamhet hos myndigheten. UtmĂ€rkande Ă€r att verksamheten Ă€r organiserad som en egen enhet eller liknande. Vid bedömningen av frĂ„gan om en sĂ€rskild verksamhet Ă€r en verksamhet för framstĂ€llning av statistik mĂ„ste en helhetsbedömning göras av verksamheten.8 Om den sĂ€rskilda verksamhetens huvudsakliga syfte Ă€r att framstĂ€lla statistik Ă€r bestĂ€mmelsen om statistiksekretess tillĂ€mplig. BestĂ€mmelsen Ă€r inte tillĂ€mplig i en verksamhet som har nĂ„got annat Ă€n statistikframstĂ€llning som sitt frĂ€msta syfte, Ă€ven om det i den verksamheten skulle förekomma insamling eller bearbet- ning av uppgifter med hjĂ€lp av statistiska metoder. Vidare Ă€r det, för att en sĂ€rskild verksamhet ska bedömas som en verksamhet för framstĂ€llning av statistik, inte nödvĂ€ndigt att verksamheten leder till en slutlig statistikprodukt. Det kan vara tillrĂ€ckligt att det inom verksamheten samlas in uppgifter som bearbetas, analyseras och redovisas vidare i en annan myndighets sĂ€rskilda verksamhet. En förut- sĂ€ttning Ă€r dock att den andra myndighetens sĂ€rskilda verksamhet kan karaktĂ€riseras som en verksamhet för framstĂ€llning av statistik.

6.4.5Annan jÀmförbar undersökning

Vissa undersökningar omfattas av statistiksekretess trots att de ge- nomförs utanför en sÀrskild verksamhet för framstÀllning av statistik eller avser nÄgot annat Àn statistik. Det gÀller enligt 24 kap. 8 § andra stycket offentlighets- och sekretesslagen annan jÀmförbar under- sökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittévÀsendet. Detsamma gÀller annan jÀmförbar undersökning som utförs av nÄgon annan

7Prop. 1979/80:2 del A s. 263.

8Prop. 1979/80:2 del A s. 265 och prop. 2013/14:162 s. 8.

97

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

myndighet i den utstrÀckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen har regeringen föreskrivit att statistiksekretess ska gÀlla hos vissa angivna myndig- heter, avseende de undersökningar som anges och för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde. Detta gÀller t.ex. Myndigheten för vÄrdanalys, se avsnitt 6.5. I vissa fall anges sÀrskilda begrÀnsningar i sekretessen.

I lagens förarbeten nÀmns som exempel pÄ annan med statistik jÀmförlig undersökning som utförs av myndighet undersökningar som har till syfte att belysa flygsÀkerhetsrisker, angÄende trivseln i arbetet och instÀllning till överordnande eller rör konstruktionen av mÀtinstrument inom psykologi och andra beteendevetenskaper. Vidare nÀmns kriminologiska undersökningar för forskningsÀndamÄl och enkÀter som görs av kommittéer. Dessa och liknande undersök- ningar kan enligt förarbetena inte alltid sÀgas ske för statistiska Ànda- mÄl.9

6.4.6Uppgift om enskilds personliga eller ekonomiska förhÄllande

Statistiksekretessen gÀller för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde. HÀrigenom skyddas inte bara sÄdana uppgifter som innehÄller identitetsbeteckningar som namn och personnummer pÄ en enskild utan Àven andra uppgifter som pÄ nÄgot sÀtt kan hÀnföras till en viss enskild.10

6.4.7Absolut sekretess

BestÀmmelsen om statistiksekretess innehÄller inte nÄgot skaderekvi- sit. Statistiksekretessen Àr sÄledes absolut och det Àr som huvudregel förbjudet att lÀmna ut nÄgra som helst uppgifter. SkÀlen till den starka sekretessen för uppgifter i statistikverksamhet diskuteras i förarbetena till den tidigare sekretesslagen. I propositionen anges att

9Prop. 1979/80: 2 Del A s. 263.

10Prop. 1979/80:2 Del A s. 263.

98

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

det i frÄga om statistikuppgifter finns en intressekonflikt mellan önskemÄlet om allmÀn insyn i statistiskt primÀrmaterial och hÀn- synen till den enskildes integritet.11 Ett skÀl att ha en lÄngtgÄende sekretess Àr att offentlighetsintresset i detta sammanhang framstÄr som förhÄllandevis svagt, medan integritetsintresset dÀremot Àr pÄtagligt. Registeruppgifter frÄn exempelvis Statistiska centralbyrÄn Àr visserligen var för sig tÀmligen harmlösa, men en sammanstÀllning av sÄdana uppgifter Àr ofta integritetskÀnslig. Behovet av ett starkt sekretesskydd betrÀffande statistiken beror ocksÄ, enligt proposi- tionen, pÄ att statistikkvaliteten blir dÄlig om inte den enskilde upp- giftslÀmnaren Àr sÀker pÄ att hans eller hennes uppgifter inte kom- mer ut.

SkÀlen för det starka sekretesskyddet utvecklas vidare i förarbet- ena till den senaste Àndringen av bestÀmmelsen om statistiksekre- tess.12 Ett motiv som anges Àr att uppgiftslÀmnarna ska kunna lita pÄ att de uppgifter de lÀmnar inte anvÀnds för andra ÀndamÄl Àn de har samlats in för. Det anförs ocksÄ att det i en statistikverksamhet ofta förekommer uppgifter som hÀmtats in pÄ olika sÀtt och som det Àr praktiskt svÄrt att hÄlla Ätskilda. UppgiftslÀmnarnas förtroende för att uppgifterna endast anvÀnds för de ÀndamÄl de har samlats in för Àr en av de grundlÀggande förutsÀttningarna för framstÀllning av statistik av god kvalitet. Om uppgiftslÀmnarna skulle misstÀnka att uppgifterna kan komma att spridas eller anvÀndas för andra ÀndamÄl Àn de som uppgifterna samlats in för, finns det en risk att uppgifts- lÀmnarna lÀmnar felaktiga uppgifter, snedvridna svar eller helt avstÄr frÄn att lÀmna uppgifter.

I 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen an- ges vissa undantag frÄn den absoluta sekretessen. De som bör tas upp i detta sammanhang Àr undantaget för uppgift som behövs för forsk- nings- och statistikÀndamÄl och uppgift som inte Àr direkt hÀnförlig till den enskilde.

11Prop. 1979/80:2 Del A s. 262.

12Prop. 2013/14:162 s. 13.

99

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

6.4.8Undantaget för uppgift för forsknings- och statistikÀndamÄl

Inledning

Enligt 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen fÄr uppgift som behövs för forsknings- eller statistikÀndamÄl trots sekretessreglering lÀmnas ut, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men. Det omvÀnda skaderekvisitet innebÀr att det finns en presumtion för sekretess.

Möjligheten till utlÀmnande för forsknings- och statistikÀndamÄl Àr avsedd att tillÀmpas mycket restriktivt.13 UtlÀmnande till andra statistikansvariga myndigheter bör i realiteten endast komma i frÄga för sÄdana som sjÀlva tillÀmpar statistiksekretess. DÄ blir skyddet lika starkt som hos de myndigheter som lÀmnar ut uppgifterna.

ForskningsÀndamÄl

Vad som avses med forskningsÀndamÄl anges inte nÀrmare i offent- lighets- och sekretesslagen eller förarbetena till lagen. Undantags- bestÀmmelsen om utlÀmnande av uppgifter för forskningsÀndamÄl motiveras i förarbetena med att det finns behov av att genombryta sekretessen i vissa sÀrskilda fall, sÄsom för forskning om yrkessjuk- domar.14

I förarbetena till den senaste Àndringen av 24 kap. 8 § offentlig- hets- och sekretesslagen anförs att vad som avses med forsknings- ÀndamÄl till viss del klargjorts genom domstolarnas tillÀmpning av undantagsbestÀmmelsen.15 I propositionen hÀnvisas till tvÄ rÀttsfall.

I RÅ 1992 not. 456 begĂ€rde en utredare med uppdrag hos Statens jordbruksverk att hos Statistiska centralbyrĂ„n fĂ„ ut en förteckning av mĂ„lnummer och respektive tingsrĂ€tt avseende brotten djurplĂ„geri och brott mot djurskyddslagen. Uppgifterna lĂ€mnades inte ut. Upp- gifterna medgav direkt identifiering av de personer som mĂ„len gĂ€llde och det Ă€ndamĂ„l som uppgifterna hade begĂ€rts ut för ansĂ„gs snarare vara att hĂ€nföra till ett bestĂ€mt utredningsuppdrag Ă€n vetenskapligt studium.

13Prop. 1994/95:200 s. 28 och 38.

14Prop. 1979/80:2 del A s. 264.

15Prop. 2013/14:162 s. 10.

100

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

I rĂ€ttsfallet RÅ 2004 ref. 9 begĂ€rde en medicinklinik att frĂ„n Socialstyrelsens dödsorsaksregister fĂ„ uppgift om dödsorsak betrĂ€ff- ande vissa namngivna före detta patienter. Uppgifterna skulle samman- stĂ€llas i statistiska tabeller och anvĂ€ndas för kvalitetsuppföljning inom vĂ„rden. Erfarenheter frĂ„n vĂ„rden av tidigare, sedermera avlidna patienter skulle anvĂ€ndas vid vĂ„rden av levande patienter. Regerings- rĂ€tten (numera Högsta förvaltningsdomstolen) konstaterade att vad som avses med forskningsĂ€ndamĂ„l inte har preciserats i lagtexten och att inte heller förarbetena ger nĂ„gon ledning för faststĂ€llande av innebörden av begreppet forskningsĂ€ndamĂ„l. Efter en genomgĂ„ng av 2 § etikprövningslagen och 3 § lagen (1998:543) om hĂ€lsodataregister i deras dĂ„varande lydelser samt vissa förarbetsuttalanden uttalade RegeringsrĂ€tten att den Ă„tskillnad som i olika sammanhang görs mellan forskning Ă„ ena sidan och uppföljning, utvĂ€rdering och kvali- tetssĂ€kring Ă„ andra sidan bör upprĂ€tthĂ„llas Ă€ven vid tillĂ€mpning av den nu aktuella bestĂ€mmelsen. Uppgifterna kunde dĂ€rför inte lĂ€mnas ut med hĂ€nvisning till att de skulle behövas för forskningsĂ€ndamĂ„l.

StatistikÀndamÄl

Sedan en lagÀndring 1995 fÄr Àven uppgifter som behövs för stati- stikÀndamÄl lÀmnas ut efter en skadeprövning. Syftet med lagÀnd- ringen var att sÀkra tillgÄngen till uppgifter för framstÀllning av statistik, framför allt den officiella statistiken, Àven i de fall det inte finns bestÀmmelser om uppgiftsskyldighet som bryter statistiksekret- essen.16

I förarbetena till den senaste Àndringen av bestÀmmelsen om statistiksekretess konstateras att det inte anges i lagtexten och inte heller explicit uttrycks i förarbetena vad som avses med statistik- ÀndamÄl.17 Det anförs att det, mot bakgrund av lagstiftningens syfte, Àr rimligt att tolka uttrycket statistikÀndamÄl sÄ att det endast om- fattar anvÀndning av uppgifterna för framstÀllning av statistik utan anknytning till nÄgot sÀrskilt Àrende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska anvÀndas i ett sÀrskilt Àrende, kan de sÄledes inte lÀmnas ut med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl.

16Prop. 1994/95:200 s. 28.

17Prop. 2013/14:162 s. 11.

101

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

6.4.9Undantaget för uppgifter som inte Àr direkt hÀnförliga till den enskilde

Uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhĂ„llande Ă€r direkt hĂ€nförlig till den enskilde fĂ„r lĂ€mnas ut. Det fĂ„r dock bara ske under förutsĂ€ttning att det stĂ„r klart att uppgiften kan röjas utan att den enskilde eller denne nĂ€rstĂ„ende lider skada eller men. Även hĂ€r gĂ€ller sĂ„ledes ett omvĂ€nt skaderekvisit. Undantaget infördes för att tillgodose behovet av detaljerad stati- stik.18 BestĂ€mmelsen avser inte bara utlĂ€mnande för forsknings- och statistikĂ€ndamĂ„l, utan Ă€r generellt tillĂ€mplig. Med likande förhĂ„ll- ande avses enligt förarbetena exempelvis telefonnummer eller fastig- hetsbeteckning. Begreppet enskild omfattar ocksĂ„ avliden.19

6.5Sekretess för uppgifter hos Myndigheten för vÄrd- och omsorgsanalys

Regeringen har med stöd av 24 kap. 8 § andra stycket offentlighets- och sekretesslagen meddelat föreskrifter om sekretess i 7 § offent- lighets- och sekretessförordningen. I bestÀmmelsen regleras sekre- tess för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden hos ett antal myndigheter avseende vissa sÀrskilda under- sökningar.

Hos Myndigheten för vÄrd- och omsorgsanalys gÀller sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden i tvÄ typer av undersökningar, dels sÄdana som rör vÄrdens och omsorgens funktionssÀtt samt om effektiviteten i stat- liga Ätaganden och verksamheter inom vÄrd och omsorg, dels utvÀr- deringar av information om vÄrd och omsorg som lÀmnas till enskilda samt av statliga reformer och andra statliga initiativ inom vÄrd och omsorg.

18Prop. 1979/80:2 Del A s. 264.

19Prop. 1979/80:2 Del A s. 264.

102

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

I dessa typer av undersökningar och utvÀrderingar gÀller sÄledes som huvudregel absolut sekretess för uppgifter som avser enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde. Undantag frÄn den absoluta sekretessen gÀller enligt 24 kap. 8 § tredje stycket första meningen, dvs. för uppgift som behövs för forsknings- och statistikÀndamÄl och uppgift som inte Àr direkt hÀnförlig till den enskilde, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men. För uppgift i en allmÀn handling gÀller sekretessen i högst sjuttio Är, om uppgiften avser enskildas personliga förhÄllan- den, och annars i högst tjugo Är.

6.6Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

Som anges i det föregÄende Àr den sekretess som föreskrivs i 24 kap.

8§ offentlighets- och sekretesslagen absolut. Det innebÀr att uppgift som avser enskilds personliga eller ekonomiska förhÄllanden som huvudregel inte fÄr lÀmnas ut. Sekretess gÀller i regel Àven mellan myndigheter, dvs. Àven mellan Socialstyrelsen och Statistiska central- byrÄn i förhÄllande till Myndigheten för vÄrd- och omsorgsanalys. FrÄgan Àr om nÄgot av de undantag frÄn statistiksekretessen som redovisas ovan Àr tillÀmpliga i de fall Myndigheten om vÄrd- och omsorgsanalys begÀr ut personuppgifter frÄn Socialstyrelsen eller Statistiska centralbyrÄn för att anvÀnda i sin analysverksamhet.

6.6.1Undantaget för uppgift som behövs för forskningsÀndamÄl

Som redovisats i det föregÄende har Myndigheten för vÄrd- och omsorgsanalys till uppgift att följa upp och analysera verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg. Myndigheten ska vidare följa upp och analysera vÄrdens och om- sorgens funktionssÀtt, effektivitetsgranska statliga Ätaganden och verksamheter samt bistÄ regeringen med underlag och rekommen- dationer för effektivisering av statlig verksamhet och styrning. Till

103

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

myndighetens arbetsuppgifter hör ocksÄ att utvÀrdera sÄdan infor- mation om vÄrden och omsorgen som lÀmnas till den enskilde, bistÄ med utvÀrderingar och uppföljningar av beslutade eller genomförda statliga reformer och andra statliga initiativ samt att bedriva om- vÀrldsbevakning och genomföra internationella jÀmförelser. I myn- dighetens uppdrag ingÄr sÄledes inte uttryckligen forskning, och som anges i avsnitt 4.2.2 anser myndigheten inte att dess verksamhet i dag utgör forskning. Merparten av myndighetens anstÀllda Àr dock disputerade forskare och myndigheten anlitar externa forskare som bedriver forskning pÄ myndighetens uppdrag. Myndigheten tillÀmpar vidare vetenskapliga principer och metoder i sitt analysarbete.

Myndigheten för vÄrd- och omsorgsanalys har till regeringen lÀmnat in en begÀran om Àndring av myndighetens instruktion som innebÀr att en del av myndighetens verksamhet ska kvalificeras som forskning. NÄgon sÄdan Àndring har inte genomförts. Det Àr inte heller sÀkert att en Àndring av instruktionen Àr tillrÀckligt för att uppgifter ska kunna lÀmnas frÄn Socialstyrelsen och Statistiska centralbyrÄn till Myndigheten för vÄrd- och omsorgsanalys med stöd av undantagsbestÀmmelsen. Det krÀvs ocksÄ att de utlÀmnande myn- digheterna gör bedömningen att de sÀrskilda projekt eller den verk- samhet som uppgifterna ska anvÀndas i bedöms som forskning i det konkreta fallet.

6.6.2Undantaget för uppgift som behövs för statistikÀndamÄl

Myndigheten för vÄrd- och omsorgsanalys Àr inte en statistikansva- rig myndighet. Vid utlÀmnande av uppgifter frÄn Socialstyrelsen och Statistiska centralbyrÄn med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl Àr det emellertid inte nödvÀndigt att den mottagande myndigheten Àr en statistikansvarig myndighet. Social- styrelsen och Statistiska centralbyrÄn gör en prövning av samtliga omstÀndigheter i det enskilda fallet för att bedöma om undantags- bestÀmmelsen Àr tillÀmplig.

Enligt uppgift frÄn Socialstyrelsen Àr det ovanligt att myndig- heten fÄr anledning att fundera kring skillnaden mellan den verksam- het som utförs av statistikansvariga myndigheter och verksamhet i annan med statistik jÀmförlig undersökning som utförs av myndig- het, eftersom utlÀmnande vanligtvis sker till andra statistikansvariga

104

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

myndigheter. Generellt kan dock sÀgas att Socialstyrelsen bara lÀm- nar ut uppgifter frÄn hÀlsodata- och socialtjÀnstregistren nÀr upp- gifterna hos mottagaren ocksÄ omfattas av absolut statistiksekretess. Myndigheten gör en helhetsbedömning av verksamheten, med stöd av de riktlinjer som anges i offentlighets- och sekretesslagens förarbeten (se avsnitt 6.4.4 och 6.4.5) för att avgöra om det rör sig om en sÄdan sÀrskild verksamhet för framstÀllning av statistik eller annan jÀmförbar undersökning som avses i undantagsbestÀmmelsen.

Hos myndigheten för vÄrd- och omsorgsanalys gÀller statistik- sekretess för vissa sÀrskilda undersökningar (se avsnitt 6.5). Det innebÀr emellertid inte att Socialstyrelsen utan vidare prövning kan lÀmna ut personuppgifter till myndigheten. En förutsÀttning Àr att undantaget för statistikÀndamÄl frÄn den absoluta sekretessen Àr tillÀmpligt i det enskilda fallet. Med utgÄngspunkt i förarbetena till offentlighets- och sekretesslagen prövar Socialstyrelsen om person- uppgifterna ska anvÀndas i undersökningar för att framstÀlla statistik i ett allmÀnt utredande syfte, utan samband med nÄgot sÀrskilt Àrende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska anvÀndas i ett sÀrskilt Àrende, kan de inte lÀmnas ut med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl.20

Inte heller Statistiska centralbyrÄn har nÄgra i förvÀg uppstÀllda kriterier som ska vara uppfyllda för att en verksamhet ska anses innefatta sÄdan statistikproduktion som innebÀr att undantaget för statistik i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen blir tillÀmpligt. Bedömningen Àr beroende av om uppgifterna behövs för statistikÀndamÄl hos mottagaren. UtlÀmnandefrÄgor avgörs emellertid inte bara pÄ den grunden att det Àr statistik som ska produceras med det material som myndigheten lÀmnar ut. I bedöm- ningen Àr flera omstÀndigheter av betydelse. Statistiska centralbyrÄn beaktar om det organ som begÀr ut uppgifterna har en avgrÀnsad statistikverksamhet. Det Àr av betydelse om uppgifterna ska lÀmnas ut till en myndighet och om statistiksekretess gÀller för uppgifterna hos den mottagande myndigheten. Vissa mottagare har tidigare prövats och bedömts lÀmpliga att fÄ ut uppgifter med stöd av undantags- bestÀmmelsen, t.ex. vissa kommuner och regioner, och kan fÄ ut uppgifter igen. Den som begÀr ut uppgifter kan ocksÄ visa att det

20JÀmför prop. 2013/14:162 s. 9 och 11.

105

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

finns stöd för ett utlÀmnande av annat skÀl, till exempel pÄ grund av ett sÀrskilt uppdrag frÄn regeringen.

Hittills har utlÀmnande av uppgifter frÄn Socialstyrelsen och Statistiska centralbyrÄn till Myndigheten för vÄrd och omsorgs- analys inte skett med stöd av undantagsbestÀmmelsen för uppgifter som behövs för statistikÀndamÄl.

6.6.3Undantaget för uppgift som inte Àr direkt hÀnförlig till den enskilde

Undantaget för uppgifter som inte genom namn, annan identitets- beteckning eller dÀrmed jÀmförbart förhÄllande Àr direkt hÀnförliga till den enskilde Àr generellt tillÀmpligt, och gÀller inte enbart vid utlÀmnande för forskning- och statistikÀndamÄl. Anonymiserade upp- gifter kan sÄledes lÀmnas ut frÄn Socialstyrelsen eller Statistiska centralbyrÄn trots statistiksekretess, om myndigheterna vid skade- prövningen bedömer att uppgifterna kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men.

Eftersom uppgifter som omfattas av statistiksekretess har ett sĂ„ starkt skydd, innebĂ€r ett utlĂ€mnande som medför att uppgifterna kommer att omfattas av ett svagare sekretesskydd i sig en risk för skada.21 Även om anvĂ€ndningen av uppgifterna hos mottagaren inte medför nĂ„gon skada, kan det svagare sekretesskyddet hos mottag- aren medföra att uppgifterna lĂ€mnas vidare pĂ„ ett sĂ€tt som medför skada. Vid den utlĂ€mnande myndighetens skadeprövning Ă€r det sĂ„- ledes av betydelse vilket sekretesskydd uppgifterna kommer att ha hos den mottagande myndigheten.

NÀr det gÀller skadeprövningen i samband med utlÀmnande av uppgifter till Myndigheten för vÄrd och omsorgsanalys kan det kon- stateras att absolut sekretess gÀller för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden i undersökningar som rör vÄrdens och omsorgens funktionssÀtt samt om effektivi- teten i statliga Ätaganden och verksamheter inom vÄrd och omsorg. SÄdan sekretess gÀller ocksÄ vid utvÀrderingar av information om vÄrd och omsorg som lÀmnas till enskilda samt av statliga reformer och andra statliga initiativ inom vÄrd och omsorg. Sekretesskyddet hos Myndigheten för vÄrd- och omsorgsanalys Àr, nÀr det gÀller

21Prop. 2013/14:162 s. 12.

106

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

sÄdana undersökningar och utvÀrderingar som anges ovan, sÄledes det samma som i statistikverksamheten hos Socialstyrelsen och Statistiska centralbyrÄn. Vid utlÀmnande av uppgifter frÄn Social- styrelsen och Statistiska centralbyrÄn till sÄdana undersökningar och utvÀrderingar hos Myndigheten för vÄrd- och omsorgsanalys lÀr skade- prövningen resultera i att uppgifter kan lÀmnas ut.

Uppgifter, som inte genom namn, annan identitetsbeteckning eller dÀrmed jÀmförbart förhÄllande Àr direkt hÀnförliga till den enskilde kan anvÀndas för vissa typer av analyser och undersökningar hos Myndigheten för vÄrd- och omsorgsanalys. Som beskrivits i avsnitt 4.4.2 har myndigheten emellertid i vissa fall behov av att rikta sig direkt till en viss grupp av patienter, brukare och andra grupper. I sÄdana projekt Àr det inte tillrÀckligt att fÄ tillgÄng till anonymi- serade uppgifter frÄn Socialstyrelsen och Statistiska centralbyrÄn.

Myndigheten har ocksĂ„ behov av att Ă„terkommande vĂ€nda sig till en viss grupp individer för att följa utvecklingen över tid. Även för sĂ„dana utvĂ€rderingar och uppföljningar krĂ€vs uppgifter pĂ„ individ- nivĂ„ för att kunna identifiera en viss grupp och Ă„terkomma till samma personer efter en viss tid. I 16–17 §§ statistiklagen finns det sĂ€rskilda bestĂ€mmelser om att en statistikansvarig myndighet i sam- band med utlĂ€mnande av uppgifter som inte Ă€r direkt hĂ€nförliga till en enskild kan förse uppgifterna med en beteckning som hos den utlĂ€mnande myndigheten kan kopplas till personnummer eller mot- svarande. BestĂ€mmelserna Ă€r avsedda att tillĂ€mpas vid longitudinella studier, det vill sĂ€ga mĂ€tning av utvecklingen över tiden av en och samma företeelse, och sĂ„dana likartade studier.22 En sĂ„dan Ă„tgĂ€rd fĂ„r emellertid bara vidtas om den som uppgifterna lĂ€mnas ut till ska anvĂ€nda dem för forskning eller statistik (17 § statistiklagen).

6.7Sekretessbrytande bestÀmmelser

Huvudregeln Àr att sekretess gÀller Àven mellan myndigheter. Det har dock ansetts att sekretessregleringen inte bör hindra myndig- heter frÄn att utvÀxla uppgifter i de fall dÀr intresset av att upp- gifterna lÀmnas ut bör ha företrÀde framför det intresse som sekre- tessen ska skydda. Ett antal sekretessbrytande bestÀmmelser och

22Prop. 2000/01:27 s. 52 f.

107

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

SOU 2018:52

undantag frÄn sekretessen har dÀrför införts i offentlighets- och sekretesslagen.

BestÀmmelser som endast bryter sekretess enligt en viss bestÀm- melse eller enligt nÄgra fÄ bestÀmmelser finns i anslutning till be- rörda sekretessbestÀmmelser i lagens fjÀrde och femte avdelningar. Om det inte finns nÄgon sÀrskild sekretessbrytande regel, fÄr en bedömning göras om nÄgon av de generella sekretessbrytande bestÀm- melserna i lagens tionde kapitel Àr tillÀmplig. Exempelvis hindrar inte sekretess att en uppgift lÀmnas till en annan enskild eller till en myndighet om den enskilde samtycker till det (10 kap. 1 § offentlig- hets- och sekretesslagen). Enligt den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen fÄr en sekretessbelagd uppgift lÀmnas till en myndighet, om det Àr uppenbart att intresset av att uppgiften lÀmnas har företrÀde framför det intresse som sekretessen ska skydda. Den bestÀmmelsen gÀller dock uttryckligen inte i frÄga om bl.a. statistiksekretess enligt 24 kap. 8 § offentlighets- och sekre- tesslagen (10 kap. 27 § andra stycket offentlighets- och sekretess- lagen).

6.7.1UppgiftslÀmnande pÄ grund av lag eller förordning

Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lÀmnas till en annan myndighet om upp- giftsskyldighet följer av lag och förordning. En uppgiftsskyldighet i en lag eller förordning ska sÄledes gÀlla före en sekretessbestÀmmelse för samma uppgift. PÄ detta sÀtt kan man reglera skyldighet för myndigheter att lÀmna ut uppgifter av ett visst slag, en viss myndig- hets rÀtt att ta del av uppgifter i allmÀnhet eller reglera en myndig- hets skyldighet att lÀmna ut uppgifter till andra myndigheter. Det följer t.ex. av 6 § statistikförordningen att statliga myndigheter har skyldighet att till statistikansvariga myndigheter lÀmna de uppgifter som behövs för framstÀllning av officiell statistik.

108

SOU 2018:52

UtlÀmnande av personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

6.7.2Sekretessbrytande bestÀmmelse för uppgifter hos Socialstyrelsen och Statistiska centralbyrÄn

UtlÀmnande av uppgifter frÄn Socialstyrelsen och Statistiska central- byrÄn kan som huvudregel inte ske pÄ grund av statistiksekretess. I detta sammanhang kan dock övervÀgas om det finns skÀl att i lag eller förordning föreskriva en skyldighet för dessa myndigheter att lÀmna vissa uppgifter till Myndigheten för vÄrd- och omsorgsanalys. FrÄgan Àr om det skulle kunna vara ett sÀtt att tillförsÀkra Myndig- heten för vÄrd- och omsorgsanalys tillgÄng till uppgifter som myn- digheten behöver för att utföra sitt uppdrag.

Inför införandet av en sekretessbrytande bestÀmmelse krÀvs vissa övervÀganden. I detta fall ska behovet av ett starkt skydd för upp- gifter om enskilda hos de statistikansvariga myndigheterna beaktas. Som anförs i avsnitt 6.4.7 Àr ett skÀl för den absoluta sekretessen för uppgifter hos statistikansvariga myndigheter att uppgiftslÀmnarna ska kunna lita pÄ att de uppgifter de lÀmnar inte anvÀnds för andra ÀndamÄl Àn de har samlats in för. UppgiftslÀmnarnas förtroende för att uppgifterna bara anvÀnds för de ÀndamÄl de har samlats in för Àr en av de grundlÀggande förutsÀttningarna för framstÀllning av stati- stik av god kvalitet. Dessa skÀl ska vÀgas mot Myndigheten om vÄrd- och omsorgsanalys behov av snabb och effektiv analys för att kunna fullgöra sitt uppdrag frÄn regeringen. Av betydelse Àr ocksÄ att Myndigheten för vÄrd- och omsorgsanalys ska ha möjlighet att fram- stÀlla korrekta och ÀndamÄlsenliga analyser som kan vara till nytta för patienter, brukare och andra medborgare.

För det fall avvÀgningen resulterar i att uppgiftsskyldighet bör införas för Socialstyrelsen och Statistiska centralbyrÄn krÀvs det för att en sÄdan bestÀmmelse ska beaktas att den har en viss grad av konkretion. Det bör t.ex. övervÀgas om bestÀmmelsen ska ÄlÀgga myndigheterna att lÀmna ut vissa uppgifter eller vissa kategorier av uppgifter. Det bör ocksÄ beaktas om det i bestÀmmelsen ska anges om uppgifterna, för att det ska finnas uppgiftsskyldighet, ska anvÀndas för sÀrskilda ÀndamÄl hos Myndigheten fÄr vÄrd- och omsorgsanalys.

109

ÖVERVÄGANDEN OCH FÖRSLAG

7Behandling av personuppgifter med stöd av dataskyddsförordningen

7.1RÀttslig grund för behandling av personuppgifter

7.1.1Regleringen i dataskyddsförordningen

För att Myndigheten för vĂ„rd- och omsorgsanalys över huvud taget ska kunna behandla personuppgifter, oavsett om dessa Ă€r kĂ€nsliga eller inte, krĂ€vs att det finns en rĂ€ttslig grund för behandlingen. De rĂ€ttsliga grunderna rĂ€knas upp i artikel 6.1 a–f i dataskyddsförord- ningen. Behandling fĂ„r enligt punkten a ske om den registrerade har lĂ€mnat sitt samtycke till behandlingen. Enligt punkten e kan be- handling utföras om den Ă€r nödvĂ€ndig för att utföra en (arbets)upp- gift av allmĂ€nt intresse. Behandling av personuppgifter som utförs av offentliga myndigheter nĂ€r de fullgör sina uppgifter fĂ„r enligt artikel 6.1 andra stycket i dataskyddsförordningen inte ske med stöd av en intresseavvĂ€gning. Det innebĂ€r att Myndigheten för vĂ„rd- och omsorgsanalys inte har möjlighet att behandla personuppgifter i analysverksamheten efter en intresseavvĂ€gning i enlighet med punk- ten f. De övriga rĂ€ttsliga grunder som anges i artikel 6 bedöms inte relevanta för myndighetens kĂ€rnverksamhet. I de följande avsnitten berörs dĂ€rför endast grunderna i punkterna a och e (samtycke och allmĂ€nt intresse).

113

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

7.1.2Behandling med stöd av samtycke

Utredningens bedömning: Myndigheten för vÄrd- och omsorgs- analys har möjlighet att behandla personuppgifter med stöd av samtycke enligt artikel 6.1 a i dataskyddsförordningen.

Behandling av personuppgifter fÄr enligt artikel 6.1 a i dataskydds- förordningen ske om den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ÀndamÄl. Samtycke definieras i artikel 4 punkt 11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig vilje- yttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekrÀftande handling, godtar behandling av personuppgifter som rör honom eller henne. I artikel 7 i dataskydds- förordningen finns ytterligare bestÀmmelser om samtycke, som Àr nya i förhÄllande till dataskyddsdirektivet och personuppgiftslagen. DÀr anges bl.a. att den personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt. En begÀran om samtycke ska göras i en begriplig och lÀtt tillgÀnglig form med anvÀndande av klart och tydligt sprÄk och kunna sÀrskiljas frÄn andra frÄgor. Samtycket kan nÀr som helst tas tillbaka.

Av skÀl 43 till dataskyddsförordningen framgÄr att samtycke inte bör utgöra giltig rÀttslig grund i ett sÀrskilt fall dÀr det rÄder betydande ojÀmlikhet mellan den registrerade och den personupp- giftsansvarige, sÀrskilt om den personuppgiftsansvarige Àr en offentlig myndighet och det dÀrför Àr osannolikt att samtycket har lÀmnats frivilligt nÀr det gÀller alla förhÄllanden som denna sÀrskilda situation omfattar. NÄgon motsvarande skrivning fanns inte i skÀlen till data- skyddsdirektivet. Det kan alltsÄ inte uteslutas att kraven pÄ samtycke i vissa situationer nÀr samtycke utgör den rÀttsliga grunden för behandling av personuppgifter har skÀrpts nÄgot i förhÄllande till vad som gÀllde innan dataskyddsförordningen började tillÀmpas. I skÀl 171 till dataskyddsförordningen finns ocksÄ skrivningar som verkar förut- sÀtta att ett samtycke enligt dataskyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen. DÀr anges nÀmligen att om behandling grundar sig pÄ samtycke enligt dataskyddsdirektivet behöver den registrerade inte lÀmna ett nytt samtycke för att den personuppgiftsansvarige ska kunna fortsÀtta med behandlingen efter det att dataskyddsförordningen har börjat tillÀmpas, om det sÀtt pÄ

114

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

vilket samtycket gavs överensstÀmmer med villkoren i dataskydds- förordningen.

Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden avseende dataskyddsdirektivets krav pÄ att samtycke ska ha lÀmnats frivilligt. I yttrandet anges att typen av registeransvarig kan vara avgörande för valet av rÀttslig grund för behandling av personupp- gifter. Detta gÀller framför allt registeransvariga inom den offentliga sektorn, dÀr behandlingen av personuppgifter normalt Àr knuten till fullgörandet av en rÀttslig förpliktelse eller utförandet av en arbets- uppgift av allmÀnt intresse. Att anvÀnda samtycke som rÀttslig grund i dessa fall Àr inte lÀmpligt. Detta Àr sÀrskilt tydligt nÀr det gÀller hur personuppgifter behandlas av offentliga myndigheter som har offi- ciella maktbefogenheter, t.ex. rÀttsvÄrdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiÀra och rÀttsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vÄrd- situation getts under hot om att medicinsk vÄrd annars inte kommer att ges, eller att medicinsk vÄrd av lÀgre kvalitet kommer att ges, inte kan betraktas som frivilligt. Artikel 29-gruppen menar dock att sam- tycke i undantagsfall kan vara en giltig grund för stater nÀr de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt Àr tillrÀckligt frivilligt.1

Myndigheten för vÄrd- och omsorgsanalys Àr en offentlig myn- dighet dÀr behandlingen av personuppgifter mÄnga gÄnger Àr knuten till utförandet av en arbetsuppgift av allmÀnt intresse. Det finns dÀrför skÀl att analysera om ett samtycke kan lÀmnas frivilligt och dÀrmed utgöra stöd för behandling av personuppgifter.

I egenskap av att vara en oberoende analysmyndighet har myndig- heten ett mycket renodlat uppdrag bestÄende i analys och uppfölj- ning pÄ övergripande nivÄ. Den hanterar inte enskilda personers Àrenden och har alltsÄ inte nÄgon möjlighet att pÄverka utfallet i enskilda Àrenden. Myndigheten analyserar över huvud taget inte enskilda fall som rör individer, utan gör analyser pÄ övergripande nivÄ, generellt sett nationellt. Enskilda personer och fall saknar i den bemÀrkelsen betydelse.

Inte heller fördelar myndigheten ekonomiska bidrag eller har nÄgon direkt inverkan pÄ resursfördelning, som skulle kunna pÄverka enskilda personers situation. Myndigheten har inget tillsynsuppdrag

1Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13–14 och 16–17.

115

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

och utför inga inspektioner. Den har inte heller i övrigt nÄgra makt- befogenheter. Analysobjekt anges i rapporter endast pÄ en över- gripande nivÄ och i sÄdan form att det inte gÄr att hÀrleda uppgifterna till nÄgon enskild, Àven nÀr det rör sig om s.k. goda exempel.

Det sagda innebÀr att myndigheten Àr helt fristÄende frÄn den verksamhet som analyseras. De personer som tillfrÄgas om samtycke, sÄvÀl patienter och brukare som personal vid exempelvis vÄrdinrÀtt- ningar, har ingen relation till myndigheten i övrigt, varför myn- digheten inte kan utöva nÄgon pÄtryckning mot de registrerade. Det bör Àven tillÀggas att genom att myndigheten har ett renodlat upp- drag förhÄller det sig alltid sÄ att myndigheten inte har nÄgon sÄdan överordnad roll i förhÄllande till enskilda personer. Vissa andra myndigheter kan ha mer uppdelade uppdrag, dÀr myndighetsutöv- ning sker pÄ viss avdelning och analys pÄ annan. I de fallen kan det möjligen vara svÄrare för den enskilde att förstÄ vems frÄgor den svarar pÄ. I Myndigheten för vÄrd- och omsorgsanalys fall Àr det dock inte sÄ.

Sammantaget bedömer utredningen att registrerade som exempelvis medverkar i en enkÀtundersökning som ingÄr i ett analysprojekt inte kan sÀgas befinna sig i en sÄdan beroendestÀllning i förhÄllande till myndigheten att kravet pÄ frivillighet inte kan uppfyllas. Samtycke kan sÄledes i de allra flesta fall lÀmnas frivilligt och dÀrmed utgöra grund för behandling av personuppgifter i Myndigheten för vÄrd- och omsorgsanalys verksamhet. Myndigheten mÄste dock göra en bedömning av om kravet pÄ frivillighet Àr uppfyllt i varje enskilt fall. För det fall kravet pÄ frivillighet bedöms vara uppfyllt nÀr det gÀller en viss behandling av personuppgifter som myndigheten utför mÄste Àven de övriga kraven pÄ samtycke i dataskyddsförordningen följas.

Av praktiska skÀl Àr det inte möjligt att stödja all behandling som myndigheten behöver utföra pÄ samtycke. Som anges i avsnitt 4.4.2 Àr det vid genomförande av analyser, som innebÀr att en större mÀngd personuppgifter samlas in frÄn andra aktörer Àn den registrerade sjÀlv, inte hanterbart att inhÀmta samtycke frÄn samtliga registrerade. SÄdan behandling av personuppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hÀlsoegenskap kan inte heller ske med samtycke, eftersom samtycke kan lÀmnas först nÀr kontakt har tagits.

116

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

7.1.3Behandling för att utföra en arbetsuppgift av allmÀnt intresse

Utredningens bedömning: Myndigheten för vÄrd- och omsorgs- analys har möjlighet att behandla personuppgifter med stöd av den rÀttsliga grunden arbetsuppgift av allmÀnt intresse i arti- kel 6.1 e i dataskyddsförordningen.

Arbetsuppgift av allmÀnt intresse

Behandling av personuppgifter fÄr enligt artikel 6.1 e i dataskydds- förordningen ske om den Àr nödvÀndig för att utföra en arbets- uppgift av allmÀnt intresse. Vad som Àr ett allmÀnt intresse definieras varken i dataskyddsförordningen eller i dataskyddsdirektivet. Inne- börden av begreppet allmÀnt intresse i dataskyddsregleringen har Ànnu inte heller nÀrmare utvecklats av EU-domstolen.

HÀlso- och sjukvÄrdsÀndamÄl, sÄsom folkhÀlsa och socialt skydd och förvaltning av hÀlso- och sjukvÄrdstjÀnster inbegrips i enlighet med vad som anges i skÀl 45 till dataskyddsförordningen i allmÀn- intresset.

Datalagskommittén har som exempel pÄ arbetsuppgifter som kan vara av allmÀnt intresse nÀmnt arkivering, forskning, framstÀllning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mÀsterskap eller innehar svenskt rekord i erkÀnda sportgrenar och registrering som sker av personer som har fÄtt allmÀnt erkÀnda utmÀrkelser, t.ex. Nobelpris.2 I andra förarbeten har det ansetts vara ett viktigt allmÀnt intresse t.ex. att RÀttsmedicinalverket kan upprÀtthÄlla och förbÀttra kvaliteten och enhetligheten i sitt arbete med uppföljning, utvÀrdering och kvali- tetssÀkring3, att socialtjÀnsten ska kunna utföra sina arbetsuppgifter pÄ ett tillfredsstÀllande sÀtt4 och att Inspektionen för socialförsÀk- ringen fÄr behandla kÀnsliga personuppgifter vid sin tillsyn och granskning.5 Datainspektionen har bl.a. ansett att förbÀttrande av

2SOU 1997:39 s. 361.

3Prop. 1998/99:72 s. 38.

4Prop. 2000/01:80 s. 144.

5SOU 2014:67 s. 112.

117

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

kvaliteten inom hÀlso- och sjukvÄrden Àr en verksamhet av allmÀnt intresse.6

I förarbetena till dataskyddslagen anges att rent sprÄkligt kan be- greppet uppgift av allmÀnt intresse antas avse nÄgot som Àr av intresse för eller berör mÄnga mÀnniskor pÄ ett bredare plan, i motsats till ett sÀrintresse eller ett enskilt intresse.7 Utöver en hÀn- visning till vad som anges i skÀl 45 till dataskyddsförordningen, konstateras i propositionen att begreppet förekommer i motsvar- ande bestÀmmelser i artikel 7 e dataskyddsdirektivet och 10 § d per- sonuppgiftslagen och att ledning kan hÀmtas frÄn hur begreppet tolkats enligt dessa bestÀmmelser.

Vidare anges att, nÀr personuppgiftslagen var tillÀmplig, nödvÀn- dig behandling av personuppgifter i t.ex. myndigheternas verksam- het kunde ske efter en intresseavvÀgning enligt 10 § f personupp- giftslagen. Den motsvarande bestÀmmelsen i dataskyddsförord- ningen, artikel 6.1 f, gÀller dock inte för behandling som utförs av offentliga myndigheter nÀr de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling pÄ samtycke frÄn den registrerade Àr ocksÄ fortfarande begrÀnsat, i vart fall i sÄdana situationer dÀr det Àr osannolikt att ett samtycke lÀmnas frivilligt (skÀl 43). För att myndigheternas verksamhet ska kunna fungera Àven i fortsÀttningen anser regeringen att begreppet uppgift av allmÀnt intresse mÄste ges en vid betydelse.8

Alla uppgifter som riksdag eller regering gett i uppdrag Ät statliga myndigheter att utföra Àr, enligt propositionen, av allmÀnt intresse.9 Om uppgifterna inte vore av allmÀnt intresse skulle myndigheterna inte ha Älagts att utföra dem. PÄ motsvarande sÀtt Àr de obligatoriska uppgifter som Älagts kommuner och landsting att utföra av allmÀnt intresse. Detta mÄste, enligt propositionen, gÀlla Àven i dataskydds- förordningens mening, eftersom det Àr upp till varje medlemsstat att faststÀlla de uppgifter som Àr av allmÀnt intresse. Begreppet upp- gifter av allmÀnt intresse omfattar dock inte bara sÄdant som utförs som en följd av ett offentligrÀttsligt och uttryckligt Äliggande eller uppdrag. Till skillnad frÄn vad som gÀller enligt artikel 6.1 c i data- skyddsförordningen behöver den personuppgiftsansvarige inte vara

6Datainspektionens rapport 2002:1 Nationella kvalitetsregister, s. 9.

7Prop. 2017/18:105 s. 55 f.

8Prop. 2017/18:105 s. 56.

9Prop. 2017/18:105 s. 56 f.

118

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

skyldig att utföra uppgiften för att den rÀttsliga grunden i led e ska vara tillÀmplig.

I propositionen konstateras alltsÄ att den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, Àr av allmÀnt intresse. Det Àr dÀrmed den rÀttsliga grun- den i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillÀmpas av myndigheter, Àven utanför omrÄdet för myndighetsutövning. Detta utesluter dock inte att ocksÄ andra rÀttsliga grunder samtidigt kan vara tillÀmpliga i vissa situationer.10

NÀr det gÀller behandling av personuppgifter för statistiska ÀndamÄl anges i propositionen att den officiella statistiken och annan reglerad statistik framstÀlls av sÀrskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmÀnt intresse.11 Personuppgifter kan sÄledes samlas in och i övrigt behandlas för detta statistiska ÀndamÄl, utan samtycke frÄn de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen. Detsamma bör, enligt propositionen, gÀlla vid sÄdan statistikverksamhet som Àr nödvÀndig för att t.ex. en myndighet ska kunna utföra sitt faststÀllda uppdrag, Àven om statistik inte uttryckligen nÀmns i uppdraget. I dataskydds- förordningen avses med statistiska ÀndamÄl varje ÄtgÀrd som vidtas för den insamling och behandling av personuppgifter som Àr nöd- vÀndig för statistiska undersökningar eller för framstÀllning av statistiska resultat (skÀl 162). Ett statistiskt ÀndamÄl innebÀr, enligt samma skÀl, att resultatet av behandlingen inte bestÄr av person- uppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte anvÀnds till stöd för ÄtgÀrder eller beslut som avser en sÀrskild privatperson.

Regeringen har genom myndighetsinstruktionen gett Myndig- heten för vÄrd- och omsorgsanalys i uppdrag att bedriva uppföljnings- och analysarbete ur ett patient-, brukar- och medborgarperspektiv. Vid inrÀttandet av myndigheten angavs att en av mÄlsÀttningarna med myndigheten var att stÀrka patienternas och medborgarnas stÀllning och inflytande genom att följa upp, utvÀrdera och effektivitets- granska hÀlso- och sjukvÄrden samt offentliggöra resultaten för patienter, medborgare och andra aktörer inom hÀlso- och sjuk- vÄrden.12 Uppdraget har dÀrefter utvidgats till att Àven omfatta hela

10Prop. 2017/18:105 s. 57.

11Prop. 2017/18:105 s. 122 f.

12Dir. 2010:58.

119

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

socialtjÀnstens omrÄde. Verksamheten bestÄr huvudsakligen i att ta fram kunskapsunderlag och rekommendationer till beslutsfattare rörande vÄrdens och omsorgens funktionssÀtt och styrning. Syftet med myndighetens verksamhet Àr att bidra till att förbÀttra och effektivisera vÄrden, tandvÄrden och omsorgen samt stÀrka patient- ernas och brukarnas stÀllning. Att olika aspekter av verksamheten inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg pÄ detta sÀtt följs upp och utvÀrderas av en oberoende myndighet i syfte att effektivi- sera och förbÀttra verksamheten fÄr anses vara av stort samhÀlleligt intresse.

Det kan ocksÄ konstateras att delar av Myndigheten för vÄrd- och omsorgsanalys analysverksamhet vÀl överensstÀmmer med data- skyddsförordningens definition av en verksamhet med ett statistiskt ÀndamÄl. Resultatet av myndighetens behandling bestÄr inte av personuppgifter, utan av aggregerade personuppgifter, och resultatet anvÀnds inte till stöd för ÄtgÀrder eller beslut som avser en sÀrskild person. Myndigheten för vÄrd- och omsorgsanalys Àr inte en stati- stikansvarig myndighet, men de statistiska ÄtgÀrder som myndig- heten vidtar Àr i vissa fall nödvÀndig för att myndigheten ska kunna utföra sitt faststÀllda uppdrag. Mot bakgrund av dataskyddsför- ordningens definition av statistiska ÀndamÄl och uttalandena i pro- positionen angÄende behandling av personuppgifter för statistiska ÀndamÄl gör utredningen bedömningen att den statistikverksamhet som myndigheten utför för att utföra sitt faststÀllda uppdrag Àr en arbetsuppgift av allmÀnt intresse. Sammanfattningsvis Àr det sÄledes utredningens uppfattning att den verksamhet som Myndigheten för vÄrd- och omsorgsanalys bedriver med stöd av sin instruktion, utgör en sÄdan arbetsuppgift av allmÀnt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

NödvÀndighetskravet

För att behandlingen av personuppgifter ska vara tillÄten mÄste den vara nödvÀndig för att utföra arbetsuppgiften av allmÀnt intresse. Motsvarande krav pÄ att behandlingen ska vara nödvÀndig finns i artikel 7 i dataskyddsdirektivet. Enligt EU-domstolen har begreppet nödvÀndigt i dataskyddsdirektivet en unionsrÀttslig innebörd. Kravet

120

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

pÄ nödvÀndighet enligt dataskyddsdirektivet har inte ansetts inne- bÀra att det ska vara omöjligt att utföra arbetsuppgiften om inte personuppgifter behandlas. Trots att en arbetsuppgift skulle kunna utföras utan att personuppgifter behandlas pÄ visst sÀtt kan behand- lingen anses nödvÀndig om den innebÀr effektivitetsvinster.13

Enligt förarbetena till dataskyddslagen bör EU-domstolens praxis om nödvÀndighetskravet i dataskyddsdirektivet kunna utgöra stöd Àven vid tolkning av dataskyddsförordningen.14 Enligt proposi- tionen bör det t.ex. i dagslÀget mer eller mindre regelmÀssigt anses vara nödvÀndigt att anvÀnda tekniska hjÀlpmedel och dÀrmed be- handla personuppgifter pÄ automatisk vÀg, eftersom manuell infor- mationshantering inte utgör ett realistiskt alternativ.

Myndigheten för vÄrd- och omsorgsanalys mÄste alltsÄ inför en planerad behandling göra en bedömning av om behandlingen Àr nödvÀndig. Om personuppgifter inte behövs i det aktuella projektet eller om en arbetsuppgift kan utföras nÀstan lika enkelt och till nÀstan samma kostnad utan att personuppgifter behandlas, Àr nöd- vÀndighetskravet inte uppfyllt och behandlingen dÀrmed inte tillÄten.

Grunden ska vara rÀttsligt faststÀlld

Grunden för sÄdan behandling av personuppgifter som Àr nödvÀndig för att utföra en arbetsuppgift av allmÀnt intresse mÄste enligt arti- kel 6.3 i dataskyddsförordningen faststÀllas i nationell rÀtt eller EU- rÀtt.

I skÀl 45 till dataskyddsförordningen anges att förordningen inte medför nÄgot krav pÄ en sÀrskild lag för varje enskild behandling. Det kan rÀcka med en lag som grund för flera behandlingar som bygger pÄ en rÀttslig förpliktelse som Ävilar den personuppgifts- ansvarige eller om behandlingen krÀvs för att utföra en uppgift av allmÀnt intresse eller som ett led i myndighetsutövning. Av orda- lydelsen i artikel 6.3 första stycket framgÄr att det som ska faststÀllas i unionsrÀtten eller i nationell rÀtt Àr den grund för behandlingen som avses i artikel 6.1 c och e. Det krÀvs sÄledes inte en reglering i unionsrÀtten eller i nationell rÀtt av den behandling av person- uppgifter som ska ske med stöd av dessa rÀttsliga grunder. Det som

13EU-domstolens dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724.

14Prop. 2017/18:105 s. 47.

121

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

mÄste ha stöd i rÀttsordningen Àr i stÀllet den rÀttsliga förpliktelsen respektive uppgiften av allmÀnt intresse eller rÀtten att utöva myn- dighet.15

I propositionen betonas att dataskyddsförordningens krav pÄ att grunden för behandlingen ska vara faststÀlld inte utgör nÄgon nyhet nÀr det gÀller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen Àr en av de principer som kÀnnetecknar Sverige som rÀttsstat. Principen Àr grundlagsfÀst genom 1 kap. 1 § regerings- formen, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sÄdana föreskrifter som riks- dagen har beslutat, utan Àven andra författningar och t.ex. sedvane- rÀtt.16 Legalitetsprincipen innebÀr alltsÄ att myndigheternas makt- utövning i vidstrÀckt mening, Àven i den mÄn denna förutsÀtter behandling av personuppgifter, mÄste ha stöd i nÄgon av de kÀllor som tillsammans bildar rÀttsordningen.17

Av skĂ€l 41 till dataskyddsförordningen framgĂ„r att den rĂ€ttsliga grunden bör vara tydlig och precis och dess tillĂ€mpning förutsĂ€gbar för dem som omfattas av den, i enlighet med rĂ€ttspraxis vid EU- domstolen och Europadomstolen. Även detta Ă€r, enligt proposi- tionen, ett uttryck för legalitetsprincipen och utgör sĂ„ledes inte nĂ„gon nyhet inom den svenska offentliga förvaltningen.18 Vilken grad av tydlighet och precision som krĂ€vs i frĂ„ga om den rĂ€ttsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvĂ€ndig mĂ„ste enligt regeringens mening bedömas frĂ„n fall till fall, utifrĂ„n behandlingens och verksamhetens karaktĂ€r. En behandling av personuppgifter som inte utgör nĂ„gon egentlig krĂ€nkning av den personliga integriteten, sĂ„som nĂ€r det gĂ€ller behandling av elevers namn i reguljĂ€r skolverksamhet, kan ske med stöd av en rĂ€ttslig grund som Ă€r allmĂ€nt hĂ„llen. Ett mer kĂ€nnbart intrĂ„ng, t.ex. be- handling av kĂ€nsliga personuppgifter inom hĂ€lso- och sjukvĂ„rden, krĂ€ver att den rĂ€ttsliga grunden Ă€r mer preciserad och dĂ€rmed gör intrĂ„nget förutsebart. Om intrĂ„nget Ă€r betydande och innebĂ€r över- vakning eller kartlĂ€ggning av den enskildes personliga förhĂ„llanden krĂ€vs dessutom sĂ€rskilt lagstöd enligt 2 kap. 6 och 20 §§ regerings- formen.

15Prop. 2017/18:105 s. 49 f.

16KU 1973:26 s. 59.

17Prop. 2017/18:105 s. 50.

18Prop. 2017/18:105 s. 51.

122

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen faststÀllas i enlighet med unionsrÀtten eller en medlemsstats nationella rÀtt som den personuppgiftsansvarige omfattas av. Med detta avses inte, enligt propositionen, att den rÀttsliga grunden nödvÀndigtvis mÄste faststÀllas i eller i enlighet med en av riksdagen beslutad lag.19 DÀremot mÄste grunden vara faststÀlld i laga ordning, pÄ ett konstitutionellt korrekt sÀtt. Sam- manfattningsvis konstateras i propositionen att en rÀttslig grund Àr faststÀlld i enlighet med svensk rÀtt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestÀmmel- ser. Som en följd av den svenska arbetsmarknadsmodellen kan en rÀttslig grund Àven följa av kollektivavtal.

NÀr det gÀller frÄgan om nationell reglering av behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen konstateras i propositionen att det framgÄr direkt av dataskydds- förordningen att för en laglig behandling krÀvs det att, förutom att den arbetsuppgift som den personuppgiftsansvarige utför ska vara av allmÀnt intresse, ocksÄ att arbetsuppgiften ska vara faststÀlld i enlig- het med unionsrÀtten eller den nationella rÀtten samt att behand- lingen ska vara nödvÀndig för ett ÀndamÄl som Àr nödvÀndigt för att utföra uppgiften. NÄgon ytterligare reglering pÄ nationell nivÄ behövs sÄledes inte i detta avseende.20 Enligt propositionen krÀvs det dock en bestÀmmelse i dataskyddslagen som tydliggör hur en uppgift av allmÀnt intresse ska faststÀllas för att kunna utgöra en grund för behandling av personuppgifter. I 2 kap. 2 § 1 dataskyddslagen finns dÀrför en upplysningsbestÀmmelse som anger att personuppgifter fÄr behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författ- ning.

Myndigheten för vÄrd- och omsorgsanalys arbetsuppgifter fram- gÄr som nÀmnts av myndighetens instruktion. Arbetsuppgifterna Àr sÄledes faststÀllda i förordning. Den övergripande arbetsuppgiften att ur ett patient-, brukar-, och medborgarperspektiv följa upp och analysera verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg i enlighet med 1 § i instruktionen preciseras i

19Prop. 2017/18:105 s. 51 f.

20Prop. 2017/18:105 s. 61 f.

123

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

de följande bestĂ€mmelserna. Av 2–3 §§ framgĂ„r att uppdraget inne- bĂ€r att myndigheten ska följa upp och analysera vĂ„rdens och om- sorgens funktionssĂ€tt, effektivitetsgranska statliga Ă„taganden och verksamheter, inom sitt verksamhetsomrĂ„de bistĂ„ regeringen med underlag och rekommendationer för effektivisering av statlig verk- samhet och styrning, kontinuerligt utvĂ€rdera sĂ„dan information om vĂ„rden och omsorgen som lĂ€mnas till den enskilde, i frĂ„ga om informationens innehĂ„ll, kvalitet, Ă€ndamĂ„lsenlighet och tillgĂ€nglig- het, pĂ„ regeringens uppdrag bistĂ„ med utvĂ€rderingar och uppfölj- ningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt inom sitt verksamhetsomrĂ„de bedriva omvĂ€rlds- bevakning och genomföra internationella jĂ€mförelser. För de sĂ€r- skilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad varje analys eller uppföljning ska omfatta.21 Myndigheten ska Ă€ven, enligt 4 § i instruktionen, varje Ă„r i en sĂ€rskild analys- och granskningsplan ange vilken huvudsaklig inriktning verksamheten ska ha under Ă„ret. I den planen specificeras, förutom regeringsuppdragen, Ă€ven de pro- jekt som myndigheten avser att initiera pĂ„ egen hand.22

I de verksamheter som myndigheten har i uppdrag att analysera behandlas ett stort antal personuppgifter, Àven kÀnsliga sÄdana, vilket torde vara tydligt för de registrerade. Att myndigheten behöver behandla en betydande mÀngd personuppgifter för att fullgöra sitt uppdrag att pÄ olika sÀtt analysera dessa verksamheter Àr dÀrmed förutsÀgbart. Myndighetens uppdrag anges i förordning och preci- seras genom regeringsuppdrag och analysplaner. Utredningen Àr dÀrför av uppfattningen att regleringen av myndighetens uppdrag Àr tillrÀckligt tydlig, precis och förutsÀgbar för att kunna utgöra en rÀttslig faststÀllelse av arbetsuppgiften av allmÀnt intresse. Grunden för behandlingen Àr sÄledes faststÀlld pÄ det sÀtt som krÀvs enligt dataskyddsförordningen.

21Se t.ex. regeringens beslut dnr S2016/07779/RS.

22Se t.ex. Myndigheten för vĂ„rd- och omsorgsanalys analysplan för 2017 s. 25–41.

124

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Syftet med behandlingen ska vara nödvÀndigt

Vid behandling av personuppgifter med stöd av artikel 6.1 e i data- skyddsförordningen mÄste dessutom syftet med behandlingen enligt artikel 6.3 vara nödvÀndigt för att utföra arbetsuppgiften av allmÀnt intresse. BestÀmmelsen uttrycker det samband som mÄste finnas mellan behandlingen och den faststÀllda arbetsuppgiften och riktar sig till den som bestÀmmer ÀndamÄlen för behandlingen, dvs. som regel den personuppgiftsansvarige. Det innebÀr alltsÄ att den speci- fika behandlingen mÄste vara nödvÀndig för ett ÀndamÄl som i sin tur Àr nödvÀndigt för att myndigheten ska kunna utföra arbetsuppgiften av allmÀnt intresse. En bedömning av detta mÄste göras av myndig- heten i samband med varje behandling.

Kravet pĂ„ att syftet ska vara nödvĂ€ndigt ska enligt förarbetena till dataskyddslagen inte tolkas som att arbetsuppgiften av allmĂ€nt in- tresse mĂ„ste vara avgrĂ€nsad sĂ„ att den bara kan utföras pĂ„ ett sĂ€tt.23 Den metod som den personuppgiftsansvarige vĂ€ljer för att utföra sin arbetsuppgift mĂ„ste dock – som all offentlig förvaltning – vara Ă€nda- mĂ„lsenlig, effektiv och proportionerlig och fĂ„r dĂ€rmed inte medföra ett onödigt intrĂ„ng i enskildas privatliv. Ju mer detaljerat en viss arbetsuppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att vĂ€lja olika tillvĂ€gagĂ„ngssĂ€tt. Detta medför i sin tur en större förutsebarhet i frĂ„ga om vilken behandling av personuppgifter som kan aktualiseras. Om ett upp- drag i stĂ€llet har reglerats pĂ„ en mer övergripande och resultat- inriktad nivĂ„, kan det sannolikt utföras pĂ„ mĂ„nga olika sĂ€tt, vilka i förhĂ„llande till varandra kan vara mer eller mindre nödvĂ€ndiga i dataskyddsförordningens mening. Kravet pĂ„ att Ă€ndamĂ„let ska vara nödvĂ€ndigt för att utföra en arbetsuppgift av allmĂ€nt intresse inne- bĂ€r alltsĂ„ i sig en spĂ€rr mot helt onödig behandling av personupp- gifter eller sĂ„dan behandling som utgör ett oproportionerligt intrĂ„ng i privatlivet som inte kunnat förutses.

Proportionalitet och mÄl av allmÀnt intresse

UnionsrÀtten eller den nationella rÀtt som utgör den rÀttsliga grun- den för behandlingen av personuppgifter enligt artikel 6.1 e i data- skyddsförordningen mÄste enligt artikel 6.3 andra stycket sista

23Prop. 2017/18:105 s. 60 f.

125

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

meningen i dataskyddsförordningen ocksÄ uppfylla ett mÄl av all- mÀnt intresse och vara proportionell mot det legitima mÄl som efter- strÀvas. Det finns dÀrmed en grÀns för vilka arbetsuppgifter som över huvud taget kan lÀggas till grund för behandling av personuppgifter.

BestÀmmelsen om att unionsrÀtten eller medlemsstaternas natio- nella rÀtt ska uppfylla ett mÄl av allmÀnt intresse och vara proportio- nell med det legitima mÄl som efterstrÀvas motsvarar, enligt för- arbetena till dataskyddslagen, det krav som Europakonventionen stÀller pÄ lagstiftaren i en rÀttsstat.24 Genom lagen (1994:1219) om den europeiska konventionen angÄende skydd för de mÀnskliga rÀttig- heterna och de grundlÀggande friheterna har Europakonventionen inkorporerats i svensk rÀtt. Vidare gÀller enligt 2 kap. 19 § regerings- formen att lagar och andra föreskrifter inte fÄr meddelas i strid med Sveriges Ätaganden enligt Europakonventionen. Det bör dÀrför vara mycket ovanligt att svensk rÀtt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör, enligt propositionen, utgÄngs- punkten vara att Àven dataskyddsförordningens motsvarande krav Àr uppfyllt i frÄga om de rÀttsliga förpliktelser, uppgifter av allmÀnt intresse och den myndighetsutövning som faststÀlls i enlighet med svensk rÀtt. Den personuppgiftsansvarige behöver dÀrmed inte göra nÄgon proportionalitetsbedömning avseende regleringen av den rÀttsliga grunden för behandlingen, utan kan utgÄ frÄn att svensk rÀtt uppfyller detta krav. DÀremot mÄste behandlingen vara nödvÀndig i förhÄllande till den rÀttsliga grunden och följa de grundlÀggande principerna i artikel 5. Dessutom ankommer det pÄ varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet.25

Utredningen har ovan konstaterat att den uppföljnings- och ana- lysverksamhet som Myndigheten för vÄrd- och omsorgsanalys be- driver enligt instruktionen utgör en sÄdan arbetsuppgift av allmÀnt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Av samma skÀl fÄr regleringen av myndighetens arbetsuppgifter anses uppfylla ett mÄl av allmÀnt intresse.

Myndighetens arbetsuppgifter, inklusive den behandling av per- sonuppgifter som uppdraget medför, synes vÀl avvÀgda i förhÄllande till syftet med myndighetens verksamhet. Dessutom mÄste myndig- heten i sin verksamhet beakta skyddet mot betydande intrÄng i den

24Prop. 2017/18:105 s. 50.

25Se 5 § förvaltningslagen (2017:900). Lagen trÀder i kraft den 1 juli 2018.

126

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

personliga integriteten enligt 2 kap. 6 § andra stycket regerings- formen. Utredningen Àr mot denna bakgrund av uppfattningen att regleringen av myndighetens arbetsuppgifter med rÄge nÄr upp till dataskyddsförordningens proportionalitetskrav. Kraven enligt arti- kel 6.3 andra stycket sista meningen i dataskyddsförordningen Àr dÀrmed uppfyllda.

7.1.4Inget behov av nationell reglering av rÀttslig grund för myndighetens behandling

Utredningens bedömning: Myndigheten för vÄrd- och omsorgs- analys har möjlighet att stödja behandling av personuppgifter som inte Àr kÀnsliga direkt pÄ bestÀmmelserna i dataskyddsförord- ningen. Det behövs dÀrmed inte nÄgon sÀrskild nationell reglering av rÀttslig grund för behandlingen av personuppgifter vid Myn- digheten för vÄrd- och omsorgsanalys.

Myndigheten för vÄrd- och omsorganalys har, som utredningen konstaterat i avsnitt 7.1.2 och 7.1.3, möjlighet att behandla person- uppgifter med stöd av de rÀttsliga grunderna samtycke och arbets- uppgift av allmÀnt intresse. Myndigheten synes alltsÄ ha goda möjlig- heter att behandla sÄdana personuppgifter som inte Àr kÀnsliga och som behövs i verksamheten enbart med stöd av regleringen i data- skyddsförordningen. NÄgon sÀrskild författningsreglering i syfte att utgöra stöd för behandling av personuppgifter som inte Àr kÀnsliga verkar dÀrför inte behövas. För behandling av kÀnsliga personupp- gifter stÀller dock dataskyddsförordningen sÀrskilda krav, se avsnitt 7.2 nedan.

NÀr myndigheten behandlar personuppgifter med stöd av nÄgon av de ovan angivna grunderna mÄste givetvis dataskyddsförord- ningens reglering i övrigt tillÀmpas. Myndigheten mÄste alltsÄ bl.a. se till att de grundlÀggande principerna i artikel 5 i dataskyddsför- ordningen iakttas, de sÀkerhetsÄtgÀrder som dataskyddsförordningen krÀver vidtas och den registrerades rÀttigheter tillgodoses.

Även om myndigheten har stöd i dataskyddsförordningen för en behandling av personuppgifter, mĂ„ste myndigheten, som nĂ€r person- uppgiftslagen upphĂ€vts inte har stöd i svensk lag för behandling av personuppgifter, se till att behandlingen inte strider mot 2 kap. 6 §

127

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

andra stycket regeringsformen om skydd mot betydande intrÄng i den personliga integriteten som sker utan samtycke och innebÀr över- vakning eller kartlÀggning av den enskildes personliga förhÄllanden.

7.2Behandling av kÀnsliga personuppgifter

7.2.1Regleringen i dataskyddsförordningen

För att kÀnsliga personuppgifter ska fÄ behandlas Àr det inte tillrÀck- ligt att det finns en rÀttslig grund enligt artikel 6 i dataskyddsför- ordningen. Vid sÄdan behandling mÄste Àven artikel 9 i dataskydds- förordningen beaktas. Av artikel 9.1 i dataskyddsförordningen fram- gÄr att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning ska vara förbjuden. De angivna kategorierna av personuppgifter benÀmns i artikeln som sÀrskilda kategorier av uppgifter.

I 3 kap. dataskyddslagen finns kompletterande bestÀmmelser om behandling av kÀnsliga personuppgifter. Enligt 3 kap. 1 § dataskydds- lagen avses med kÀnsliga personuppgifter sÄdana uppgifter som avses i artikel 9.1 i dataskyddsförordningen. Enligt propositionen Àr motivet till att anvÀnda det tidigare begreppet kÀnsliga personuppgifter i lagen att det begreppet Àr vÀl inarbetat, Àven pÄ EU-nivÄ, och att det Àr sprÄkligt enklare att anvÀnda och förstÄ, inte minst i författ- ningstext.26 Utredningen anvÀnder dÀrför ocksÄ begreppet kÀnsliga personuppgifter för de kategorier av uppgifter som rÀknas upp i artikel 9.1 i dataskyddsförordningen.

Förbudet mot att behandla kÀnsliga personuppgifter komplet- teras av ett antal undantag i artikel 9.2 i dataskyddsförordningen, som anger nÀr behandling av kÀnsliga personuppgifter trots allt Àr tillÄten eller kan tillÄtas. NÄgra av undantagen Àr direkt tillÀmpliga medan andra krÀver viss reglering i den nationella lagstiftningen för att behandling av kÀnsliga personuppgifter ska fÄ ske.

26Prop. 2017/18:105 s. 75.

128

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Av artikel 9.2 a i dataskyddsförordningen följer att kÀnsliga per- sonuppgifter fÄr behandlas med stöd av ett uttryckligt samtycke frÄn den registrerade. Om behandlingen sker pÄ grundval av EU-rÀtten eller medlemsstaternas nationella rÀtt, kan kÀnsliga personuppgifter ocksÄ behandlas bl.a. av hÀnsyn till ett viktigt allmÀnt intresse (9.2 g), i anslutning till hÀlso- och sjukvÄrd, yrkesmedicin och social omsorg under förutsÀttning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (9.2 h och 9.3) och för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl (9.2 j).

Nedan berörs enbart de undantag som bedöms relevanta för Myndigheten för vÄrd- och omsorgsanalys att tillÀmpa.

7.2.2Undantag för behandling med stöd av samtycke

Utredningens bedömning: Myndigheten för vÄrd- och omsorgs- analys har möjlighet att behandla kÀnsliga personuppgifter med stöd av ett uttryckligt samtycke enligt artikel 9.2 a i dataskydds- förordningen.

KÀnsliga personuppgifter fÄr med stöd av artikel 9.2 a i dataskydds- förordningen behandlas om den registrerade uttryckligen har lÀmnat sitt samtycke till behandlingen av personuppgifterna för ett eller flera specifika ÀndamÄl.

I propositionen till dataskyddslagen konstateras att bestÀmmel- sen motsvarar artikel 8.2 a i dataskyddsdirektivet.27 Vid införandet av personuppgiftslagen ansÄg regeringen att det inte fanns nÄgot integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om.28 Det infördes dÀrför varken nÄgon sÄdan bestÀm- melse i lag eller nÄgon möjlighet för regeringen eller Datainspek- tionen att föreskriva om förbud mot behandling trots den regi- strerades samtycke. Regeringen anser att det inte heller nu med anledning av dataskyddsförordningen bör införas ett förbud mot behandling trots den registrerades samtycke.29 Den registrerades

27Prop. 2017/18:105 s. 76.

28Prop. 1997/98:44 s. 69.

29Prop. 2017/18:105 s. 76.

129

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

uttryckliga samtycke medför alltsÄ Àven fortsÀttningsvis att kÀnsliga personuppgifter fÄr behandlas.

De krav pÄ samtycke som redovisats i avsnitt 7.1.2 gÀller Àven för samtycke enligt den nu aktuella artikeln. Av samma skÀl som anges i det avsnittet förefaller det i mÄnga fall vara möjligt för Myndig- heten för vÄrd- och omsorgsanalys att stödja behandling av kÀnsliga personuppgifter pÄ samtycke. Som anges i det ovan nÀmnda avsnittet finns det dock praktiska svÄrigheter med att anvÀnda samtycke som grund för all behandling av personuppgifter myndigheten behöver utföra.

7.2.3Undantag för viktiga allmÀnna intressen

Utredningens bedömning: Myndigheten för vÄrd- och omsorgs- analys kan inte stödja behandling av kÀnsliga personuppgifter direkt pÄ undantaget för ett viktigt allmÀnt intresse i artikel 9.2 g i dataskyddsförordningen. Inte heller de generella nationella undan- tagen kan tillÀmpas.

KÀnsliga personuppgifter fÄr enligt artikel 9.2 g i dataskyddsför- ordningen behandlas om behandlingen Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse, pÄ grundval av unionsrÀtten eller med- lemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen.

Vad som Àr ett allmÀnt intresse respektive ett viktigt allmÀnt intresse Àr inte definierat i dataskyddsdirektivet eller dataskydds- förordningen och begreppets innebörd har inte heller utvecklats nÀrmare av EU-domstolen. I förarbetena till dataskyddslagen kon- stateras att det Àr svÄrt att pÄ ett generellt plan definiera vad som skiljer ett allmÀnt intresse frÄn ett viktigt allmÀnt intresse.30 Enligt propositionen torde det dock stÄ klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmÀnt intresse. NÀr det gÀller myndigheters behandling mÄste det ocksÄ anses utgöra ett viktigt

30Prop. 2017/18:105 s. 83 f.

130

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

allmÀnt intresse att svenska myndigheter, Àven utanför omrÄdet för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter pÄ ett korrekt, rÀttssÀkert och effektivt sÀtt.

Utredningen har i avsnitt 7.1.3 konstaterat att den uppföljnings- och analysverksamhet som Myndigheten för vÄrd- och omsorgs- analys bedriver utgör en sÄdan arbetsuppgift av allmÀnt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Av samma skÀl fÄr myndighetens arbetsuppgifter anses utgöra ett viktigt allmÀnt intresse enligt artikel 9.2 g i dataskyddsförordningen.

Ytterligare en förutsÀttning för att undantaget i artikel 9.2 g ska vara tillÀmpligt Àr att behandlingen sker pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet. Enligt propositionen som föregick data- skyddslagen innebÀr detta att den rÀttsliga grunden för behandlingen typiskt sett kommer att vara nÄgon av de som avses i artikel 6.1 c eller e, dvs. en rÀttslig förpliktelse, en arbetsuppgift av allmÀnt intresse eller myndighetsutövning som har stöd i rÀttsordningen.31 Att grun- den för behandlingen ska vara faststÀlld i enlighet med unionsrÀtten eller den nationella rÀtten innebÀr inte ett krav pÄ att sjÀlva behand- lingen av personuppgifter mÄste regleras. Det Àr i stÀllet den rÀttsliga förpliktelsen, arbetsuppgiften av allmÀnt intresse respektive myndig- hetsutövningen som ska ha stöd i rÀttsordningen.

För att behandling av kÀnsliga personuppgifter ska fÄ ske stÀlls sÀrskilda krav pÄ det rÀttsliga stödet.32 Detta mÄste vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande intressen. I propositionen konsta- teras att dessa krav pÄ det rÀttsliga stödet motsvarar kraven för att begrÀnsa de rÀttigheter som skyddas av EU:s stadga om de grund- lÀggande rÀttigheterna. I artikel 52 i stadgan anges att varje begrÀns- ning i utövandet av de rÀttigheter och friheter som erkÀnns i stadgan ska vara föreskriven i lag och förenlig med det vÀsentliga innehÄllet i dessa rÀttigheter och friheter.

31Prop. 2017/18:105 s.48 f. och s. 84.

32Prop. 2017/18:105 s. 84.

131

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

Vad som utgör det vÀsentliga innehÄllet i rÀtten till dataskydd definieras inte i dataskyddsförordningen. Det anförs i propositionen att det Àr svÄrt att förestÀlla sig en rÀttslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ÀndÄ inte Àr förenlig med det vÀsentliga innehÄllet i rÀtten till dataskydd.33 Om grunden för behandlingen inte Àr förenlig med det vÀsentliga inne- hÄllet i rÀtten till dataskydd lÀr den inte utgöra en godtagbar rÀttslig grund för behandling av personuppgifter över huvud taget. Det kan dÀrför ifrÄgasÀttas om tillÀgget i artikel 9.2 g utgör ett krav som gÄr utöver de krav som gÀller enligt artikel 6 och som mÄste vara upp- fyllda vid all behandling av personuppgifter i allmÀnt intresse. DÀremot tillkommer, enligt propositionen, ett krav pÄ att gÀllande rÀtt inne- hÄller bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande intressen. Detta krav överensstÀmmer med det som har gÀllt Àven enligt dataskyddsdirek- tivet och innebÀr sÄledes ingen ny begrÀnsning av möjligheten att behandla kÀnsliga personuppgifter. Det innebÀr inte heller att undan- taget i sig mÄste genomföras i svensk rÀtt för att vara tillÀmpligt.

Utredningen bedömer att det inte helt klart framgÄr av arti- kel 9.2 g i dataskyddsförordningen att ett undantag avseende be- handling av kÀnsliga personuppgifter mÄste regleras i nationell rÀtt. Den nationella regleringen ska i vart fall omfatta bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. Att tolka bestÀmmelsen som att det utöver reglering av skyddsÄtgÀrder Àr tillrÀckligt att verksamheten i sig Àr reglerad skulle innebÀra en betydande utvidg- ning av möjligheten att behandla kÀnsliga personuppgifter av hÀnsyn till ett viktigt allmÀnt intresse jÀmfört med vad som gÀllde enligt dataskyddsdirektivet. DÀr angavs nÀmligen i artikel 8.4 att medlems- staterna i sin nationella lagstiftning fick besluta om undantag frÄn förbudet mot att behandla kÀnsliga personuppgifter av hÀnsyn till ett viktigt allmÀnt intresse. Det var ocksÄ enligt artikeln tillÄtet med nationell lagstiftning som gav tillsynsmyndigheten möjlighet att besluta om undantag. Det Àr inte troligt att en utvidgning, som innebÀr att det inte lÀngre ska krÀvas nÄgot nationellt författnings- stöd för sjÀlva behandlingen, har varit avsedd. HÀrtill kommer att det Àr svÄrt att förstÄ vad kravet pÄ proportionalitet i artikel 9.2 g i data- skyddsförordningen skulle avse om det inte hÀnför sig till den

33Prop. 2017/18:105 s. 84.

132

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

reglering som tillÄter behandlingen av hÀnsyn till ett viktigt allmÀnt intresse.

Även om det alltsĂ„ inte Ă€r helt klart vad skrivningen om nationell rĂ€tt i artikel 9.2 g i dataskyddsförordningen innebĂ€r gör utredningen bedömningen att det Ă€r sannolikt att EU-domstolen vid en pröv- ning, av de skĂ€l som anges ovan, skulle komma fram till att stöd i nationell rĂ€tt för sjĂ€lva behandlingen krĂ€vs. Utredningen Ă€r dĂ€rför av uppfattningen att behandling av kĂ€nsliga personuppgifter vid Myndigheten för vĂ„rd- och omsorgsanalys direkt med stöd av arti- kel 9.2 g i dataskyddsförordningen och den skyddsĂ„tgĂ€rd som gĂ€ll- ande sekretessreglering kan sĂ€gas innebĂ€ra inte bör komma i frĂ„ga.

I dataskyddslagen finns det för myndigheter ett generellt undan- tag frÄn förbudet mot att behandla kÀnsliga personuppgifter. Enligt 3 kap. 3 § dataskyddslagen fÄr kÀnsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lÀmnats till myndigheten och behandlingen krÀvs enligt lag, om behandlingen Àr nödvÀndig för handlÀggningen av ett Àrende eller i annat fall, om behandlingen Àr nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den registrerades personliga integritet. Vid behandling som sker enbart med stöd av den bestÀmmelsen Àr det förbjudet att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter.

I propositionen konstateras att för att myndigheter ska kunna bedriva sin verksamhet Àr det ofta nödvÀndigt att behandla kÀnsliga personuppgifter, och i mÄnga fall sker behandlingen i den registrerades eget intresse.34 Det finns dÀrför ett behov av en tydlig reglering som tillÄter viss behandling av kÀnsliga personuppgifter hos myndig- heterna. I mÄnga fall finns sÄdana bestÀmmelser i sektorsspecifika författningar om behandling av personuppgifter. Det finns ocksÄ bestÀmmelser som tillÄter behandling av kÀnsliga personuppgifter pÄ ett mer indirekt sÀtt, t.ex. i form av bestÀmmelser som anger att uppgifter eller handlingar ska överlÀmnas till andra myndigheter eller till enskilda som begÀr det. Det behov av att behandla kÀnsliga personuppgifter som dÀrutöver finns hos myndigheter var pÄ per- sonuppgiftslagens tid tillgodosett genom att viss behandling var tillÄten genom den s.k. missbruksregeln i 5 a § personuppgiftslagen och enligt 8 § personuppgiftsförordningen. Dataskyddsdirektivets

34Prop. 2017/18:105 s. 84 f.

133

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

krav pÄ skyddsÄtgÀrder har i svensk rÀtt ofta ansetts tillgodosett genom att personuppgifterna omfattas av bestÀmmelser om sekre- tess. Det har ocksÄ ansetts utgöra en skyddsÄtgÀrd att bara tillÄta behandling av kÀnsliga personuppgifter som inte innefattar ett miss- bruk av personuppgifterna.35

Enligt 8 § personuppgiftsförordningen fick kÀnsliga personupp- gifter behandlas av en myndighet i löpande text, om uppgifterna hade lÀmnats i ett Àrende eller var nödvÀndiga för handlÀggningen av det. HÀr avsÄgs sÄdan behandling som var oundviklig i en myn- dighets verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) krav, sÄsom krav pÄ diarieföring och skyldighet att ta emot e-post.36 BestÀmmelsen möjliggjorde t.ex. att kÀnsliga personuppgifter fick finnas i skÀlen till ett beslut, nÀr det krÀvdes för att uppfylla kraven pÄ att beslut ska innehÄlla de skÀl som bestÀmt utgÄngen. Dessutom har bestÀmmelsen ansetts ge stöd för att personuppgifter behandlas i Àrendehanteringssystem, dÄ de förekommer i handlingar med löpande text.37 Den formulering som anvÀndes i 8 § personuppgifts- förordningen har dÀremot inte ansetts omfatta s.k. faktisk verksam- het som en myndighet bedriver, t.ex. rÄdgivning och annan service, uppföljning eller olika former av samverkan utan Àrendeanknyt- ning.38 Vid faktisk verksamhet var det sÄledes bara 5 a § personupp- giftslagen som kunde tillÀmpas, om sektorsspecifik reglering sak- nades. Det kan enligt propositionen inte rÄda nÄgot tvivel om att det Àr ett viktigt allmÀnt intresse att myndigheterna kan sköta sina uppdrag pÄ ett korrekt, rÀttssÀkert och effektivt sÀtt. Det gÀller Àven i den faktiska verksamheten. Missbruksregeln i 5 a § personupp- giftslagen har dock ingen motsvarighet i dataskyddsförordningen. Det kan inte heller tas för givet att det för all offentlig verksamhet redan finns sÄdana lÀmpliga och sÀrskilda ÄtgÀrder som krÀvs enligt artikel 9.2 g i dataskyddsförordningen för att kÀnsliga personupp- gifter ska fÄ behandlas. Enligt propositionen krÀvs det dÀrför sÀr- skilda bestÀmmelser i dataskyddslagen som Àr tillÀmpliga för alla

35Prop. 2005/06:173 s. 34.

36Prop. 2017/18:105 s. 86.

37SOU 2015:39 s. 306.

38JÀmför LagrÄdets yttrande över förslaget till lag om behandling av personuppgifter inom socialtjÀnsten, prop. 2000/01:80 s. 272.

134

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

myndigheter och som uppfyller kraven i artikel 9.2 g i dataskydds- förordningen.39

Myndigheten för vÄrd och omsorgsanalys har behov av att be- handla kÀnsliga personuppgifter utöver vad som krÀvs nÀr uppgifter har lÀmnats till myndigheten och behandling krÀvs enligt lag. I be- stÀmmelsen avses sÄdan behandling som Àr en direkt följd av exem- pelvis offentlighets- och sekretesslagens och förvaltningslagens40 krav, dvs. den nödvÀndiga behandling av personuppgifter som sker vid hanteringen av allmÀnna handlingar.41

Enligt det andra undantaget fÄr kÀnsliga personuppgifter behand- las av en myndighet med stöd av artikel 9.2 g dataskyddsförord- ningen om behandlingen Àr nödvÀndig för handlÀggningen av ett Àrende. I förarbetena till bestÀmmelsen anförs att begreppet Àrende anvÀnds som avgrÀnsning för förvaltningslagens omrÄde, och enligt regeringens mening bör det anvÀndas Àven i den aktuella bestÀm- melsen. KÀnnetecknande för ett Àrende Àr enligt förarbetena att det regelmÀssigt avslutas genom ett uttalande frÄn myndighetens sida som Àr avsett att fÄ faktiska verkningar för en mottagare i det enskilda fallet.42 Ett Àrende avslutas genom ett beslut av nÄgot slag. Uttrycket handlÀggning innefattar alla ÄtgÀrder som en myndighet vidtar frÄn det att ett Àrende inleds till dess att det avslutas. Myn- digheten för vÄrd- och omsorgsanalys kan inte sÀgas utföra sÄdan ÀrendehandlÀggning som avses i bestÀmmelsen nÀr myndigheten genomför sina analyser. Myndigheten kan sÄledes inte stödja sin behandling av kÀnsliga personuppgifter i analysverksamheten pÄ denna bestÀmmelse.

Enligt de tredje undantaget i 3 kap. 3 § dataskyddslagen fÄr kÀnsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen i annat fall, om behandlingen Àr nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den personliga integriteten. HÀr avses sÄdan behandling av kÀnsliga personuppgifter som utförs inom ramen för myndighetens faktiska verksamhet, dvs. sÄdan verksamhet som inte utgör handlÀggning av Àrenden.43 Det kan t.ex. röra sig om att myn- digheten besvarar en frÄga frÄn en medborgare som via e-post uppgett

39Prop. 2017/18:105 s. 80 ff.

40En ny förvaltningslag (2017:900) trÀder i kraft den 1 juli 2018.

41Prop. 2017/18:105 s. 86 f.

42Prop. 2017/18:105 s. 87 samt prop. 2016/17:180 s. 23–25 och 286.

43Prop. 2017/18:105 s. 88.

135

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

kÀnsliga personuppgifter eller att kÀnsliga personuppgifter fram- kommer vid kommunikationen mellan skola och förÀldrar eller inom en myndighet i samband med utvÀrdering av den egna verksamheten.

Enligt personuppgiftslagen var sÄdan behandling tillÄten med stöd av missbruksregeln i 5 a § personuppgiftslagen, om behandlingen inte innebar en krÀnkning av den registrerades personliga integritet. Regeringen anser, mot bakgrund av vikten av att samhÀllets funk- tioner upprÀtthÄlls, att dataskyddslagen pÄ ett likartat sÀtt bör ge myndigheterna ett visst utrymme för behandling av kÀnsliga person- uppgifter Àven i den faktiska verksamheten.

BestĂ€mmelsen Ă€r avgrĂ€nsad till behandling som Ă€r nödvĂ€ndig med hĂ€nsyn till ett viktigt allmĂ€nt intresse. Det utgör ett ytterligare villkor utöver det som gĂ€llde enligt missbruksregeln i 5 a § person- uppgiftslagen.44 Den nĂ€rmare innebörden av begreppet viktigt all- mĂ€nt intresse bör enligt propositionen överlĂ€mnas till rĂ€ttstillĂ€mp- ningen att utveckla. BestĂ€mmelsen Ă€r avsedd att anvĂ€ndas restriktivt. Genom formuleringen ”i annat fall” förtydligas att bestĂ€mmelsen tar sikte pĂ„ sĂ„dan behandling av kĂ€nsliga personuppgifter som inte omfattas av övriga bestĂ€mmelser i dataskyddslagen om behandling av kĂ€nsliga personuppgifter för viktiga allmĂ€nna intressen.

BestÀmmelsen innehÄller vidare ett krav pÄ att behandlingen inte fÄr ske om den innebÀr ett otillbörligt intrÄng i de registrerades integritet.45 Detta krav motverkar att kÀnsliga personuppgifter be- handlas slentrianmÀssigt i den löpande verksamheten, utan att annat författningsstöd finns. För att avgöra om intrÄnget Àr otillbörligt mÄste myndigheten göra en proportionalitetsbedömning dÀr behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebÀr inte att den personuppgifts- ansvarige mÄste göra en bedömning i förhÄllande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla upp- gifterna Àr, desto större Àr dock sannolikheten för att de regi- strerades intresse typiskt sett vÀger tyngre och att intrÄnget dÀrför bör betraktas som otillbörligt. Vid bedömningen av de registrerades intresse bör vikt lÀggas vid sÄdana aspekter som uppgifternas kÀnslighet, behandlingens karaktÀr, den instÀllning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma

44Prop. 2017/18:105 s. 89.

45Prop. 2017/18:105 s. 89 f.

136

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

att fÄ och risken för vidarebehandling för andra ÀndamÄl Àn insam- lingsÀndamÄlet. Den nÀrmare betydelsen av begreppet otillbörligt intrÄng bör dock ocksÄ ges utrymme att utvecklas i rÀttstillÀmp- ningen. I propositionen pÄpekas att det vid behandling som innebÀr betydande intrÄng i den personliga integriteten och innebÀr övervak- ning eller kartlÀggning av den enskildes personliga förhÄllanden krÀvs sÀrskilt lagstöd enligt 2 kap. 6 och 20 §§ regeringsformen.

Behandlingen av kÀnsliga personuppgifter hos Myndigheten för vÄrd- och omsorgsanalys behöver ske i större omfattning Àn vad det tredje undantaget i 3 kap. 3 § dataskyddslagen medger. Inte heller denna bestÀmmelse kan sÄledes ge stöd för behandling av kÀnsliga personuppgifter i myndighetens analysverksamhet.

Enligt 3 kap. 3 § andra stycket dataskyddslagen Àr det förbjudet att enbart med stöd av första stycket utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter. Sökförbudet omfattar alla typer av tekniska ÄtgÀrder som innebÀr att uppgifter anvÀnds för att strukturera eller systematisera information sÄ att kÀnsliga personuppgifter avslöjas.46 Sökförbudet har dock begrÀnsats till att avse de fall dÄ behandlingen sker enbart med de generella myndighetsundantagen som grund. Förbudet gÀller endast vid sÄdan behandling av kÀnsliga personuppgifter som utförs med stöd av de sÀrskilda bestÀmmelser som gÀller för myndigheter enligt 3 kap. 3 § dataskyddslagen med hÀnsyn till viktiga allmÀnna intressen. SökbegrÀnsningarna gÀller sÄledes inte vid behandling som sker med stöd av bestÀmmelser i en registerförfattning. Avvikande bestÀm- melser i lag eller i förordning kan sÄledes enligt propositionen införas, förutsatt att det finns andra lÀmpliga och sÀrskilda skydds- ÄtgÀrder för den registrerade.

Inget av de undantag frÄn förbudet att behandla kÀnsliga person- uppgifter med hÀnsyn till ett viktigt allmÀnt intresse som finns i 3 kap. 3 § dataskyddslagen kan tillÀmpas som stöd för Myndigheten för vÄrd- och omsorgsanalys behandling av kÀnsliga personuppgifter i myndighetens analysverksamhet. Vidare kan myndigheten ha be- hov av att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter, framför allt pÄ uppgifter om hÀlsa. Myndigheten för vÄrd- och omsorgsanalys kan sÄledes inte, enligt utredningens bedömning, stödja sin behandling av kÀnsliga personuppgifter direkt pÄ undantaget för ett viktigt allmÀnt intresse

46Prop. 2017/18:105 s. 90 f.

137

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

i artikel 9.2 g i dataskyddsförordningen eller de generella nationella undantagen.

7.2.4Undantag för hÀlso- och sjukvÄrd samt social omsorg

Utredningens bedömning: Undantaget för hÀlso- och sjukvÄrd samt social omsorg i artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen kan utgöra grund för behandling av kÀnsliga personuppgifter vid Myndigheten för vÄrd- och omsorgs- analys.

Behandling av kÀnsliga personuppgifter fÄr enligt artikel 9.2 h i dataskyddsförordningen ske om den Àr nödvÀndig av skÀl som hör samman med förebyggande hÀlso- och sjukvÄrd och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diag- noser, tillhandahÄllande av hÀlso- och sjukvÄrd, behandling, social omsorg eller förvaltning av hÀlso- och sjukvÄrdstjÀnster och social omsorg och av deras system, pÄ grundval av unionsrÀtten eller den nationella rÀtten eller enligt avtal med yrkesverksamma pÄ hÀlso- omrÄdet. En ytterligare förutsÀttning för att behandling av kÀnsliga personuppgifter pÄ hÀlso- och sjukvÄrdsomrÄdet samt inom social omsorg ska vara tillÄten Àr att uppgifterna enligt artikel 9.3 i data- skyddsförordningen behandlas av eller under ansvar av en yrkes- utövare eller annan person som omfattas av tystnadsplikt. I 3 kap. 5 § dataskyddslagen finns, i syfte att tydliggöra regleringen, mot- svarande undantag.

Undantaget för hÀlso- och sjukvÄrd har justerats nÄgot i jÀmförelse med motsvarande bestÀmmelse i dataskyddsdirektivet. Bland annat har social omsorg lagts till. Vad som avses med social omsorg framgÄr inte av dataskyddsförordningen. I propositionen anges att det sanno- likt Àr arbetsuppgifter som utförs inom socialtjÀnsten som avses, men att det i avsaknad av praxis Àr svÄrt att nÀrmare avgrÀnsa inne- börden av begreppet.47 Utredningen instÀmmer i den bedömningen och anser att social omsorg innefattar sÄdan verksamhet som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom social- tjÀnsten.

47Prop. 2017/18:105 s. 93.

138

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Begreppet administration av hÀlso- och sjukvÄrd har ersatts med förvaltning av hÀlso- och sjukvÄrdstjÀnster och deras system. Med förvaltning av tjÀnster för hÀlso- och sjukvÄrd, social omsorg och deras system avses enligt skÀl 53 till dataskyddsförordningen bl.a. behandling som utförs av förvaltningen och centrala nationella hÀlso- vÄrdsmyndigheter av sÄdana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmÀn nationell och lokal tillsyn över hÀlso- och sjukvÄrdssystemet och systemet för social omsorg och sÀkerstÀllande av kontinuitet inom hÀlso- och sjukvÄrd och social omsorg. I propositionen till data- skyddslagen anförs att det av skÀl 53 framgÄr att avsikten Àr att begreppet förvaltning av hÀlso- och sjukvÄrdstjÀnster ska tolkas vitt. Detta innebÀr för svenskt vidkommande, enligt propositionen, att bestÀmmelsen Àven omfattar den verksamhet som bedrivs av bl.a. Socialstyrelsen, Inspektionen för vÄrd och omsorg, FolkhÀlso- myndigheten och Myndigheten för vÄrd- och omsorgsanalys.48

Myndigheten för vÄrd- och omsorgsanalys skulle möjligen i vissa fall kunna sÀgas bedriva kvalitetskontroll. Myndigheten kan inte anses ingÄ i förvaltningen av hÀlso- och sjukvÄrden eller den sociala omsorgen och Àr inte en hÀlsovÄrdsmyndighet. Myndigheten bedri- ver inte heller nÄgon tillsyn. Mot bakgrund av regeringens bedöm- ning att verksamheten vid Myndigheten för vÄrd- och omsorgsanalys omfattas av hÀlso- och sjukvÄrdsundantaget i dataskyddsförord- ningen fÄr det dock anses att myndigheten fÄr behandla kÀnsliga personuppgifter i sin analysverksamhet med stöd av artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen. De per- soner som arbetar med myndighetens analysverksamhet omfattas av tystnadsplikt (se avsnitt 6.5) pÄ det sÀtt som krÀvs.

BestÀmmelserna i 3 kap. 5 § dataskyddslagen utgör ett sÄdant lagstöd som tillÄter betydande intrÄng i den personliga integriteten (2 kap. 6 § och 20 §§ regeringsformen).

48Prop. 2017/18:105 s. 93.

139

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

7.2.5Undantag för statistikÀndamÄl

Utredningens bedömning: Undantaget för behandling för sta- tistiska ÀndamÄl i artikel 9.2 j dataskyddsförordningen och 3 kap. 7 § dataskyddslagen kan utgöra grund för behandling av kÀnsliga personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys.

Enligt artikel 9.2 j i dataskyddsförordningen Àr behandling av kÀnsliga personuppgifter tillÄten om behandlingen Àr nödvÀndig för bl.a. statistiska ÀndamÄl i enlighet med artikel 89.1 i dataskyddsförord- ningen, pÄ grundval av unionsrÀtten eller medlemsstaternas natio- nella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenlig med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. Med statistiska ÀndamÄl avses varje ÄtgÀrd som vidtas för den insam- ling och behandling av personuppgifter som Àr nödvÀndig för statistiska undersökningar eller för framstÀllning av statistiska resul- tat (skÀl 162). Ett statistiskt ÀndamÄl innebÀr, enligt samma skÀl, att resultatet av behandlingen inte bestÄr av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller personuppgift- erna inte anvÀnds till stöd för ÄtgÀrder eller beslut som avser en sÀrskild privatperson.

BestÀmmelsen i artikel 9.2 j i dataskyddsförordningen aktuali- seras bÄde vid insamling av kÀnsliga personuppgifter för statistiska ÀndamÄl och vid vidarebehandling av kÀnsliga personuppgifter för sÄdana ÀndamÄl. Kravet pÄ lÀmpliga och sÀrskilda ÄtgÀrder överens- stÀmmer med det som gÀller för behandling av kÀnsliga personupp- gifter med hÀnsyn till andra viktiga allmÀnna intressen enligt arti- kel 9.2 g i dataskyddsförordningen.49 Dessa krav motsvarar i sin tur det krav pÄ skyddsÄtgÀrder som stÀlls i dataskyddsdirektivet om viktiga allmÀnna intressen, som legat till grund för personuppgifts- lagens bestÀmmelser om behandling av personuppgifter för statistiska ÀndamÄl. Detta innebÀr att förutsÀttningarna för att det ska vara tillÄtet att behandla kÀnsliga personuppgifter för statistiska ÀndamÄl i huvudsak Àr desamma som enligt dataskyddsdirektivet.

49Prop. 2017/18:105 s. 123.

140

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Enligt 19 § andra stycket personuppgiftslagen fick kÀnsliga per- sonuppgifter behandlas för statistikÀndamÄl, om behandlingen var nödvÀndig pÄ sÀtt som angavs i 10 § personuppgiftslagen och om samhÀllsintresset av det statistikprojekt dÀr behandlingen ingick klart vÀgde över den risk för otillbörligt intrÄng i enskildas person- liga integritet som behandlingen kunde innebÀra. I 19 § tredje stycket personuppgiftslagen angavs att förutsÀttningarna enligt andra stycket skulle anses uppfyllda om behandlingen hade godkÀnts av en forskningsetisk kommitté, dvs. ett sÄdant sÀrskilt organ för pröv- ning av forskningsetiska frÄgor som har företrÀdare för sÄvÀl det allmÀnna som forskningen och som Àr knutet till ett universitet eller en högskola eller till nÄgon annan instans som i mera betydande omfattning finansierar forskning. I förarbetena till 19 § andra stycket personuppgiftslagen anges att viss statistik Àr sÄ viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lÀmnat sitt samtycke.50 Ibland tar samhÀllsintresset över intresset av att skydda enskildas personliga integritet. Vidare framgÄr att det mot bakgrund av att det finns mÄnga olikartade statistikprojekt, vilka som regel pÄgÄr bara under en begrÀnsad tid, förefaller lÀmpligare att göra en avvÀgning i varje sÀrskilt fall Àn att i lag införa generella regler om vilken statistik som ska tillÄtas. Vid en sÄdan individuell avvÀg- ning kan olika faktorer kring projektet, t.ex. hur pass viktig den kunskap Àr som projektet kan ge, vÀgas mot intrÄnget i den enskildes personliga integritet.

Även i förarbetena till dataskyddslagen görs bedömningen att det inte Ă€r lĂ€mpligt att genom lagstiftning pĂ„ förhand avgöra exakt i vilka fall behandling av kĂ€nsliga personuppgifter ska fĂ„ ske för statistiska Ă€ndamĂ„l.51 I 3 kap. 7 § dataskyddslagen har det dĂ€rför införts en avvĂ€gningsnorm motsvarande den som fanns i 19 § andra stycket personuppgiftslagen. Behandling av kĂ€nsliga personuppgifter för statistiska Ă€ndamĂ„l ska sĂ„ledes fĂ„ ske om samhĂ€llsintresset av det statistikprojekt dĂ€r behandlingen ingĂ„r klart vĂ€ger över den risk för otillbörligt intrĂ„ng i enskildas personliga integritet som behand- lingen kan innebĂ€ra. Detta villkor för behandling utgör en sĂ„dan lĂ€mplig och sĂ€rskild Ă„tgĂ€rd som avses i artikel 9.2 j i dataskydds- förordningen. Den praxis som finns avseende 19 § andra stycket personuppgiftslagen bör, enligt propositionen, kunna tjĂ€na som

50Prop. 1997/98:44 s. 71.

51Prop. 2017/18:105 s. 124.

141

Behandling av personuppgifter med stöd av dataskyddsförordningen

SOU 2018:52

vÀgledning Àven för tillÀmpningen av bestÀmmelsen i dataskydds- lagen. För att bestÀmmelsen ska aktualiseras förutsÀtts att insam- lingen av personuppgifter Àr tillÄten med stöd av nÄgon av de rÀttsliga grunderna i artikel 6.1 i dataskyddsförordningen eller att behand- lingen utgör en tillÄten vidarebehandling av för andra ÀndamÄl insam- lade personuppgifter.

Som konstateras i avsnitt 17.3 kan stora delar av den analysverk- samhet som Myndigheten för vÄrd- och omsorgsanalys Àgnar sig Ät anses motsvara statistisk verksamhet. Personuppgifter kan, enligt propositionen, med stöd av artikel 6.1 e i dataskyddsförordningen samlas in och i övrigt behandlas utan samtycke frÄn de registrerade vid sÄdan statistikverksamhet som Àr nödvÀndig för att t.ex. en myn- dighet ska kunna utföra sitt faststÀllda uppdrag, Àven om statistik inte uttryckligen nÀmns i myndighetens uppdrag.52 Utredningen bedömer dÀrför att Myndigheten för vÄrd- och omsorgsanalys kan stödja viss del av behandlingen av kÀnsliga personuppgifter pÄ arti- kel 9.2 j i dataskyddsförordningen och 3 kap. 7 § dataskyddslagen.

BestÀmmelserna i 3 kap. 7 § dataskyddslagen utgör ett sÄdant lag- stöd som tillÄter betydande intrÄng i den personliga integriteten (2 kap. 6 och 20 §§ regeringsformen).

7.3Behandling av uppgifter om lagövertrÀdelser

Utredningens bedömning: Myndigheten för vÄrd- och omsorgs- analys har möjlighet att behandla uppgifter om lagövertrÀdelser under förutsÀttning att det finns en rÀttslig grund för behand- lingen enligt artikel 6.1 i dataskyddsförordningen.

Av artikel 10 i dataskyddsförordningen framgÄr att behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀd- elser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhets- ÄtgÀrder enligt artikel 6.1 i dataskyddsförordningen endast fÄr utföras under kontroll av myndighet eller dÄ behandling Àr tillÄten enligt unionsrÀtten eller medlemsstaternas nationella rÀtt, dÀr lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter faststÀlls.

52Prop. 2017/18:105 s. 122 f.

142

SOU 2018:52

Behandling av personuppgifter med stöd av dataskyddsförordningen

Det framgÄr ocksÄ att ett fullstÀndigt register över brottmÄlsdomar endast fÄr föras under kontroll av en myndighet.

Personuppgifter om lagövertrÀdelser fÄr sÄledes behandlas av en myndighet under förutsÀttning att det finns lagligt stöd för behand- lingen enligt artikel 6.1 i dataskyddsförordningen. Det innebÀr att Myndigheten för vÄrd- och omsorgsanalys har samma möjligheter att behandla uppgifter om lagövertrÀdelser som myndigheten har att behandla andra personuppgifter som inte Àr kÀnsliga, se avsnitt 7.1.

143

8 Behovet av en reglering

Utredningens bedömning: En lagreglering av behandlingen av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys bör införas.

Myndigheten för vÄrd- och omsorgsanalys har sedan myndigheten bildades 2011 framfört behov av ett författningsstöd som gör det möjligt att behandla personuppgifter pÄ ett för uppföljnings- och analysverksamheten ÀndamÄlsenligt sÀtt. Myndigheten för vÄrd- och omsorgsanalys har som ett led i sitt uppdrag, i vissa fall, behov av att genomföra analyser som inkluderar stora mÀngder patient- och brukar- uppgifter (se avsnitt 4.4). Dessa analyser medför som regel en om- fattande behandling av kÀnsliga personuppgifter.

De kĂ€nsliga personuppgifter som myndigheten behöver behandla bestĂ„r t.ex. av uppgifter frĂ„n vĂ„rden, kvalitetsregister och Social- styrelsens hĂ€lsodataregister i form av bl.a. uppgifter om diagnos, olika symptom och livslĂ€ngd. Det handlar Ă€ven om personuppgifter frĂ„n socialtjĂ€nsten. I kombination med dessa kĂ€nsliga personupp- gifter finns det behov av att behandla bl.a. socioekonomiska upp- gifter – t.ex. uppgifter om utbildning, ekonomi, bidrag, sysselsĂ€tt- ning och sysselsĂ€ttningsgrad, demografiska uppgifter – t.ex. Ă„lder, kön, bostadsuppgifter, civilstĂ„nd och familj, och socialförsĂ€krings- uppgifter, t.ex. uppgifter om sjukskrivning och innehav av privat sjukförsĂ€kring. Med hĂ€nsyn till omfattningen av personuppgifterna, uppgifternas kĂ€nsliga karaktĂ€r, behovet av att personuppgifterna i vissa fall sammankopplas och omstĂ€ndigheten att behandlingen sker utan samtycke, skulle resultatet i en del fall bli en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett sĂ„dant betydande intrĂ„ng i den personliga integriteten som avses i 2 kap. 6 § andra stycket re- geringsformen.

145

Behovet av en reglering

SOU 2018:52

Som framgÄtt av kapitel 7 har Myndigheten för vÄrd- och omsorgs- analys, pÄ grund av regleringen i dataskyddsförordningen och data- skyddslagen, möjlighet att i sin analysverksamhet behandla person- uppgifter, Àven kÀnsliga sÄdana. Den allmÀnna lagstiftningen om behandling av personuppgifter ger sÄledes ett stöd för behandlingen.

Det finns emellertid, sÄsom redogjorts för i avsnitt 3.5.3, en överenskommelse mellan regering och riksdag om att myndighets- register med ett stort antal registrerade och ett sÀrskilt kÀnsligt inne- hÄll ska regleras sÀrskilt i lag, dvs. inte bara av den allmÀnna lagstift- ningen om behandling av personuppgifter. Utredningen bedömer att behandlingen av personuppgifter i myndighetens analysverksamhet Àr sÄdan att den faller under den överenskommelsen. DÀrför och dÄ behandlingen bör kringgÀrdas av mer specifika restriktioner och skyddsÄtgÀrder Àn som följer av den allmÀnna dataskyddsregleringen, bör enligt utredningens bedömning behandlingen regleras sÀrskilt i lag. Med en sÀrskild lagreglering blir det tydligt under vilka förut- sÀttningar myndigheten fÄr behandla personuppgifter.

Den sÀrskilda lagen för analysverksamheten vid Myndigheten för vÄrd- och omsorgsanalys tar, enligt 1 kap. 6 § dataskyddslagen, över de generella bestÀmmelserna i dataskyddslagen. Det innebÀr att myn- digheten inte kan Äberopa t.ex. bestÀmmelserna i 3 kap. 5 och 7 §§ dataskyddslagen som stöd för behandling av personuppgifter i ana- lysverksamheten, utan stödet mÄste i princip finnas i den sÀrskilda lagen; se dock undantag för behandling av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser i vissa fall, avsnitt 11.4.2 och

12.2.2.PÄ motsvarande sÀtt Àr det med bestÀmmelserna i dataskydds- förordningen. Myndigheten kan alltsÄ inte pÄ de punkter som regleras i den sÀrskilda lagen i stÀllet Äberopa dataskyddsförordningens bestÀm- melser. En annan sak Àr att den sÀrskilda lagen bara bör komplettera dataskyddsförordningen och dataskyddslagen och att bestÀmmelser i den lagstiftningen blir tillÀmpliga i den utstrÀckning nÄgot inte Àr reglerat i den sÀrskilda lagen (se avsnitt 9.4).

146

9En ny lag om behandling av personuppgifter

9.1Lagen bör inte innehÄlla bestÀmmelser som generellt tillÄter behandling

Utredningens bedömning: Det behövs inga s.k. Ă€ndamĂ„lsbestĂ€m- melser. Bara behandling av personuppgifter i projekt som sker med samtycke eller har prövats och godkĂ€nts av Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning alter- nativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor bör tillĂ„tas enligt lagen. Övrig behandling av personuppgifter, som inte strider mot 2 kap. 6 § andra stycket regeringsformen, kan genomföras med stöd av dataskyddsförordningen och dataskydds- lagen.

Som framgÄr av avsnitt 7.1.4 kan Myndigheten för vÄrd- och omsorgs- analys behandla personuppgifter som inte Àr kÀnsliga med stöd av dataskyddsförordningen. Utredningen bedömer dÀrför att det inte behövs nÄgon bestÀmmelse i lagen som generellt tillÄter behandling, motsvarande sÄdana ÀndamÄlsbestÀmmelser som finns i registerför- fattningar som kommit till före dataskyddsförordningen. Skulle en sÄdan bestÀmmelse införas i lagen, utgör den ett sÄdant lagstöd som tillÄter betydande intrÄng i den personliga integriteten trots skyddet i 2 kap. 6 § andra stycket regeringsformen. Utan en bestÀmmelse som generellt tillÄter behandling fÄr myndigheten sjÀlv i det enskilda fallet bedöma om behandlingen Àr tillÄten enligt grundlagen. Det Àr enligt utredningens bedömning bÀttre för integritetsskyddet Àn en generell bestÀmmelse, se ocksÄ avsnitt 14.2.5.

147

En ny lag om behandling av personuppgifter

SOU 2018:52

Eftersom den föreslagna lagen inte innehÄller nÄgra ÀndamÄls- bestÀmmelser, förefaller det onödigt att ha en uttrycklig bestÀm- melse om att Myndigheten för vÄrd- och omsorgsanalys Àr person- uppgiftsansvarig för den behandling myndigheten utför enligt lagen. Det framgÄr tillrÀckligt tydligt redan av definitionen av person- uppgiftsansvarig i artikel 4 i dataskyddsförordningen.

Viss behandling som behöver utföras i myndighetens uppfölj- nings- och analysverksamhet kan innebĂ€ra ett sĂ„dant intrĂ„ng som avses i 2 kap. 6 § andra stycket regeringsformen. För sĂ„dan behand- ling krĂ€vs det enligt 2 kap. 20 § regeringsformen ett lagstöd. Som kommer att framgĂ„ i det följande föreslĂ„r utredningen ett lagstöd för behandling av personuppgifter i uppföljnings- och analysprojekt om projektet har prövats och godkĂ€nts av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor (kapitel 10–13). I de allra flesta fall ska behandling av kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser, som inte sker med stöd av samtycke, enligt förslaget bara vara tillĂ„ten om det finns ett sĂ„dant godkĂ€nnande. Om sĂ„dana personuppgifter fĂ„r behandlas i ett godkĂ€nt projekt, ska enligt förslaget Ă€ven andra personuppgifter fĂ„ behandlas i projektet. Det innebĂ€r att all behandling av personuppgifter i projekt som god- kĂ€nts vid en etisk prövning har ett lagstöd som innebĂ€r att behand- lingen fĂ„r utföras Ă€ven om den sker utan samtycke och innebĂ€r ett sĂ„dant betydande intrĂ„ng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

I de allra flesta av myndighetens projekt som krÀver att person- uppgifter behandlas utan samtycke frÄn den registrerade lÀr det, med hÀnsyn till myndighetens inriktning pÄ hÀlso- och sjukvÄrd och socialtjÀnst, behövas vissa kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser. Det kan emellertid inte helt uteslutas att myn- digheten i ett projekt behöver behandla bara sÄdana personuppgifter som inte Àr kÀnsliga personuppgifter eller uppgifter om lagöver- trÀdelser men som ÀndÄ innebÀr ett sÄdant betydande intrÄng i den personliga integriteten utan samtycke som avses i 2 kap. 6 § andra stycket regeringsformen.

DÀrför bör det, enligt utredningens mening, finnas en möjlighet att i undantagsfall fÄ behandla sÄdana personuppgifter i ett viktigt projekt trots 2 kap. 6 § andra stycket regeringsformen, om projektet

148

SOU 2018:52

En ny lag om behandling av personuppgifter

har prövats och godkĂ€nts av Etikprövningsmyndigheten eller Över- klagandenĂ€mnden för etikprövning alternativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor. Det kan inte vara frĂ„ga om mĂ„nga fall och prövningsmöjligheten Ă€r begrĂ€nsad till fall dĂ€r integri- tetsskyddsintresset tydligt stĂ„r pĂ„ spel. I kapitel 13 föreslĂ„r utred- ningen dĂ€rför en sĂ„dan möjlighet.

I kapitel 16 redovisas en samlad bedömning av tillÄtligheten enligt regeringsformen av de föreslagna undantagen frÄn skyddet enligt 2 kap. 6 § regeringsformen.

Givetvis mÄste tillÀmpliga bestÀmmelser i dataskyddsförordningen följas Àven nÀr behandlingen pÄ det beskrivna sÀttet tillÄtits i svensk lag. Ett exempel Àr att det kan vara nödvÀndigt att myndigheten före behandlingen och ansökan om prövning av Etikprövningsmyndig- heten alternativt av ett annat sÀrskilt organ för prövning av etiska frÄgor gör en konsekvensbedömning avseende dataskydd enligt arti- kel 35 i dataskyddsförordningen. Den möjlighet som finns enligt artikel 35.10 i dataskyddsförordningen att i stÀllet göra konsekvens- bedömningen avseende dataskydd i samband med antagandet av nationell lagstiftning kan nÀmligen, enligt utredningens bedömning, inte anvÀndas nÀr det sÄsom i detta fall i lagstiftningen inte nÀrmare anges vilken behandling som tillÄts utan detta överlÀmnas till en sÀr- skild prövningsinstans att avgöra.

9.2Nationella bestÀmmelser som kompletterar dataskyddsförordningen

Utredningens bedömning: BestÀmmelser som syftar till att Myn- digheten för vÄrd- och omsorgsanalys ska kunna bedriva sin verk- samhet enligt sin instruktion, som medför en begrÀnsning av rÀtten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen och Àr tillÄtna enligt 2 kap. 21 § regeringsformen, Àr ocksÄ tillÄtna enligt dataskyddsförordningen.

Det Àr tillÄtet att införa krav pÄ skyddsÄtgÀrder hos Myndig- heten för vÄrd- och omsorgsanalys utöver vad som gÀller enligt dataskyddsförordningen och att inskrÀnka myndighetens möjlig- heter till behandling.

149

En ny lag om behandling av personuppgifter

SOU 2018:52

Förtydligande bestÀmmelser som anger vad som Àr tillÄten behandling enligt den direkt tillÀmpliga dataskyddsförordningen Àr förenliga med dataskyddsförordningen.

Dataskyddsförordningen Àr direkt tillÀmplig och dess bestÀmmelser Àr tvingande. Enligt artikel 6.2 i dataskyddsförordningen fÄr med- lemsstaterna dock behÄlla eller införa mer specifika bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i dataskyddsförord- ningen nÀr det gÀller behandling av personuppgifter som Àr nödvÀn- dig för att fullgöra en rÀttslig förpliktelse eller för att utföra en arbetsuppgift av allmÀnt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning, dvs. sÄdan behandling som avses i artikel 6.1 c och e i dataskyddsförordningen. Den rÀttsliga grund för behandlingen som enligt artikel 6.3 i dataskyddsförord- ningen i dessa fall ska faststÀllas i den nationella rÀtten kan ocksÄ innehÄlla sÀrskilda bestÀmmelser för att anpassa tillÀmpningen av dataskyddsförordningen. Som exempel pÄ sÄdana bestÀmmelser anges allmÀnna villkor som ska gÀlla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka regi- strerade som berörs, de enheter till vilka personuppgifterna fÄr lÀm- nas ut och för vilka ÀndamÄl, ÀndamÄlsbegrÀnsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet ÄtgÀrder för att tillförsÀkra en laglig och rÀttvis behandling. Den rÀttsliga regleringen ska uppfylla ett mÄl av allmÀnt intresse och vara proportionell mot det legitima mÄl som efterstrÀvas.

Av avsnitt 7.1.3 framgÄr att det Àr utredningens uppfattning att den verksamhet som Myndigheten för vÄrd- och omsorgsanalys bedriver med stöd av sin instruktion utgör en sÄdan arbetsuppgift av allmÀnt intresse som avses i artikel 6.1 e i dataskyddsförordningen. BestÀmmelser som syftar till att myndigheten pÄ ett ÀndamÄlsenligt sÀtt ska kunna bedriva den verksamhet som anses vara av ett allmÀnt intresse fÄr ocksÄ anses uppfylla ett mÄl av allmÀnt intresse och Àr dÀrmed tillÄtna under förutsÀttning att de uppfyller kravet pÄ pro- portionalitet.

RÀtten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen fÄr enligt 2 kap. 21 § regeringsformen begrÀnsas endast för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle. BegrÀnsningen fÄr aldrig gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och

150

SOU 2018:52

En ny lag om behandling av personuppgifter

inte heller strĂ€cka sig sĂ„ lĂ„ngt att den utgör ett hot mot den fria Ă„siktsbildningen sĂ„som en av folkstyrelsens grundvalar. BegrĂ€ns- ningen fĂ„r inte göras enbart pĂ„ grund av politisk, religiös, kulturell eller annan sĂ„dan Ă„skĂ„dning. Även enligt regeringsformen krĂ€vs sĂ„ledes en proportionalitetsbedömning. I den mĂ„n den förslagna regleringen medför en begrĂ€nsning av rĂ€tten till skydd för den per- sonliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen som Ă€r tillĂ„ten enligt 2 kap. 21 § regeringsformen, Ă€r regleringen enligt utredningens bedömning dĂ€rför Ă€ven tillĂ„ten enligt dataskydds- förordningen, dvs. regleringen klarar dĂ„ ocksĂ„ det proportionali- tetskrav dataskyddsförordningen uppstĂ€ller. Det kan tillĂ€ggas att det Ă€ven av 2 kap. 19 § regeringsformen och Europakonventionen följer ett krav pĂ„ att lagstiftning som begrĂ€nsar rĂ€tten till skydd för privatlivet ska vara proportionerlig. I kapitel 16 redovisas utredningens bedömning av de föreslagna reglernas förenlighet med regerings- formens bestĂ€mmelser.

Möjligheten att begrÀnsa myndigheters behandling av person- uppgifter och utöka deras skyldigheter i förhÄllande till vad som gÀller enligt dataskyddsförordningen Àr i enlighet med den bedömning utredningen har gjort i det första betÀnkandet inte begrÀnsad till att avse behandling som sker med stöd av de grunder som anges i artikel 6.1 c och e i dataskyddsförordningen. Dataskyddsförordningen innebÀr inte en skyldighet att behandla personuppgifter i de fall det Àr tillÄtet annat Àn nÀr det föreskrivs en sÄdan skyldighet, t.ex. nÀr det gÀller uppfyllandet av den registrerades rÀttigheter exempelvis avseende registerutdrag. Dataskyddsförordningen innebÀr inte heller ett förbud mot att en personuppgiftsansvarig vÀljer att gÄ utöver sina skyldigheter enligt dataskyddsförordningen och t.ex. lÀmna regi- strerade mera information Àn vad som krÀvs. I den utstrÀckning personuppgiftsansvariga har en sÄdan valrÀtt enligt dataskyddsför- ordningen, Àr det utredningens bedömning att medlemsstaterna utan hinder av dataskyddsförordningen genom nationell rÀtt kan disponera över den valrÀtten för sina egna myndigheter. Det kan dÀrför i nationell rÀtt föreskrivas att Myndigheten för vÄrd- och omsorgsanalys ska ha mer begrÀnsade möjligheter att behandla personuppgifter eller utökade skyldigheter i förhÄllande till vad som gÀller enligt dataskyddsförordningen. Det Àr t.ex. möjligt att i natio- nell lagstiftning införa krav pÄ begrÀnsande ÄtgÀrder i form av skyddsÄtgÀrder. DÀremot Àr det förstÄs inte tillÄtet att i nationell rÀtt

151

En ny lag om behandling av personuppgifter

SOU 2018:52

föreskriva att myndigheten fÄr göra eller slipper göra nÄgot annat Àn nÀr detta Àr tillÄtet enligt dataskyddsförordningen.

Det Àr ocksÄ tillÄtet att i viss utstrÀckning införliva dataskydds- förordningens bestÀmmelser i nationell rÀtt. Av skÀl 8 till dataskydds- förordningen framgÄr att om dataskyddsförordningen föreskriver för- tydliganden eller begrÀnsningar av bestÀmmelserna i dataskyddsförord- ningen genom den nationella rÀtten kan medlemsstaterna, i den utstrÀckning det Àr nödvÀndigt för samstÀmmigheten och för att göra de nationella bestÀmmelserna begripliga för de personer som de tillÀmpas pÄ, införliva delar av dataskyddsförordningen i nationell rÀtt. I betÀnkandet föreslÄs nÄgra bestÀmmelser som anger vad som Àr tillÄten behandling enligt den direkt tillÀmpliga dataskyddsför- ordningen. BestÀmmelserna Àr enligt utredningens mening sÄdana förtydligande bestÀmmelser som Àr förenliga med EU-rÀtten, med beaktande av skÀl 8 till dataskyddsförordningen.

9.3Lagens tillÀmpningsomrÄde

Utredningens förslag: Lagen ska gÀlla vid behandling av per- sonuppgifter i verksamhet vid Myndigheten för vÄrd- och omsorgs- analys som avser uppföljning och analys av verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen ska endast gÀlla om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr till- gÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

I vissa delar ska lagen Àven gÀlla uppgifter om avlidna personer.

9.3.1Verksamhet som bör omfattas av lagen

TillÀmpningsomrÄdet för den nya lagen bör utgÄ frÄn Myndigheten för vÄrd- och omsorgsanalys huvudsakliga uppdrag sÄsom det Àr formulerat i 1 § förordningen med instruktion för Myndigheten för vÄrd- och omsorgsanalys (2010:1385). Utredningen föreslÄr dÀrför att lagen ska vara tillÀmplig i den del av myndighetens verksamhet som bestÄr i att följa upp och analysera verksamheter och förhÄllanden

152

SOU 2018:52

En ny lag om behandling av personuppgifter

inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgarperspektiv. TillÀmpningsomrÄdet kommer pÄ sÄ sÀtt att omfatta hela myndighetens uppdrag inklusive hur detta preciseras i 2 och 3 §§ i myndighetens instruktion.

Myndigheten behandlar ocksÄ personuppgifter i den interna admi- nistrationen vid hantering av exempelvis personal- och lokalfrÄgor och ekonomiadministration. Behandlingen av personuppgifter i den administrativa verksamheten har inte nÄgon nÀrmare koppling till fullgörandet av de arbetsuppgifter som myndigheten Àr Älagd att göra inom ramen för dess kÀrnverksamhet. Den behandling av per- sonuppgifter som sker inom den administrativa verksamheten skiljer sig inte heller nÀmnvÀrt frÄn den behandling som utförs av andra myndigheter eller enskilda företag och föranleder dÀrför inte nÄgot behov av sÀrreglering. Myndighetens behandling av personuppgifter inom den administrativa verksamheten bör dÀrför inte omfattas av den nya lagen. I stÀllet ska, förutom dataskyddsförordningen, data- skyddslagen tillÀmpas inom den verksamheten.

9.3.2Automatiserad behandling och manuella register

Den nya lagen bör omfatta helt eller delvis automatiserad behandling av personuppgifter och annan behandling om uppgifterna ingÄr eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kri- terier (register). TillÀmpningsomrÄdet ansluter dÀrmed till dataskydds- förordningens, dataskyddslagens och flertalet andra registerförfatt- ningars tillÀmpningsomrÄde. Manuell behandling av personuppgifter som inte ingÄr i en uppgiftssamling som Àr strukturerad för sökning eller sammanstÀllning, sÄsom minnesanteckningar frÄn intervjuer som enbart förs pÄ papper, kommer sÄledes inte att omfattas av den nya lagen.

9.3.3Uppgifter om avlidna personer

Dataskyddsförordningen Àr inte tillÀmplig pÄ uppgifter om avlidna personer. Medlemsstaterna Àr dock oförhindrade att lÄta nationell lagstiftning som kompletterar dataskyddsförordningen ha ett vidare eller snÀvare tillÀmpningsomrÄde Àn dataskyddsförordningen. Att

153

En ny lag om behandling av personuppgifter

SOU 2018:52

medlemsstaterna fÄr faststÀlla bestÀmmelser för behandlingen av personuppgifter om avlidna personer framgÄr dessutom av skÀl 27 till dataskyddsförordningen.

Myndigheten för vÄrd- och omsorgsanalys har behov av att behandla bl.a. uppgifter om livslÀngd i förhÄllande till olika diag- noser. Om uppgifterna om avslutad livslÀngd kan hÀnföras till en- skilda, Àr uppgifterna sÄdana som avser avlidna personer. Regeringen har i förarbetena till patientdatalagen (2008:355) konstaterat att det i hÀlso- och sjukvÄrdens verksamhet förekommer en mÀngd upp- gifter om avlidna patienter samt att dessa uppgifter kan vara integri- tetskÀnsliga.1 SÄdana uppgifter omfattas dÀrför av patientdatalagens bestÀmmelser om behandling av personuppgifter i tillÀmpliga delar, t.ex. nÀr det gÀller för vilka ÀndamÄl uppgifter om avlidna fÄr anvÀndas eller nÀr det gÀller vilken elektronisk Ätkomst som fÄr förekomma till uppgifter om avlidna. TillÀmpningsomrÄdet har Àven för vissa andra registerförfattningar utstrÀckts till att gÀlla behandling av uppgifter om avlidna personer.2 DÀremot omfattas avlidna personer inte av tillÀmpningsomrÄdet för lagen (2001:454) om behandling av personuppgifter inom socialtjÀnsten.

Eftersom Myndigheten för vÄrd- och omsorgsanalys till stor del hanterar uppgifter som kommer frÄn vÄrden, finns det skÀl att göra samma bedömning som regeringen har gjort i förhÄllande till patient- uppgifter. Myndigheten för vÄrd- och omsorgsanalys hanterar dess- utom till övervÀgande del uppgifter som inte Àr direkt hÀnförliga till en enskild och har dÀrmed svÄrt att, om inte uppgiften i sig indikerar att personen avlidit, sÀrskilja uppgifter om avlidna frÄn uppgifter om levande personer. Att lÄta samtliga uppgifter om personer omfattas av samma regler framstÄr dÀrför Àven som praktiskt motiverat.

Det kan dock inte anses motiverat att kravet pĂ„ prövning och godkĂ€nnande av Etikprövningsmyndigheten eller Överklagande- nĂ€mnden för etikprövning alternativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor, Ă€ven ska gĂ€lla projekt med enbart upp- gifter om avlidna. Kravet pĂ„ etikprövning för forskningsprojekt enligt etikprövningslagen omfattar endast projekt med uppgifter om levande personer. DĂ€remot kommer naturligtvis uppgifter om avlidna

1Prop. 2007/08:126 s. 52.

2Se t.ex. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och

114kap. socialförsÀkringsbalken.

154

SOU 2018:52

En ny lag om behandling av personuppgifter

att inkluderas i prövningen om projektet Àven medför behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser om lev- ande personer.

9.4FörhÄllandet till annan reglering

Utredningens förslag: Lagen ska innehÄlla en upplysning om att den kompletterar dataskyddsförordningen.

Dataskyddslagen ska gÀlla, om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av den.

Vid forskning ska lagen (2003:460) om etikprövning av forsk- ning som avser mÀnniskor gÀlla.

9.4.1Dataskyddsförordningen

Dataskyddsförordningen Àr direkt tillÀmplig och har företrÀde fram- för nationell lagstiftning. Den nya lagen om behandling av person- uppgifter i Myndigheten för vÄrd- och omsorgsanalys verksamhet kommer dÀrför endast att innehÄlla bestÀmmelser som kompletterar eller tar över bestÀmmelserna i dataskyddsförordningen, nÀr det Àr tillÄtet. För att tillÀmparen ska fÄ en fullstÀndig bild av vilken reglering som gÀller bör den föreslagna lagen innehÄlla en bestÀm- melse som upplyser om att dataskyddsförordningen gÀller. BestÀm- melser bör formuleras pÄ samma sÀtt som i andra registerlagar inom Socialdepartementets verksamhetsomrÄde som har anpassats till data- skyddsförordningen.3

HÀnvisningar till EU-rÀttsakter kan göras antingen statiska eller dynamiska. En statisk hÀnvisning innebÀr att hÀnvisningen avser EU-rÀttsakten i en viss angiven lydelse. En dynamisk hÀnvisning innebÀr att hÀnvisningen avser EU-rÀttsakten i den vid varje tid- punkt gÀllande lydelsen. LagrÄdet har uttalat att en konsekvens- analys bör göras vid valet av hÀnvisningsteknik och redovisas för var och en av de hÀnvisningar som görs.4 Eftersom dataskyddsförord- ningen Àr direkt tillÀmplig och syftet med hÀnvisningen i det hÀr

3Prop. 2017/18:171 s. 74.

4Prop. 2015/16:156 s. 34.

155

En ny lag om behandling av personuppgifter

SOU 2018:52

fallet endast Àr att upplysa om att dataskyddsförordningen gÀller, framstÄr det som mest lÀmpligt att hÀnvisningen dit görs dynamisk.

Att dataskyddsförordningen Àr direkt tillÀmplig innebÀr alltsÄ att Myndigheten för vÄrd- och omsorgsanalys, förutom bestÀmmel- serna i den nya lagen, Àven ska tillÀmpa dataskyddsförordningens bestÀmmelser. En redogörelse för huvuddragen i dataskyddsförord- ningen finns i avsnitt 3.4. Som exempel pÄ bestÀmmelser som ska tillÀmpas kan nÀmnas bestÀmmelserna om de grundlÀggande princip- erna för behandling av personuppgifter, den registrerades rÀttigheter samt den personuppgiftsansvariges skyldigheter att vidta sÀkerhets- ÄtgÀrder och göra konsekvensbedömningar före behandlingar som kan innebÀra en hög integritetsrisk.

9.4.2Dataskyddslagen

Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehÄller nÄgon bestÀmmelse som rör behandling av personuppgifter och som avviker frÄn dataskyddslagen ska den be- stÀmmelsen tillÀmpas. Dataskyddslagen Àr alltsÄ subsidiÀr i förhÄll- ande till annan lagstiftning om behandling av personuppgifter. De flesta registerförfattningar var, nÀr personuppgiftslagen gÀllde, konstruerade sÄ att de endast kompletterade eller ersatte person- uppgiftslagen i frÄgor som var specifika för de verksamheter som omfattades av sÀrregleringen. Sedan dataskyddsförordningen började tillÀmpas kompletterar eller gÀller sÄdana registerförfattningar i stÀllet för dataskyddslagen. Detta innebÀr att den personuppgiftsansvarige, utöver dataskyddsförordningen, mÄste beakta sÄvÀl den sÀrskilda registerförfattningen som den generella nationella regleringen i data- skyddslagen. Alternativet var tidigare att heltÀckande reglera all behandling av personuppgifter i en viss verksamhet i registerför- fattningen. SÄ skedde ocksÄ undantagsvis pÄ det omrÄde som nu omfattas av dataskyddsförordningen, bl.a. i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, som innehöll hÀnvisningar till de bestÀmmelser i personuppgifts- lagen som skulle gÀlla. I samband med anpassningen till dataskydds- förordningen frÄngicks den lagstiftningstekniken och numera anges att registerförfattningen kompletterar dataskyddsförordningen och

156

SOU 2018:52

En ny lag om behandling av personuppgifter

att dataskyddslagen gÀller om inte annat följer av registerförfatt- ningen eller anknytande föreskrifter.5

Inom Socialdepartementets verksamhetsomrÄde var registerförfatt- ningarna tidigare konstruerade sÄ att de gÀllde utöver personupp- giftslagen och bara innehöll de sÀrbestÀmmelser som ansÄgs nöd- vÀndiga pÄ det aktuella omrÄdet. Utredningen föreslog i det första betÀnkandet att författningarna, nÀr dataskyddsförordningen hade börjat tillÀmpas, skulle gÀlla utöver dataskyddslagen. I den efter- följande propositionen anförs att den regleringstekniken, dvs. att registerförfattningen gÀller utöver den generella nationella regleringen av behandling av personuppgifter, kan och bör behÄllas.6 Eftersom dataskyddslagen som nÀmnts Àr subsidiÀr, behövs ingen materiell bestÀmmelse för att uppnÄ detta. Registerförfattningarna innehÄller dock ÀndÄ ofta en bestÀmmelse om förhÄllandet till den generella lagen. Normalt Àr det en upplysning om att den generella lagen gÀller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedöm- ningar som gjorts nÀr sÄdana bestÀmmelser införts, Àr det enligt propositionen lÀmpligt att uttryckligen upplysa om att registerför- fattningen kompletterar dataskyddsförordningen och att det kan finnas tillÀmpliga bestÀmmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Registerförfattningarna bör dÀrför, enligt propositionen, innehÄlla en sÄdan upplysning.

Den nya lagen bör endast reglera frÄgor som Àr specifika för den verksamhet som bedrivs av Myndigheten för vÄrd- och omsorgs- analys. De sÀrregler som behövs i förhÄllande till den generella regleringen Àr förhÄllandevis fÄ. Registerlagen bör endast innehÄlla de frÄn ett ÀndamÄls- eller integritetsskyddsperspektiv viktigaste sÀrbestÀmmelserna i förhÄllande till dataskyddsförordningens och dataskyddslagens bestÀmmelser. Utredningen gör dÀrför bedöm- ningen att det Àr lÀmpligt att lÄta Àven den nya lagen gÀlla utöver dataskyddslagen. Alternativet, att i registerlagen heltÀckande reglera vilka bestÀmmelser i dataskyddslagen och anknytande föreskrifter som ska gÀlla, kan möjligen passa för verksamheter dÀr det behövs ett stort antal undantag och sÀrregler i förhÄllande till den generella

5Prop. 2017/18:95 s. 51 ff.

6Prop. 2017/18:171 s. 173.

157

En ny lag om behandling av personuppgifter

SOU 2018:52

regleringen. Ett sÄdant sÀtt att reglera framstÄr dessutom som mindre lÀmpligt mot bakgrund av att Àven bestÀmmelserna i den direkt tillÀmpliga dataskyddsförordningen ska tillÀmpas.

Eftersom dataskyddslagen Àr subsidiÀr, behövs ingen materiell bestÀmmelse för att den nya lagen ska gÀlla utöver dataskyddslagen. Av tydlighetsskÀl innehÄller dock flertalet registerförfattningar en bestÀmmelse om förhÄllandet till den generella regleringen. Utred- ningen föreslÄr dÀrför en bestÀmmelse som innebÀr att dataskydds- lagen gÀller vid behandling av personuppgifter enligt den föreslagna lagen, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den. NÀr dataskyddslagen Àr tillÀmp- lig, Àr ocksÄ bestÀmmelser som regeringen meddelat i anslutning till dataskyddslagen tillÀmpliga. Det innebÀr att eventuella förordnings- bestÀmmelser om undantag frÄn dataskyddslagens tillÀmplighet gÀller.

BestÀmmelsen om förhÄllandet till dataskyddslagen bör formu- leras som i andra registerlagar inom Socialdepartementets verksam- hetsomrÄde som har anpassats till dataskyddsförordningen.7

9.4.3Etikprövningslagen

Lagen om etikprövning av forskning som avser mÀnniskor, etik- prövningslagen, innehÄller bestÀmmelser om etikprövning av forsk- ning som avser mÀnniskor. I dag ska lagen tillÀmpas bl.a. pÄ forsk- ning som innefattar behandling av kÀnsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngs- medel eller administrativa frihetsberövanden enligt 21 § personupp- giftslagen. Lagen ska dock enligt ett remitterat utkast till lagrÄds- remiss anpassas till dataskyddsförordningen och frÄn och med 2019 tillÀmpas bl.a. pÄ forskning som innefattar behandling av personupp- gifter som avses i artikel 9.1 i dataskyddsförordningen (kÀnsliga personuppgifter) eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden. Med kÀnsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening, genetiska uppgifter, biometriska uppgifter för att entydigt

7Prop. 2017/18:171 s. 74.

158

SOU 2018:52

En ny lag om behandling av personuppgifter

identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning. Av dessa kategorier av uppgifter Àr genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell lÀgg- ning nya i förhÄllande till vad som gÀllde innan dataskyddsförord- ningen började tillÀmpas. NÀr det gÀller uppgifter om lagövertrÀd- elser föreslÄs inte nÄgon Àndring betrÀffande vilka uppgifter som ska omfattas.8

Med forskning avses enligt 2 § etikprövningslagen vetenskapligt experimentellt eller teoretiskt arbete för att inhÀmta ny kunskap och utvecklingsarbete pÄ vetenskaplig grund.9 Forskning som omfattas av etikprövningslagens tillÀmpningsomrÄde fÄr enligt 6 § utföras bara om den godkÀnts vid en etikprövning.

Myndigheten för vĂ„rd- och omsorgsanalys bedömer att dess verk- samhet, trots mĂ„nga likheter med forskning, i dag inte utgör nĂ„gon forskning (se avsnitt 4.3). Utredningens förslag i kapitel 10–12 om att det för viss behandling av personuppgifter i analysverksamheten ska krĂ€vas en prövning och godkĂ€nnande av Etikprövningsmyndig- heten eller ÖverklagandenĂ€mnden för etikprövning alternativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor avser sĂ„ledes inte sĂ„dan verksamhet som utgör forskning. Om myndigheten i nĂ„got fall Ă€ndĂ„ skulle bedriva forskning, bör den lyda under samma regler som all annan forskning nĂ€r det gĂ€ller behandling av personuppgifter och inte under den av utredningen föreslagna specialregleringen. En bestĂ€mmelse som förtydligar att etikprövningslagen ska tillĂ€mpas vid forskning bör dĂ€rför införas. Med forskning av ses detsamma som enligt etikprövningslagen.

8Utkast till lagrÄdsremiss dnr U2018/01639/F s. 73 och 87 f.

9Förslag pÄ ny definition av begreppet forskning har lÀmnats i SOU 2017:104.

159

10Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

10.1Det behövs en prövning i varje enskilt fall vid riskfyllda behandlingar

Utredningens bedömning: Det behövs en prövning i varje en- skilt fall av en extern oberoende instans för att Myndigheten för vÄrd- och omsorgsanalys ska fÄ utföra sÀrskilt riskfyllda behand- lingar.

Problemet vid reglering av behandling av personuppgifter vid myn- digheter som har i uppdrag att göra analyser, uppföljningar eller tillsyn (eller bedriva spaning), som krÀver behandling av personupp- gifter, Àr att dessa myndigheter som regel behöver behandla alle- handa personuppgifter för vitt skilda konkreta ÀndamÄl som i prak- tiken inte lÄter sig sammanfattas pÄ förhand i lagstiftning pÄ ett sÄdant sÀtt att behandlingen kan begrÀnsas. SÄ Àr fallet nÀr det gÀller Myndigheten för vÄrd- och omsorgsanalys behov av behandling av personuppgifter. En ÀndamÄlsbestÀmmelse i lag med förutsÀttningar för att behandling ska fÄ ske skulle dÀrför behöva vara sÄ allmÀnt hÄllen att man, enligt utredningens bedömning, inte gÀrna kan över- lÄta Ät myndigheten att sjÀlv tillÀmpa den i de fall det gÀller mer integritetskÀnslig behandling av personuppgifter.

Motsvarande problem med att pÄ förhand faststÀlla tillrÀckligt konkreta förutsÀttningar för behandling av personuppgifter finns vid forskning, som ju kan avse vad som helst och krÀva vilka per- sonuppgifter som helst. Myndigheten för vÄrd- och omsorgsanalys

161

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

konkretiserar i sin verksamhet med uppföljning och analys frÄge- stÀllningarna pÄ motsvarande sÀtt som vid forskning och anvÀnder samma metoder som vid forskning för att besvara dessa.

Vid forskning Àr problemet, nÀr det gÀller kÀnsliga personupp- gifter och uppgifter om lagövertrÀdelser, numera löst genom systemet med etikprövning som innebÀr att en extern instans med expert- kompetens enligt ganska konkreta avvÀgningsnormer i varje enskilt fall bedömer om integritetsintrÄnget Àr försvarligt med hÀnsyn till intresset av behandlingen.

PÄ datalagens tid löstes problemet genom att det krÀvdes tillstÄnd av Datainspektionen för att fÄ föra ett forskningsregister och att inspektionen kunde förena tillstÄndet med skrÀddarsydda villkor. NÀr personuppgiftslagen infördes 1998 avskaffades tillstÄndssystemet för nya behandlingar. Behandling av kÀnsliga personuppgifter för forsk- ningsÀndamÄl var enligt den ursprungliga lydelsen av personupp- giftslagen tillÄten med samtycke eller efter en kvalificerad intresse- avvÀgning.1 Behandlingen var tillÄten om den var nödvÀndig och om samhÀllsintresset av det forskningsprojekt dÀr behandlingen ingick klart vÀgde över den risk för otillbörligt intrÄng i enskildas person- liga integritet som behandlingen kunde innebÀra. Det betonades att det behövde göras en prövning i varje enskilt fall och att den som regel skulle göras av nÄgon oberoende instans. DÀrför infördes ocksÄ en bestÀmmelse om att förutsÀttningarna enligt den kvalificerade intresseavvÀgningen skulle anses uppfyllda om behandlingen hade godkÀnts av en forskningsetisk kommitté. Med forskningsetisk kommitté avsÄgs ett sÄdant sÀrskilt organ för prövning av forsk- ningsetiska frÄgor som hade företrÀdare för sÄvÀl det allmÀnna som forskningen och som var knutet till ett universitet eller en högskola eller till nÄgon annan instans som i mera betydande omfattning finansierade forskning.

Genom införandet 2004 av etikprövningslagen avskaffades möj- ligheten för den personuppgiftsansvarige att sjÀlv avgöra om och under vilka förutsÀttningar behandling utan samtycke av kÀnsliga personuppgifter (och uppgifter om lagövertrÀdelser) för forsknings- ÀndamÄl var tillÄten. Den prövningen anförtroddes Ät de dÄ nyinrÀtt- ade oberoende etikprövningsnÀmnderna, med en person med domar- kompetens som ordförande och i övrigt ledamöter med vetenskaplig

1SOU 1997:39 s. 294 ff. och prop. 1997/98:44 s. 70 ff.

162

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

kompetens och ledamöter som företrÀder allmÀnna intressen. I etik- prövningslagen infördes ocksÄ mer precisa bestÀmmelser om hur prövningen och den kvalificerade intresseavvÀgningen skulle gÄ till. Sedan 2008 ska ocksÄ forskning som sker med samtycke prövas av etikprövningsnÀmnd.

Myndigheten för vĂ„rd- och omsorgsanalys har behov av att behandla vissa kĂ€nsliga personuppgifter, uppgifter om lagövertrĂ€del- ser och att i vissa fall behandla personuppgifter i sĂ„dan omfattning att det, med hĂ€nsyn till den stora mĂ€ngden personuppgifter, uppgifternas integritetskĂ€nsliga karaktĂ€r och behovet av att koppla samman uppgifterna, innebĂ€r en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett sĂ„dant betydande intrĂ„ng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen (sĂ€rskilt riskfyllda behandlingar). Det Ă€r utredningens slutsats att det bĂ€sta sĂ€ttet att tillfredsstĂ€llande reglera nĂ€r Myndigheten för vĂ„rd- och omsorgsanalys ska fĂ„ utföra sĂ€rskilt riskfyllda behand- lingar Ă€r att föreskriva att det i varje enskilt fall ska göras en be- dömning av en oberoende och kompetent instans. I kapitel 11–13 redogörs nĂ€rmare för vilka sĂ€rskilt riskfyllda behandlingar som Myndigheten för vĂ„rd- och omsorgsanalys behöver utföra och som bör prövas av en oberoende och kompetent instans.

En del av de analyser Myndigheten för vÄrd- och omsorgsanalys utför sker till följd av uttryckliga uppdrag frÄn regeringen. Om analysprojekten understÀlls en extern prövning av ett annat organ innebÀr det en risk för att myndigheten, om ett godkÀnnande inte lÀmnas, inte kan utföra uppdraget. LÀmpligheten i en sÄdan kon- struktion kan dÀrför diskuteras. Det Àr dock bara den metod för uppdragets utförande som varit understÀlld prövningen som inte kan anvÀndas om ett godkÀnnande inte lÀmnas. I mÄnga fall kommer myndigheten att kunna anpassa upplÀggningen av projektet pÄ ett sÀtt som gör att regeringsuppdraget ÀndÄ kan utföras, exempelvis genom att den del som innefattar sÀrskilt kÀnslig behandling av personuppgifter utgÄr eller justeras.

Forskningsdatautredningen har övervÀgt om kravet pÄ etikpröv- ning i etikprövningslagen bör utvidgas till att gÀlla all behandling av personuppgifter för forskningsÀndamÄl i stÀllet för att som i dag endast omfatta behandling av kÀnsliga personuppgifter och upp- gifter om lagövertrÀdelser. En sÄdan utvidgning skulle innebÀra att

163

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Àven behandling av personuppgifter som inte innebÀr nÄgon integri- tetsmÀssig risk skulle omfattas av kravet pÄ etikprövning. Vid be- handling av personuppgifter som inte innebÀr risk för krÀnkning av den personliga integriteten finns det dock enligt Forskningsdata- utredningen inte nÄgot behov av etikprövning. En utvidgning av etikprövningslagens tillÀmpningsomrÄde till att omfatta all behand- ling av personuppgifter för forskningsÀndamÄl skulle dÀrför, enligt Forskningsdatautredningen, undergrÀva syftet med etikprövnings- lagen och riskera att urholka förtroendet för systemet. Forsknings- datautredningen har av den anledningen gjort bedömningen att tillÀmpningsomrÄdet för etikprövningslagen inte bör omfatta all behandling av personuppgifter för forskningsÀndamÄl.2 I ett remitterat utkast till lagrÄdsremiss om behandling av personuppgifter för forsk- ningsÀndamÄl görs samma bedömning.3

Mot denna bakgrund anser utredningen att det inte Àr lÀmpligt att införa ett krav pÄ en extern prövning av alla myndighetens pro- jekt. Detta kan inte heller anses nödvÀndigt av integritetsskyddsskÀl eller annars.

10.2NÄgon extern prövning behövs inte vid samtycke

Utredningens förslag: Behandling av personuppgifter med stöd av den registrerades samtycke ska inte omfattas av kravet pÄ pröv- ning av en extern instans.

Etikprövningslagen Àr i dag som nÀmnts tillÀmplig pÄ forskning som innefattar behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser Àven om behandlingen sker med den registrerades samtycke. Utredningen har dÀrför övervÀgt om det bör uppstÀllas ett krav pÄ extern prövning ocksÄ för sÄdana projekt i vilka myn- digheten behandlar personuppgifter med stöd av samtycke.

Som anges i avsnitt 7.2.2 har Myndigheten för vÄrd- och omsorgs- analys i mÄnga fall möjlighet att behandla kÀnsliga personuppgifter med stöd av bestÀmmelsen om uttryckligt samtycke i artikel 9.2 a i dataskyddsförordningen. Vid enkÀtundersökningar som riktar sig till ett slumpmÀssigt urval av befolkningen kan myndigheten tillfrÄga

2SOU 2017:50 s. 346 ff.

3Utkast till lagrÄdsremiss U2018/01639/F s. 71 f.

164

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

personerna om de vill delta i en viss studie och om de samtycker till behandling av kÀnsliga personuppgifter. Samma sak gÀller vid anvÀnd- ning av patientpaneler som finns hos undersökningsföretag, dÀr patienterna pÄ förhand samtyckt till att personuppgifterna behandlas i syfte att kontakta dem om olika enkÀter. I dessa situationer har den registrerade möjlighet att aktivt ta stÀllning till frÄgan om dennes kÀnsliga personuppgifter ska fÄ behandlas av myndigheten. Den registrerade kan dÄ sjÀlv göra en bedömning av hur kÀnsliga de efter- frÄgade uppgifterna Àr och vilka integritetsrisker behandlingen av personuppgifterna medför. Behandling som grundas pÄ den regi- strerades uttryckliga samtycke innebÀr dÀrför som regel inte samma integritetsintrÄng som behandling som sker utan att den registrerade tillfrÄgas.

Det har inte framkommit att de studier som i dag sker med stöd av den registrerades samtycke medför sĂ„dana integritetsrisker att det Ă€r nödvĂ€ndigt med en extern prövning. Den oberoende prövningen kan i dessa fall sĂ€gas ske genom den enskildes egna övervĂ€ganden. Behandling av personuppgifter som sker med samtycke omfattas inte heller av skyddet mot betydande intrĂ„ng i den personliga integri- teten enligt 2 kap. 6 § andra stycket regeringsformen.4 Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör dĂ€rför inte omfattas av ett krav pĂ„ extern prövning. Är det frĂ„ga om behandling av kĂ€nsliga personuppgifter, krĂ€vs enligt artikel 9.2 a i dataskyddsförordningen att samtycket Ă€r uttryckligt. Som anges i avsnitt 7.1.2 mĂ„ste myndigheten i varje enskilt fall ta stĂ€llning till om det Ă€r möjligt att grunda en behandling pĂ„ samtycke.

I sammanhanget bör noteras att sÄdan behandling av person- uppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hÀlsoegenskap, sÄsom personer med en viss diag- nos, för att kunna tillfrÄga dem om samtycke till behandling av kÀnsliga personuppgifter inte kan ske med uttryckligt samtycke. Eftersom kontaktuppgifterna i ett sÄdant fall avser personer med viss hÀlsoegenskap, utgör redan behandlingen av kontaktuppgifterna en behandling av kÀnsliga personuppgifter, som inte kan ske med ut- tryckligt samtycke. Det innebÀr att projekt som förutsÀtter att per- soner med sÄdana egenskaper som Àr kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser söks fram mÄste genomgÄ en extern

4Prop. 2009/10:80 s. 178 f.

165

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

prövning, Àven om behandlingen av personuppgifter för sjÀlva ana- lysen eller uppföljningen avses ske med uttryckligt samtycke.

10.3Vilken oberoende instans ska göra prövningen?

10.3.1Inledning

Det Àr en etisk prövning som behöver göras dÀr det bedöms om det i det enskilda fallet Àr försvarligt att utsÀtta mÀnniskor för den aktu- ella behandlingen. DÀrför bör den instans som gör prövningen helst ha vana att göra etiska bedömningar.

Prövningen bör förstÄs ske sakligt och opartiskt och det Àr en fördel om instansen har tillgÄng till kompetens i frÄga om Àrende- handlÀggning. DÀrför bör den prövande instansen vara eller ingÄ i en myndighet, som vid fullgörandet av offentliga förvaltningsuppgifter ska iaktta saklighet och opartiskhet (1 kap. 9 § regeringsformen). Med hÀnsyn till att Myndigheten för vÄrd- och omsorgsanalys Àr en statlig myndighet med ett rikstÀckande uppdrag bör bara statliga myndigheter komma i frÄga.

Det Àr samhÀllets intresse och behov av den kunskap som det aktuella analysprojektet kan ge som kan motivera integritetsintrÄnget; i nÀsta avsnitt redogörs nÀrmare för den avvÀgningsnorm som bör tillÀmpas. DÀrför bör personer som företrÀder det allmÀnna ingÄ i den instans som gör prövningen. Till exempel riksdagsledamöter eller andra ledande företrÀdare för riksdagspartier Àr vÀl skickade att bedöma samhÀllets intresse och behov. De har ocksÄ goda förut- sÀttningar att bedöma hur stort ett visst integritetsintrÄng kan sÀgas vara.

Det kan inte vara försvarligt att göra ett integritetsintrÄng för att fÄ fram viss kunskap som samhÀllet i och för sig har behov av, om den kunskapen redan finns eller om den kan tas fram utan eller med ett mindre integritetsintrÄng. DÀrför bör personer med vetenskaplig kompetens ocksÄ ingÄ i den instans som gör prövningen. Dugliga forskare pÄ det aktuella omrÄdet har en kunskapsöverblick och goda förutsÀttningar för att bedöma vilka metoder som finns för att fÄ fram kunskap.

166

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

10.3.2Etikprövningsmyndigheten Àr den naturliga instansen

Utredningens förslag: Etikprövningsmyndigheten, eller Överklag- andenĂ€mnden för etikprövning, ska göra den externa prövningen av de projekt som bedrivs av Myndigheten för vĂ„rd- och omsorgs- analys.

I dag finns det regionala etikprövningsnÀmnder och en central nÀmnd för etikprövning som har till arbetsuppgift att pröva ansökningar om etikprövning enligt etikprövningslagen. Etikprövningslagen innehÄller bestÀmmelser om etikprövning av forskning som avser mÀnniskor. Syftet med lagen Àr att skydda den enskilda mÀnniskan och respekten för mÀnniskovÀrdet vid forskning. Med forskning avses enligt 2 § etikprövningslagen vetenskapligt experimentellt eller teoretiskt arbete för att inhÀmta ny kunskap och utvecklingsarbete pÄ vetenskaplig grund.5

Etikprövningslagen ska enligt ett utkast till lagrĂ„dsremiss frĂ„n och med 2019 tillĂ€mpas pĂ„ bl.a. forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (kĂ€nsliga personuppgifter) eller personuppgifter om lagövertrĂ€d- elser som innefattar brott, domar i brottmĂ„l, straffprocessuella tvĂ„ngs- medel eller administrativa frihetsberövanden (3 §).6 Även behandling som sker med den registrerades samtycke omfattas numera av etik- prövningslagens tillĂ€mpningsomrĂ„de.7

Forskning fÄr enligt 6 § utföras bara om den godkÀnts vid en etikprövning. Ett godkÀnnande ska avse ett visst projekt eller en del av ett projekt eller en pÄ nÄgot liknande sÀtt bestÀmd forskning. Forskningen fÄr innefatta behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser bara om behandlingen har godkÀnts vid etikprövningen.

UtgĂ„ngspunkterna för etikprövningen regleras i 7–11 §§ etik- prövningslagen. Av bestĂ€mmelserna följer bl.a. att etikprövnings- nĂ€mnden vid sin prövning ska göra en intresseavvĂ€gning dĂ€r riskerna för den personliga integriteten vĂ€gs mot forskningens vetenskapliga vĂ€rde.

5I SOU 2017:104 föreslÄs att definitionen av begreppet forskning ska Àndras.

6Utkast till lagrÄdsremiss U2018/01639/F s.10.

7Prop. 2007/08:44 s. 21 ff.

167

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

I etikprövningslagen regleras Ă€ven etikprövningsnĂ€mndernas verk- samhet och sammansĂ€ttning. FrĂ„n och med 2019 Ă€ndras organisa- tionen.8 De regionala etikprövningsnĂ€mnderna ersĂ€tts av Etikpröv- ningsmyndigheten och den centrala nĂ€mnden för etikprövning döps om till ÖverklagandenĂ€mnden för etikprövning. Etikprövningsmyn- digheten ska vara indelad i verksamhetsregioner (25 § etikprövnings- lagen). Varje verksamhetsregion ska ha en eller flera avdelningar. En avdelning ska pröva Ă€renden inom vissa forskningsomrĂ„den. Avdel- ningen ska bestĂ„ av en ordförande och femton övriga ledamöter, varav tio ska ha vetenskaplig kompetens och fem företrĂ€da allmĂ€nna intressen. Ordföranden och ersĂ€ttare för ordföranden ska vara eller ha varit ordinarie domare.

Etikprövningmyndighetens beslut överklagas till Överklagande- nĂ€mnden för etikprövning. Vidare kan en avdelning inom Etikpröv- ningsmyndigheten som Ă€r oenig om utgĂ„ngen av etikprövningen lĂ€mna över Ă€rendet för avgörande till ÖverklagandenĂ€mnden för etikprövning (29 § etikprövningslagen). ÖverklagandenĂ€mnden för etikprövning har ocksĂ„ till uppgift att utöva tillsyn och att pröva vissa frĂ„gor i samband med inrĂ€ttande av biobanker enligt lagen (2002:297) om biobanker i hĂ€lso- och sjukvĂ„rden m.m. Överklag- andenĂ€mnden för etikprövning ska bestĂ„ av en ordförande, som ska vara eller ha varit ordinarie domare, och sex övriga ledamöter. Av de övriga ledamöterna ska fyra ha vetenskaplig kompetens och tvĂ„ före- trĂ€da allmĂ€nna intressen.

Eftersom Àndringarna av etikprövningsorganisationen kommer att gÀlla vid den tidpunkt som utredningens förslag föreslÄs trÀda i kraft, formulerar utredningen sina förslag med utgÄngspunkt i den nya etikprövningsorganisationen.

Myndigheten för vÄrd- och omsorgsanalys har till uppgift att ur ett patient-, brukar-, och medborgarperspektiv följa upp och ana- lysera verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg. Myndigheten har inget uttryckligt uppdrag att bedriva forskning och anser inte att dess verksamhet i dag utgör forskning i etikprövningslagens mening. Det analysarbete som myn- digheten Àgnar sig Ät har dock stora likheter med forskning. I ana- lysarbetet tillÀmpas vetenskapliga principer och metoder. Som en del i detta anvÀnder myndigheten statistiska metoder. Det kan Àven konstateras att merparten av myndighetens anstÀllda Àr disputerade

8SFS 2018:147 och prop. 2017/18:45.

168

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

forskare och att myndigheten anlitar externa forskare som bedriver forskning pĂ„ myndighetens uppdrag. NĂ€r myndigheten ger i upp- drag Ă„t externa forskare att genomföra vissa analyser dĂ€r kĂ€nsliga personuppgifter ingĂ„r ansöker forskaren om etikprövning enligt etik- prövningslagen. Myndighetens analyser medför motsvarande risker för den personliga integriteten som forskning. Myndighetens ana- lysprojekt verkar dĂ€rför i och för sig lĂ€mpa sig för den avvĂ€gning som görs av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning vid en etikprövning enligt etikprövningslagen.

Den etablerade etikprövningsorganisationen har redan stor vana av och organisation för att hantera ansökningar om etikprövning av projekt och skulle tillĂ€mpa samma formella och materiella bestĂ€m- melser pĂ„ myndighetens ansökningar som pĂ„ ansökningar som gĂ€ller forskningsprojekt (se avsnitt 10.4.1). Etikprövningsmyndighetens och ÖverklagandenĂ€mnden för etikprövnings sammansĂ€ttning och leda- möternas kompetens Ă€r reglerad i lag. I organen ingĂ„r sĂ„vĂ€l före- trĂ€dare för det allmĂ€nna som forskningen. Regleringen av ledamöter- nas kompetens uppfyller alltsĂ„ de krav pĂ„ vilka företrĂ€dare utredningen bedömer att den instans som ska göra prövningen av myndighetens projekt bör ha. SammansĂ€ttningen gör att organen har goda förut- sĂ€ttningar att bedöma det samhĂ€lleliga intresset av den kunskap som myndighetens projekt kan förvĂ€ntas resultera i och pĂ„ samma sĂ€tt som görs vid forskningsprojekt vĂ€ga detta mot motstĂ„ende intressen.

En farhĂ„ga som lyfts under utredningsarbetet Ă€r att det skulle kunna tolkas som att det analys- och uppföljningsarbete som Myn- digheten för vĂ„rd- och omsorgsanalys Ă€gnar sig Ă„t utgör forskning, om projekten etikprövas av etikprövningsorganisationen för forsk- ning. Etikprövningsmyndighetens och ÖverklagandenĂ€mndens pröv- ning kommer dock inte att ske pĂ„ grund av bestĂ€mmelserna om forskning i etikprövningslagen utan till följd av regleringen i den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vĂ„rd- och omsorgsanalys. Även om Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning enligt den föreslagna lagen ges i uppdrag att pröva projekt som bedrivs vid myndigheten kommer det inte att innebĂ€ra att myndighetens verksamhet blir forskningsprojekt. Skulle projektet i sjĂ€lva verket avse forskning, Ă€r etikprövningslagen och inte den föreslagna lagen tillĂ€mplig (se av- snitt 9.4.3). Förslaget innebĂ€r i stĂ€llet att prövningen av ytterligare

169

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

en typ av projekt ansluts till Etikprövningsmyndighetens och Över- klagandenĂ€mnden för etikprövnings uppdrag, pĂ„ liknande sĂ€tt som gjorts nĂ€r det gĂ€ller prövningen av inrĂ€ttandet av vissa biobanker enligt lagen om biobanker i hĂ€lso- och sjukvĂ„rden m.m. För att det inte ska uppstĂ„ nĂ„gra missförstĂ„nd Ă€r det lĂ€mpligt att Etikpröv- ningsmyndighetens och ÖverklagandenĂ€mnden för etikprövningens beslut avseende myndighetens projekt formuleras pĂ„ ett sĂ„dant sĂ€tt att det tydligt framgĂ„r att prövningen skett pĂ„ grund av den före- slagna lagen och inte pĂ„ grund av att projektet innebĂ€r forskning. NĂ„gra bestĂ€mmelser om hur etikprövningsorganens beslut bör ut- formas kan dock inte anses nödvĂ€ndiga utan detta bör organen som hittills fĂ„ bestĂ€mma.

Utredningens förslag i kapitel 10–12 innebĂ€r att avgrĂ€nsningen av vilka av de projekt som bedrivs av Myndigheten för vĂ„rd- och omsorgsanalys som ska omfattas av prövningen skiljer sig nĂ„got frĂ„n vad som gĂ€ller för de forskningsprojekt som Etikprövningsmyndig- heten och ÖverklagandenĂ€mnden för etikprövning prövar.

Analysprojekt som bedrivs av myndigheten som innefattar be- handling av personuppgifter med stöd av samtycke ska enligt för- slaget, till skillnad frĂ„n vad som gĂ€ller för forskningsprojekt, inte falla under Etikprövningsmyndighetens och ÖverklagandenĂ€mnden för etikprövnings prövning. Utredningen har i avsnitt 10.2 övervĂ€gt om det i den föreslagna lagen bör uppstĂ€llas ett krav pĂ„ sĂ€rskild prövning Ă€ven för sĂ„dana projekt i vilka myndigheten behandlar personuppgifter med stöd av samtycke. Eftersom det inte har fram- kommit att de studier som i dag sker med stöd av den registrerades samtycke medför sĂ„dana integritetsrisker att det Ă€r nödvĂ€ndigt med en prövning ur etiskt hĂ€nseende, lĂ€gger utredningen dock inte fram ett sĂ„dant förslag.

En annan skillnad Ă€r att projekt, som innefattar behandling av bara andra personuppgifter Ă€n kĂ€nsliga personuppgifter eller upp- gifter om lagövertrĂ€delser, men som innebĂ€r en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett sĂ„dant betydande intrĂ„ng i den personliga integriteten som avses i 2 kap. 6 § andra stycket reger- ingsformen enligt förslaget ska omfattas av Etikprövningsmyndig- hetens och ÖverklagandenĂ€mnden för etikprövnings prövning (kapi- tel 13), nĂ„got som inte Ă€r fallet nĂ€r det gĂ€ller forskningsprojekt. Eftersom etikprövningen ska göras av en expertmyndighet, lĂ€r denna diskrepans inte föranleda nĂ„gra sĂ€rskilda tillĂ€mpningssvĂ„righeter.

170

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

Mot bakgrund av etikprövningssystemets beprövade funktion och etikprövningsorganens sammansĂ€ttning, kompetens och orga- nisation för att hantera ansökningar om etikprövning framstĂ„r Etik- prövningsmyndigheten och ÖverklagandenĂ€mnden för etikprövning som vĂ€l lĂ€mpade för att göra den prövning av myndighetens analys- projekt som utredningen föreslĂ„r. Utredningen föreslĂ„r dĂ€rför i första hand att prövningen av myndighetens projekt ska göras av Etikpröv- ningsmyndigheten och ÖverklagandenĂ€mnden för etikprövning.

10.3.3Alternativ till Etikprövningsmyndigheten och ÖverklagandenĂ€mnden för etikprövning

Utredningens bedömning: Mot bakgrund av att det inom utred- ningen framförts önskemĂ„l om utredning av alternativ till extern prövning av Etikprövningsmyndigheten eller Överklagande- nĂ€mnden för etikprövning, för den hĂ€ndelse prövning inom den etablerade etikprövningorganisationen inte skulle anses vara aktu- ellt, bör alternativa förslag till extern prövningsinstans lĂ€mnas.

Utredningens alternativa förslag: Ett sÀrskilt organ för pröv- ning av etiska frÄgor som har företrÀdare för sÄvÀl det allmÀnna som forskningen och som Àr en statlig myndighet eller Àr knutet till en annan statlig myndighet Àn Myndigheten för vÄrd- och omsorgsanalys ska göra prövningen. Regeringen fÄr meddela före- skrifter om det sÀrskilda organet för prövning av etiska frÄgor.

Det har inom utredningen framförts önskemĂ„l om utredning av lĂ€mpliga alternativ till att Etikprövningsmyndigheten eller Över- klagandenĂ€mnden för etikprövning gör prövningen av de projekt som bedrivs av Myndigheten för vĂ„rd- och omsorgsanalys, för den hĂ€ndelse den etablerade etikprövningsorganisationen inte skulle an- ses vara aktuell.

Den alternativa instansen bör i enlighet med vad utredningen konstaterat i avsnitt 10.3.1 vara en statlig myndighet eller ett organ som Àr knutet till en statlig myndighet. Eftersom det inte rör sig om ett sÀrskilt stort antal ansökningar per Är, Àr det inte motiverat att tillskapa en ny instans för denna arbetsuppgift. Prövningen bör i stÀllet göras av ett befintligt organ som redan i dag har att pröva

171

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

etiska frĂ„gestĂ€llningar. För att prövningen ska bli sĂ„ allsidig som möjligt bör organet, pĂ„ motsvarande sĂ€tt som Etikprövningsmyn- digheten och ÖverklagandenĂ€mnden för etikprövning, ha företrĂ€dare för sĂ„vĂ€l det allmĂ€nna som forskningen.

Nedan följer en redogörelse för de instanser som utredningen bedömt kunna komma i frÄga som alternativ till den etablerade etik- prövningsorganisationen.

Socialstyrelsen

Socialstyrelsen Àr förvaltningsmyndighet för verksamhet som rör hÀlso- och sjukvÄrd och annan medicinsk verksamhet (1 § förord- ningen [2015:284] med instruktion för Socialstyrelsen). Myndig- heten ansvarar ocksÄ för tandvÄrd, socialtjÀnst, stöd och service till vissa funktionshindrade samt frÄgor om alkohol och missbruks- medel. Socialstyrelsen ska bistÄ regeringen med underlag och expert- kunskap för utvecklingen inom sitt verksamhetsomrÄde. Av instruk- tionen följer att myndighetens ansvar gÀller i den utstrÀckning en frÄga inte ska handlÀggas av nÄgon annan myndighet.

Socialstyrelsen har ett brett ansvar för verksamhet pÄ vÄrd- och omsorgsomrÄdet. Myndigheten ska bl.a. genom kunskapsstöd och föreskrifter bidra till att hÀlso- och sjukvÄrden och socialtjÀnsten bedrivs enligt vetenskap och beprövad erfarenhet och ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksam- hetsomrÄde (4 § i instruktionen). Socialstyrelsen ska arbeta med och ge stöd till metodutveckling inom sitt verksamhetsomrÄde samt följa, analysera och rapportera om hÀlsa och hÀlso- och sjukvÄrd genom statistikframstÀllning, uppföljning, utvÀrdering och epidemio- logiska studier. Till myndighetens uppgifter hör vidare att följa forsknings- och utvecklingsarbete av sÀrskild betydelse inom myn- dighetens verksamhetsomrÄde och verka för att sÄdant arbete kom- mer till stÄnd. Socialstyrelsen ska ta fram föreskrifter och allmÀnna rÄd samt pröva och utfÀrda legitimationer för personal inom olika yrkesgrupper, t.ex. apotekare, lÀkare, naprapater, psykologer och tandlÀkare.

172

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

Socialstyrelsen ansvarar vidare för vissa förvaltningsuppgifter i enlighet med vad som anges i lag och förordning. Socialstyrelsen ska ocksÄ bl.a. ansvara för donationsregistret samt för att ta fram och utveckla statistik och register inom sitt verksamhetsomrÄde.

Utöver denna exemplifiering har myndigheten ytterligare ansvars- omrÄden för verksamhet inom vÄrd- och omsorg. Inom Socialstyr- elsens verksamhet finns ett antal rÄd med fokus pÄ olika frÄgor. De rÄd som i sin verksamhet kan komma i kontakt med olika typer av etiska frÄgestÀllningar, och som skulle kunna komma i frÄga i nu aktuellt sammanhang, beskrivs kortfattat nedan.

Socialstyrelsens rÄd för vissa rÀttsliga, sociala och medicinska frÄgor

Socialstyrelsens rÄd för vissa rÀttsliga, sociala och medicinska frÄgor, vanligen kallat rÀttsliga rÄdet, Àr ett sjÀlvstÀndigt organ med egen beslutsrÀtt. Det Àr administrativt knutet till Socialstyrelsen, men Àr fristÄende frÄn Socialstyrelsens övriga verksamhet.

Av 18 § i Socialstyrelsens instruktion framgÄr att rÀttsliga rÄdet har till uppgift att avgöra vissa sÀrskilt angivna Àrenden. RÄdet ska avgöra rÀttsmedicinska Àrenden, Àrenden om faststÀllelse av könstill- hörighet eller tillstÄnd till ingrepp i könsorgan enligt lagen (1972:119) om faststÀllande av könstillhörighet i vissa fall, tillstÄnd till sterili- sering eller kastrering, tillstÄnd till ingÄende av Àktenskap, tillstÄnd till abort och tillstÄnd till avbrytande av havandeskap enligt 6 § abortlagen (1974:595), tillstÄnd till insemination och till befruktning utanför kroppen som vÀgrats i enlighet med 7 kap. 5 § lagen (2006:351) om genetisk integritet m.m. samt Àrenden om utlÄtande om en persons hÀlsotillstÄnd i samband med prövning av en persons lÀmplighet att ta emot ett barn med hemvist utomlands i syfte att adoptera det. I andra typer av Àrenden ska rÀttsliga rÄdet avge utlÄt- ande pÄ begÀran av en domstol eller en annan myndighet. Det gÀller frÀmst allmÀnmedicinska och rÀttsmedicinska samt rÀttspsykiatriska och psykiatriska frÄgor. RÄdet ska exempelvis yttra sig över en sÄdan utredning med ett utlÄtande om risk för Äterfall i brottslighet som avses i 10 § lagen (2006:45) om omvandling av fÀngelse pÄ livstid. I rÄdets uppdrag ingÄr ocksÄ att avgöra andra Àrenden i vilka Social- styrelsen pÄ begÀran av en domstol, en Äklagarmyndighet eller Polis- myndigheten ska avge utlÄtande om nÄgons hÀlsotillstÄnd.

173

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Socialstyrelsen har med stöd av instruktionen beslutat att rÀtts- liga rÄdet Àven ska handlÀgga vissa andra Àrenden, t.ex. Àrenden avseende förlÀngd tid för förvaring av fryst Àgg enligt 5 kap. 6 § lagen (2006:351) om genetisk integritet m.m.

Ordföranden i rÄdet och dennes tvÄ stÀllföretrÀdare ska ha erfar- enhet som lagfaren domare. RÄdet bestÄr dÀrutöver, beroende av vad Àrendet gÀller, av lÀkare, rÀttslÀkare, lÀkare med specialistkompetens i obstetrik och gynekologi respektive rÀttspsykiatri, beteendevetare och lekmÀn, som utses pÄ förslag av riksdagspartierna. I Àrenden om adoption av utlÀndskt barn ingÄr Àven ledamot som Àr anstÀlld hos Socialstyrelsen.9

Ordföranden och ledamöterna i rÄdet utses av generaldirektören. RÄdets sammansÀttning i olika typer av Àrenden bestÀms i handlÀgg- nings- och beslutsordningen för rÀttsavdelningen, efter samrÄd med generaldirektören och i samrÄd med rÄdets ordförande. I rÀttsmedi- cinska och allmÀnmedicinska Àrenden ska rÄdet exempelvis bestÄ av ordföranden och tvÄ lÀkare, varav en Àr föredragande, samt en lek- man.10 Ordföranden fÄr adjungera annan som ledamot att delta i visst Àrende. Vidare fÄr utlÄtande av ledamot i Socialstyrelsens vetenskap- liga rÄd eller av annan expert inhÀmtas efter beslut vid sammantrÀde eller efter beslut av ordföranden.

Socialstyrelsens rÄd för etiska frÄgor

Socialstyrelsens rÄd för etiska frÄgor Àr ett internt rÄdgivande organ. RÄdet bestÄr för nÀrvarande av nio ledamöter, de flesta med aka- demisk bakgrund. Generaldirektören Àr ordförande i rÄdet. Det finns ingen formell nomineringsprocess, utan nya ledamöter utses av generaldirektören, efter förslag frÄn rÄdet, universiteten, Statens medicinsk-etiska rÄd och andra organisationer.

RÄdet för etiska frÄgor tar upp frÄgor som vÀcks inom Social- styrelsens verksamhet, men kan Àven ta upp frÄgor pÄ eget initiativ. RÄdets uppgift Àr bl.a. att verka för att frÄgor som kan vara integri- tetskÀnsliga eller pÄverka respekten för mÀnniskovÀrdet blir ana- lyserade och bedömda. RÄdet har ingen beslutande funktion, utan ska fungera som ett stöd inom myndigheten för att identifiera och

94 kap. 5 a § arbetsordningen för Socialstyrelsen, 2017-12-07, dnr. 10.5 – 371/2017.

10HandlĂ€ggnings- och beslutsordning för rĂ€ttsavdelningen, 2017-01-09, dnr 1.6 – 94/2017.

174

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

analysera etiska frÄgestÀllningar som kan uppkomma i verksamheten. FrÄgorna diskuteras muntligen, ur ett teoretiskt etiskt perspektiv, tillsammans med den som tagit upp frÄgan för behandling. Diskus- sionen resulterar inte i nÄgot skriftligt beslut eller nÄgon slutsats. MÄlet Àr i stÀllet att de argument som förs fram under diskussionen ska kunna anvÀndas som vÀgledning i det praktiska arbetet för hand- lÀggare och utredare pÄ myndigheten.

Under 2017 tog rÄdet t.ex., i samband med att Socialstyrelsen fick i uppdrag att följa upp konsekvenserna av Àndringar i lagen om utbyte av sprutor och kanyler, upp frÄgan om vilka etiska aspekter som bör beaktas vid utvecklingen av en systematisk och samordnad uppföljning av dessa verksamheter. Ett annat exempel rör Social- styrelsens uppdrag att genomföra en nationell kartlÀggning av heders- relaterat vÄld. Inför starten av detta uppdrag lyftes frÄgorna hur Àmnet ska benÀmnas och hanteras i uppdraget och hur de etiska aspekterna ska beaktas vid datainsamling och analys.

VetenskapsrÄdets expertgrupp för etik

VetenskapsrÄdet Àr en statlig myndighet som har ett nationellt an- svar för att stödja grundlÀggande forskning av högsta vetenskapliga kvalitet inom alla vetenskapsomrÄden (1 § lagen [2000:662] om VetenskapsrÄdet och 1 § förordning [2009:975] med instruktion för VetenskapsrÄdet). VetenskapsrÄdet ska bl.a. frÀmja den svenska grund- forskningens kvalitet och förnyelse, stödja forskarinitierad forskning och initiera och stödja Àmnesövergripande satsningar pÄ forskning. Myndigheten ska initiera och stödja strategiska satsningar inom forskning och samverka nationellt och internationellt med andra myndigheter och organisationer som bedriver och finansierar forsk- ning. I myndighetens verksamhet ingÄr att ta initiativ till att etiska frÄgor uppmÀrksammas vid forskning och förmedla information om forskningsetiska frÄgor.

Till VetenskapsrÄdets arbetsuppgifter hör ocksÄ att fördela medel till forskning, dyrbar vetenskaplig utrustning, nationella forsknings- anlÀggningar, internationella Ätaganden och högpresterande dator- system samt utvÀrdera och bedöma forskningen och dess vetenskap- liga kvalitet och betydelse. VetenskapsrÄdet ska slutligen stödja och utveckla förutsÀttningarna för kliniska studier i Sverige.

175

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

VetenskapsrÄdets expertgrupp för etik Àr ett internt organ som har det övergripande beredningsansvaret för etikfrÄgor vid Veten- skapsrÄdet, sÀrskilt för arbetet med frÄgor av forskaretisk karaktÀr och övergripande forskningsetiska frÄgor. För expertgruppens verk- samhet gÀller sÀrskilda bestÀmmelser.11

Expertgruppen ska pÄ uppdrag av VetenskapsrÄdet ge rÄd i Àren- den som rör etik och integritet inom ramen för myndighetens forskningsfinansieringsprocess och utarbeta underlag för Veten- skapsrÄdets yttranden, stÀllningstaganden och riktlinjer i forskar- och forskningsetiska frÄgor. Expertgruppen ska utarbeta underlag för VetenskapsrÄdets publikationer och kommunikationsinsatser inom forskar- och forskningsetik. Till expertgruppens arbetsuppgifter hör ocksÄ att representera myndigheten i nationella och internationella sammanhang.

VetenskapsrÄdets expertgrupp för etik ska bestÄ av en ordförande och sex ledamöter samt en sekreterare frÄn VetenskapsrÄdet. Ord- föranden och övriga ledamöter utses av VetenskapsrÄdets styrelse. Enligt beslutet om reglering av expertgruppen bör ordföranden vara professor i etik. Vissa vetenskapliga omrÄden ska finnas represen- terade i expertgruppen. Det rör sig om etik, juridik, medicin och hÀlsa, naturvetenskap och teknikvetenskap samt samhÀllsvetenskap och humaniora. Dessutom ska den vetenskapliga sekreteraren i Centrala etikprövningsnÀmnden och chefen för forskningsfinansieringsavdel- ningen pÄ VetenskapsrÄdet vara med i expertgruppen.

Statens medicinsk-etiska rÄd

Statens medicinsk-etiska rÄd Àr ett rÄdgivande organ till regeringen i medicinsk-etiska frÄgor. I rÄdet ingÄr ordförande och Ätta ledamöter föreslagna av de politiska partierna i riksdagen. Vidare finns i rÄdet tio sakkunniga, varav nÄgra representerar berörda aktörer sÄsom myndigheter och intresseorganisationer, och övriga Àr experter inom omrÄden som filosofi, medicinsk rÀtt och klinisk genetik.12 De sak- kunniga har inte röstrÀtt i rÄdet. Samtliga ledamöter och sakkunniga

11Reglering av Expertgrupp för etik, beslut av VetenskapsrÄdets styrelse vid sammantrÀde 2013-12-12, Dnr 113-2008-7863.

12Prop. 2009/10:83 s. 8.

176

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

utses av det statsrÄd som i regeringen ansvarar för Àrenden om hÀlso- och sjukvÄrd.

RÄdet inrÀttades 1985 som en kommitté under Socialdeparte- mentet.13 I beslutet om inrÀttande anges att rÄdet bör ha till uppgift att analysera medicinsk-etiska frÄgor ur ett övergripande samhÀlls- perspektiv. Det finns behov av att fÄ en samlad bild över de medicinsk-etiska frÄgor som den snabba utvecklingen ger upphov till. RÄdet ska strÀva efter en helhetssyn pÄ frÄgor som rör sÄdan medicinsk forskning och behandling som kan anses kÀnslig för den mÀnskliga integriteten eller pÄverka respekten för mÀnniskovÀrdet. RÄdet har stor frihet att ta upp de frÄgor man finner viktiga, men frÄgor som rör mÀnniskors lika vÀrde och rÀtt till integritet bör ges stort utrymme. I arbetet med dessa frÄgor Àr det ocksÄ viktigt att ha i Ätanke att den utveckling som sker pÄ omrÄdet ofta har mycket lÄngsiktiga verkningar.

Ibeslutet anförs att en öppen debatt kring de medicinsk-etiska frÄgorna Àr en förutsÀttning för att kunna ta stÀllning till en ny teknik och vetenskap. Det Àr dÀrför viktigt att rÄdet kan arbeta under öppna former sÄ att det stimulerar till debatt och stÀllningstaganden

ifrÄgorna. Ett av flera sÀtt kan dÄ vara att anordna hearings i olika frÄgor.

RÄdet ska ocksÄ fungera som ett organ för informations- och Äsiktsutbyte och bör dÀrför samla in och vÀga faktamaterial samt sprida kunskap om de medicinsk-etiska frÄgorna.

RÄdet ska enligt beslutet ocksÄ ha rollen av förmedlande instans mellan vetenskapen, medborgarna och de politiskt ansvariga samt, nÀr det bedöms lÀmpligt, kunna lÀmna förslag till utredningsverk- samhet.

En av rÄdets arbetsuppgifter Àr att i ett tidigt skede underrÀtta regeringen om utvecklingen inom sÄdan medicinsk forskning och behandling som kan vara etiskt kontroversiell. RÄdet ska vara fri- stÄende frÄn det löpande regeringsarbetet.

RÄdets analyser grundar sig pÄ senast tillgÀngliga fakta och tillÀmpning av grundlÀggande etiska principer.14 RÄdet sammanstÀller fakta frÄn forskare eller andra med specialkunskaper. Mot bakgrund

13InrÀttande av ett rÄd för medicinsk-etiska frÄgor, protokoll vid regeringssammantrÀde 21; 1985-03-14, S 2909/84.

14http://www.smer.se/om-smer/uppdrag/

177

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

av inhÀmtade fakta identifierar rÄdet vÀrderings- och intressekon- flikter och beskriver för- och nackdelar med olika handlingsalter- nativ. DÀrefter tar rÄdet stÀllning utifrÄn etiska grundprinciper, exempelvis mÀnniskovÀrde och integritet. RÄdet har inte att avgöra enskilda patientÀrenden eller granska enskilda forskningsprojekt.

Statens medicinsk-etiska rÄd Àr formellt en s.k. bokstavskommitté, dvs. en form av kommitté som tillsÀtts internt inom departementet. Det Àr en permanent kommitté som finansieras via kommitté- budgeten. Statens medicinsk-etiska rÄd skiljer sig frÄn andra kom- mittéer som tillsÀtts av regeringen. Det ska, liksom andra kom- mittéer, vara sjÀlvstÀndigt i förhÄllande till regeringen, men utgör inte en egen myndighet utan Àr en del av Regeringskansliet.

Statens beredning för medicinsk och social utvÀrdering

Statens beredning för medicinsk och social utvÀrdering ska utvÀrdera det vetenskapliga stödet för tillÀmpade och nya metoder i hÀlso- och sjukvÄrden och i den verksamhet som bedrivs med stöd av social- tjÀnstlagen och lagen om stöd och service till vissa funktions- hindrade ur ett medicinskt perspektiv dÀr sÄ Àr tillÀmpligt, samt ur ett ekonomiskt, samhÀlleligt och etiskt perspektiv (1 § förordning [2007:1233] med instruktion för Statens beredning för medicinsk och social utvÀrdering). Myndigheten ska sammanstÀlla utvÀrdering- arna pÄ ett enkelt och lÀttfattligt sÀtt och sprida dem sÄ att huvudmÀn (landsting och kommuner), vÄrdgivare och andra berörda kan tillÀgna sig kunskapen. Myndigheten ska kontinuerligt utveckla sitt arbete med att sprida utvÀrderingarna sÄ att dessa tillÀmpas i prak- tiken och leder till önskade förÀndringar inom hÀlso- och sjukvÄrden och socialtjÀnsten. Myndigheten ska vidare systematiskt identifiera och aktivt informera om sÄdana metoder i hÀlso- och sjukvÄrden och socialtjÀnsten vars effekter det saknas tillrÀcklig kunskap om. Myn- digheten ska vara kontaktmyndighet i internationella frÄgor som rör utvÀrdering av medicinska metoder och stödja sÄvÀl det europeiska samarbetet som övrigt internationellt samarbete.

Inom myndigheten finns ett sÀrskilt beslutsorgan som benÀmns NÀmnden för medicinsk och social utvÀrdering. NÀmndens uppgift Àr att faststÀlla slutsatser i de utvÀrderingar som myndigheten genom- för. I nÀmndens uppdrag ingÄr ocksÄ att bidra till utvÀrderingarnas

178

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

tillÀmpbarhet för huvudmÀn (landsting och kommuner), vÄrdgivare och andra berörda. NÀmnden bestÄr av myndighetens chef och högst 15 andra ledamöter. Ordföranden och övriga ledamöter utses av regeringen. NÀmndens sammansÀttning Àr inte reglerad, men vid tillsÀttningen av ledamöter efterstrÀvas en bred representation av organisationer inom hÀlso- och sjukvÄrd, omsorg och forskning. För nÀrvarande ingÄr representanter för bl.a. ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd, Akademikerförbundet SSR, Statens Institutions- styrelse, Sveriges Kommuner och Landsting, VetenskapsrÄdet, Social- styrelsen, VÄrdförbundet och Sveriges LÀkarförbund.

Inom Statens beredning för medicinsk och social utvÀrdering finns ocksÄ tvÄ vetenskapliga rÄd, som har till uppgift att ge rÄd inför beslut av nÀmnden och ocksÄ att ge rÄd inför generaldirektörens beslut.

ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd

ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd, Forte, Àr ett statligt forskningsrÄd som finansierar vetenskaplig forskning för mÀn- niskors hÀlsa, arbetsliv och vÀlfÀrd. Fortes uppdrag Àr att frÀmja och stödja grundforskning och behovsstyrd forskning pÄ arbetslivs- omrÄdet samt inom social- och folkhÀlsovetenskap (1 § förordning [2007:1431] med instruktion för ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd). Myndigheten ska, inom ramen för denna uppgift, sÀrskilt fördela medel till forskning och dÀrmed sammanhÀngande verksamhet och bedöma kvaliteten, nyttiggörandet och samhÀlls- relevansen av den egna verksamheten och i utvÀrderingen av den forskning till vilken rÄdet har fördelat medel, Àven ur ett inter- nationellt och ett EU-perspektiv. RÄdet ska vidare bl.a. utreda vilka forskningsbehov som Àr angelÀgna inom myndighetens verksam- hetsomrÄde, redovisa resultaten av dessa utredningar samt ta initiativ till och frÀmja den forskning som behövs för att tillgodose sÄdana behov, beakta forskningsetiska frÄgor och frÀmja kunskapsuppbygg- nad i frÄgor om arbetsliv samt öka kunskapen om och förstÄelsen för sociala förhÄllanden och processer.

179

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Forte leds av en styrelse. Styrelsen ska bestÄ av en ordförande, myndighetschefen och elva andra ledamöter. Vid forskningsrÄdet ska det ocksÄ finnas en huvudsekreterare med hög vetenskaplig kompetens.

10.3.4ÖvervĂ€ganden om alternativen

Utredningen bedömer att det krÀvs en prövning i varje enskilt fall av en extern oberoende instans för att Myndigheten för vÄrd- och omsorgsanalys ska fÄ utföra sÀrskilt riskfyllda behandlingar av per- sonuppgifter inom ramen för sina analysprojekt. Den externa instansens uppgift ska vara att bedöma om behandlingen av person- uppgifter i projektet Àr nödvÀndig och om samhÀllsintresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. I avsnitt 10.3.1 anges vissa grundlÀggande krav som bör vara uppfyllda av den pröv- ande instansen. Den instans som ska ha till uppgift att pröva myn- dighetens projekt ska helst ha erfarenhet av att göra etiska bedöm- ningar och ha kompetens inom ÀrendehandlÀggning. För att garantera saklighet och opartiskhet bör den prövande instansen vara eller ingÄ i en statlig myndighet. Vidare bör bÄde personer som företrÀder det allmÀnna och personer som har vetenskaplig kompetens ingÄ i den instans som gör prövningen. Nedan följer en analys av de organ som beskrivs i föregÄende avsnitt, med utgÄngspunkt i de av utredningen uppstÀllda kraven.

Socialstyrelsens rÀttsliga rÄd

NÀr det gÀller Socialstyrelsens rÀttsliga rÄd finns det vissa omstÀn- digheter som talar för att det Àr en lÀmplig instans att utföra den prövning som utredningen föreslÄr. Socialstyrelsen Àr en myndighet med ett vidstrÀckt ansvarsomrÄde som tÀcker sÄvÀl hÀlso- och sjuk- vÄrd som tandvÄrd och omsorg. RÀttsliga rÄdet Àr ett sjÀlvstÀndigt organ inom myndigheten, med egen beslutsrÀtt i vissa typer av Àrenden, frÀmst pÄ det medicinska omrÄdet. RÄdets ansvarsomrÄde Àr reglerat i förordning, och skulle dÀrmed pÄ ett förhÄllandevis enkelt sÀtt kunna tillföras uppgiften att pröva Myndigheten för vÄrd-

180

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

och omsorgsanalys projekt. Med hÀnsyn till rÄdets nuvarande verk- samhet kan det antas att det inom rÄdet finns en organisation för och kompetens om Àrendehantering av det slag som krÀvs för den föreslagna prövningen. Ordföranden i rÄdet och ordförandens stÀll- företrÀdare ska ha erfarenhet som lagfaren domare, vilket borgar för sjÀlvstÀndighet och objektivitet. I rÄdet finns företrÀdare för det all- mÀnna, och sammansÀttningen kan i övrigt anpassas till den typ av Àrende som ska avgöras. Om arbetsuppgiften att pröva Myndigheten för vÄrd- och omsorgsanalys projekt skulle lÀggas pÄ rÀttsliga rÄdet, skulle rÄdets sammansÀttning sÄledes i det enskilda fallet kunna an- passas till det Àrende som ska avgöras.

Vissa omstÀndigheter talar emellertid mot rÀttsliga rÄdets lÀmp- lighet som prövningsinstans. I Myndigheten för vÄrd- och omsorgs- analys ansvarsomrÄde ingÄr att följa upp och analysera verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg. Myndigheten har mandat att granska samtliga verksamheter pÄ omrÄdet för hÀlso- och sjukvÄrd, tandvÄrd och omsorg, inklusive verksamheten vid Socialstyrelsen och dess rÀttsliga rÄd. Det kan ifrÄgasÀttas om det Àr lÀmpligt att en myndighet som faller inom Myndigheten för vÄrd- och omsorgsanalys granskningsomrÄde ska utföra den föreslagna prövningen. Det kan finnas en risk för att allmÀnheten kan fÄ förestÀllningen att rÄdet skulle vara tillmötes- gÄende för att undvika granskning eller undkomma kritik. Denna problematik hade kunnat undvikas genom att Socialstyrelsens rÀtts- liga rÄd undantas frÄn Myndigheten för vÄrd- och omsorgsanalys granskning. Det finns dock ytterligare omstÀndigheter som talar mot att rÀttsliga rÄdet Àr den mest lÀmpade instansen att göra prövningen. RÄdets verksamhet bestÄr i dag frÀmst av att göra medicinska be- dömningar i enskilda Àrenden. RÄdets uppdrag pÄ det sociala omrÄ- det Àr emellertid begrÀnsat. De etiska frÄgestÀllningar som kan antas komma upp i samband med rÄdets Àrenden Àr av annat slag Àn de som kan förvÀntas vid prövningen av Myndigheten för vÄrd- och omsorgs- analys projekt. Det som ska prövas Àr om det integritetsintrÄng som personuppgiftsbehandlingen i ett visst projekt Àr försvarligt med hÀnsyn till samhÀllsvinsten i form av ny kunskap. Fokus ligger pÄ att bedöma om den metod som ska anvÀndas i projektet Àr den mest lÀmpade för att nÄ önskad kunskap. Denna typ av bedömning skiljer sig frÄn de etiska övervÀganden som kan bli aktuella i de Àrenden rÄdet har att avgöra i dag.

181

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Socialstyrelsens rÄd för etiska frÄgor

Socialstyrelsens rÄd för etiska frÄgor Àr inte, i sin nuvarande form, en lÀmplig prövningsinstans. Som en del av Socialstyrelsen faller rÄdet, som nÀmns ovan, inom Myndigheten för vÄrd- och omsorgsanalys granskningsomrÄde. RÄdets verksamhet innebÀr visserligen etiska övervÀganden pÄ bÄde det medicinska och sociala omrÄdet, men rÄdet Àr endast ett internt rÄdgivande organ, utan sjÀlvstÀndig beslutsrÀtt. RÄdets verksamhet innefattar inte nÄgon formell ÀrendehandlÀgg- ning och dess diskussioner leder inte till nÄgot beslut eller annan slutsats. RÄdets sammansÀttning inte Àr sÀrskilt reglerat, vilket inne- bÀr att det inte kan garanteras att det alltid finns personer som före- trÀder det allmÀnna eller personer med den vetenskapliga kompetens som krÀvs för den föreslagna prövningen representerade i rÄdet.

VetenskapsrÄdets expertgrupp för etik

Även vad gĂ€ller VetenskapsrĂ„dets expertgrupp för etik finns det omstĂ€ndigheter som talar för och emot rĂ„dets lĂ€mplighet som pröv- ningsinstans. VetenskapsrĂ„det ligger formellt utanför Myndigheten för vĂ„rd- och omsorgsanalys granskningsomrĂ„de dĂ„ dess verksamhet inte avser hĂ€lso- och sjukvĂ„rd, tandvĂ„rd eller omsorg. Inom myn- digheten och i myndighetens expertgrupp för etik finns erfarenhet och kompetens frĂ„n forskningsomrĂ„det, och det kan antas att expertgruppen Ă€r vĂ€l skickad att bedöma frĂ„gor som krĂ€ver veten- skaplig överblick och kunskap i de olika metoder som Myndigheten för vĂ„rd- och omsorgsanalys önskar anvĂ€nda i sina analysprojekt. DĂ€remot saknar rĂ„det, i sin nuvarande utformning, personer som företrĂ€der det allmĂ€nna. Vidare kan konstateras att Ă€ven Vetenskaps- rĂ„dets expertgrupp för etik Ă€r ett rĂ„dgivande organ för den egna verksamheten. RĂ„det ansvarar inte för nĂ„gon Ă€rendehandlĂ€ggning och har inte nĂ„gon sjĂ€lvstĂ€ndig beslutsrĂ€tt.

182

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

Statens medicinsk-etiska rÄd

Statens medicinsk-etiska rÄd har bl.a. till uppgift att följa utveck- lingen pÄ forskningsfronten och uppmÀrksamma regeringen pÄ intressanta och kontroversiella frÄgor som aktualiseras inom medi- cinsk forskning, diagnostik och behandling som kan vara sÀrskilt kÀnslig för den mÀnskliga integriteten och som pÄ sikt skulle kunna skada mÀnniskovÀrdet. RÄdets fokus ligger sÄledes pÄ etiska frÄgor inom hÀlso- och sjukvÄrd och medicinsk forskning. I rÄdet finns bÄde företrÀdare för det allmÀnna och personer med vetenskaplig kompetens. Att det i rÄdet finns bÄde allmÀnföretrÀdare och experter med olika kompetensomrÄden borgar för att de frÄgor som disku- teras fÄr en allsidig belysning och en god förankring. Det har under utredningstiden framkommit att Statens medicinsk-etiska rÄd Àr ett organ som har en hög grad av legitimitet inom hÀlso- och sjuk- vÄrdsverksamhet. Det kan dock konstateras att rÄdet inte Àr nÄgon sjÀlvstÀndig myndighet, utan formellt utgör en del av Regerings- kansliet, dvs. stÄr regeringen nÀra. RÄdets verksamhet innebÀr för nÀrvarande inte nÄgon typ av Àrendehantering eller beslutsfattande av det slag som Àr aktuellt enligt utredningens förslag. Vidare faller frÄgor pÄ det sociala omrÄdet utanför rÄdets ansvarsomrÄde.

Statens beredning för medicinsk och social utvÀrdering

Statens beredning för medicinsk- och social utvÀrdering Àr en obe- roende statlig myndighet som ska göra utvÀrderingar av metoder och insatser inom hÀlso- och sjukvÄrd, inklusive tandvÄrd, samt granska kunskapslÀget för metoder och insatser inom socialtjÀnst och omrÄ- det för funktionstillstÄnd. Myndigheten har i uppdrag att utvÀrdera vÄrdens och socialtjÀnstens metoder ur ett samlat medicinskt, ekonomiskt, etiskt och socialt perspektiv. BÄde Statens beredning för medicinsk och social utvÀrdering och Myndigheten för vÄrd- och omsorgsanalys har sÄledes i uppgift att utvÀrdera hÀlso- och sjuk- vÄrd, tandvÄrd och omsorg, men ur olika perspektiv. Detta talar för att beredningen Àr ett lÀmpligt organ för prövning av Myndigheten för vÄrd- och omsorgsanalys projekt. Inom myndigheten finns ett sÀrskilt organ, NÀmnden för medicinsk och social utvÀrdering, som Àr reglerad i myndighetens instruktion och har mandat att fatta sjÀlvstÀndiga beslut. Det kan antas att det inom myndigheten finns

183

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

en organisation som skulle kunna hantera den typ av Àrendehand- lÀggning och beslutsfattande som krÀvs för den prövning som utred- ningen föreslÄr. Det kan ocksÄ antas att det inom myndigheten finns den vetenskapliga kompetens inom hÀlso- och sjukvÄrd samt social omsorg som behövs för att bedöma Myndigheten för vÄrd- och omsorgsanalys projekt. Mot bakgrund av myndighetens uppdrag kan det ocksÄ antas att de etiska aspekterna av myndighetens be- handling av personuppgifter kommer att kunna beaktas pÄ ett till- fredsstÀllande sÀtt.

Det som talar mot nÀmndens lÀmplighet som prövningsinstans Àr att Àven den, som en del av Statens beredning för medicinsk och social utvÀrdering, faller inom granskningsomrÄdet för Myndigheten för vÄrd- och omsorgsanalys. Vidare Àr nÀmndens nuvarande arbets- uppgifter begrÀnsade till att pröva den egna myndighetens analyser och slutsatser. NÀmndens sammansÀttning inte sÀrskilt reglerad, vilket innebÀr att det inte finns nÄgon garanti för att personer som före- trÀder det allmÀnna deltar i nÀmndens beslut.

ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd

Det som talar för att ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd, Forte, utgör en lÀmplig prövningsinstans Àr att det hos myndigheten finns erfarenhet av att bedöma forskningsprojekt av olika slag. Myndigheten för vÄrd- och omsorgsanalys har betonat vikten av att det inom prövningsinstansen finns vÀlgrundad forskarkompetens, eftersom de metoder som myndigheten anvÀnder sig av i sina projekt ligger nÀra forskningens. Forte har inte nÄgot sÀrskilt etiskt rÄd, men etiska frÄgor och hur sÄdana hanteras diskuteras regelbundet med andra forskningsfinansiÀrer och med forskningsaktörer. I utlysnings- texter om bidrag ska sökanden kommentera projektets etiska över- vÀganden och kommentera om projektet krÀver etiska hÀnsynstag- anden. I anslagsvillkoren finns krav pÄ att forskningsetiska regler följs och om de forskningsetiska reglerna inte följs kan bidrag dras in. Det kan sÄledes konstateras att myndigheten, utöver vetenskaplig kompetens, torde ha vana att pröva etiska frÄgestÀllningar.

Det som talar mot Fortes lÀmplighet som prövningsinstans Àr att arbetsuppgiften att pröva Myndigheten för vÄrd- och omsorgsanalys projekt skiljer sig frÄn myndighetens verksamhet i övrigt. Vidare

184

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

saknas representation av allmÀnna intressen i myndighetens beslut- ande organ.

Datainspektionen

Det kan tillÀggas att utredningen Àven övervÀgt om Datainspek- tionen kan vara en lÀmplig instans för prövning av Myndigheten för vÄrd och omsorgsanalys projekt. Datainspektionens uppgift Àr att verka för att mÀnniskor skyddas mot att deras personliga integritet krÀnks genom behandling av personuppgifter. FrÄgan Àr om myn- digheten, som representant för enskildas integritetsskyddsintressen, bör vara det externa organ som prövar om analysmyndighetens behandling av personuppgifter Àr befogad. Eftersom Datainspek- tionens huvudsakliga uppgift Àr att genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbör- liga intrÄng i enskilda individers personliga integritet, bedömer utredningen att myndigheten Àr vÀl lÀmpad att utföra denna pröv- ning. Inom myndigheten finns ocksÄ en organisation för och erfarenhet av den Àrendehantering som krÀvs för uppdraget. Utredningen kon- staterar emellertid att arbetsuppgiften att pÄ förhand pröva en annan myndighets behandling av personuppgifter skulle skilja sig mycket frÄn Datainspektionens nuvarande övriga arbetsuppgifter. I och med personuppgiftslagens införande Àndrades Datainspektionens verk- samhetsinriktning frÄn förhandsgranskning och tillstÄndsverksamhet till tillsynsverksamhet. Det framstÄr dÀrför som mindre lÀmpligt att tillföra Datainspektionen, som i dag Àr en i det nÀrmaste renodlad tillsynsmyndighet, en arbetsuppgift som innebÀr förhandsgranskning av enskilda projekt. Utredningen bedömer mot denna bakgrund att Datainspektionen inte bör tilldelas uppgiften att pröva Myndigheten för vÄrd- och omsorgsanalys projekt.

10.3.5Utredningen lÀmnar inget ytterligare förslag pÄ lÀmplig prövningsinstans

Utredningen föreslÄr att en extern oberoende instans ska göra en etisk prövning av Myndigheten för vÄrd- och omsorgsanalys projekt som innefattar sÀrskilt riskfyllda behandlingar av personuppgifter. Bedömningen ska avse om det i det enskilda fallet Àr försvarligt att,

185

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

med hÀnsyn till den samhÀllsnytta som myndighetens projekt kan leda till, utsÀtta mÀnniskor för den aktuella behandlingen. Myndig- heten för vÄrd- och omsorgsanalys har gjort bedömningen att det kan komma att röra sig om fem till sex Àrenden per Är. Som kon- staterats i det föregÄende Àr det inte en tillrÀckligt omfattande verk- samhet för att skapa en ny myndighet för denna arbetsuppgift. Arbetsuppgiften att utföra den föreslagna prövningen bör i stÀllet tilldelas ett redan existerande organ.

Utredningen gör som nÀmnts bedömningen att det Àr den eta- blerade etikprövningsorganisationen som Àr mest lÀmpad att utföra den föreslagna prövningen. Som genomgÄngen ovan visar Àr det dÀrutöver inte nÄgot redan existerande organ som uppfyller samtliga de krav som enligt utredningens bedömning bör vara uppfyllda av den prövande instansen. Utredningen kan dÀrför inte föresprÄka nÄgon av de beskrivna myndigheterna framför den andra som lÀmp- lig prövningsinstans.

Utredningen kan dock konstatera att det, men hÀnsyn till det begrÀnsade antal Àrenden det Àr frÄga om, inte heller Àr nödvÀndigt att det prövande organet uppfyller alla de angivna kraven i sin per- manenta organisation. Utredningens slutsats Àr att det viktigaste Àr att prövningen görs av en myndighet, eller en del av en myndighet, som Àr sjÀlvstÀndig i förhÄllande till Myndigheten för vÄrd- och omsorgsanalys. Den prövande instansen bör ha vana vid Àrende- handlÀggning. Att bedömningen genomförs pÄ ett sakligt och opartiskt sÀtt kan sÀkerstÀllas genom att ordföranden i den prövande instansen Àr en person med domarkompetens, eller annars en person med vana att göra sjÀlvstÀndiga bedömningar. Med hÀnsyn till den avvÀgning som ska göras mellan integritetsintrÄng och allmÀnnytta Àr det ocksÄ viktigt att representanter för det allmÀnna deltar i bedömningen. För bedömning av metodfrÄgor och det rÄdande kunskapslÀget kan emellertid lÀmpliga sakkunniga med forskningskompetens anlitas för varje enskilt Àrende. PÄ detta sÀtt kan den prövande instansens sammansÀttning anpassas till det Àrende som ska avgöras.

Som ett alternativ till prövning av den etablerade etikprövnings- organisationen föreslÄr utredningen en generell reglering i lag med kriterier för den instans som ska göra prövningen och möjlighet för regeringen att, med tillÀmpning av de lagstadgade kriterierna, peka ut instansen. Vidare bör regeringen fÄ meddela föreskrifter om det sÀrskilda organet för prövning av etiska frÄgor.

186

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

10.4Vilken avvÀgningsnorm ska den oberoende instansen tillÀmpa?

10.4.1Etikprövningsmyndigheten och ÖverklagandenĂ€mnden för etikprövning ska tillĂ€mpa nuvarande regelverk

pÄ motsvarande sÀtt

Utredningens förslag: Vid prövning och godkĂ€nnande av analys- projekt som bedrivs av Myndigheten för vĂ„rd- och omsorgsanalys ska bestĂ€mmelserna om forskning i 6–11 §§ etikprövningslagen tillĂ€mpas pĂ„ motsvarande sĂ€tt. I frĂ„ga om handlĂ€ggning och överklagande ska bestĂ€mmelserna i 24–33 samt 36 och 37 §§ etik- prövningslagen gĂ€lla.

Ansökan om etikprövning ska göras hos Etikprövningsmyn- dighetens verksamhetsregion i Stockholm.

Forskning som omfattas av etikprövningslagens tillÀmpningsomrÄde fÄr enligt 6 § etikprövningslagen utföras bara om den godkÀnts vid en etikprövning. Ett godkÀnnande fÄr förenas med villkor. Ett godkÀnnande ska avse ett visst projekt eller en del av ett projekt eller en pÄ nÄgot liknande sÀtt bestÀmd forskning. Forskningen fÄr inne- fatta behandling av kÀnsliga personuppgifter eller uppgifter om lag- övertrÀdelser bara om behandlingen har godkÀnts vid etikprövningen. Ett godkÀnnande upphör att gÀlla, om inte forskningen har börjat utföras senast tvÄ Är efter det att beslutet om godkÀnnande vann laga kraft. Ett godkÀnnande enligt etikprövningslagen medför inte att forskningen fÄr utföras om den strider mot nÄgon annan författning.

UtgĂ„ngspunkterna för vad som ska beaktas vid etikprövningen av forskningsprojekt framgĂ„r av 7–11 §§ etikprövningslagen. Forsk- ning fĂ„r enligt 7 § godkĂ€nnas bara om den kan utföras med respekt för mĂ€nniskovĂ€rdet. MĂ€nskliga rĂ€ttigheter och grundlĂ€ggande fri- heter ska enligt 8 § alltid beaktas vid etikprövningen samtidigt som hĂ€nsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. MĂ€nniskors vĂ€lfĂ€rd ska ges företrĂ€de framför samhĂ€llets och vetenskapens behov. Forskning fĂ„r enligt 9 § godkĂ€nnas bara om de risker som den kan medföra för forskningspersoners hĂ€lsa, sĂ€ker- het och personliga integritet uppvĂ€gs av dess vetenskapliga vĂ€rde. Med forskningsperson avses enligt 2 § en levande mĂ€nniska som forskningen avser.

187

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Av 10 § följer att forskning inte fÄr godkÀnnas, om det förvÀntade resultatet kan uppnÄs pÄ ett annat sÀtt som innebÀr mindre risker för forskningspersoners hÀlsa, sÀkerhet och personliga integritet. Vidare anges att behandling av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser fÄr godkÀnnas bara om den Àr nödvÀndig för att forskningen ska kunna utföras. Forskning fÄr enligt 11 § godkÀnnas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. NÄgot krav pÄ viss examen eller kompetens har inte uppstÀllts. Enligt lagmotiven fÄr kompetensen i stÀllet sÀttas i relation till den forskning som Àr aktuell i varje enskilt fall och de etiska frÄgestÀllningar som den kan antas ge upphov till.15 Enligt de tidigare etikprövningsnÀmndernas rutiner Àr huvudregeln dock att den ansvarige forskaren ska vara disputerad.16

Vid etikprövningen ska, enligt uttalanden i förarbetena, en helhetsbedömning av samtliga omstĂ€ndigheter göras. Vid bedöm- ningen bör beaktas bl.a. forskningsprojektets vikt, behovet av per- sonuppgifter, sĂ€kerheten vid behandlingen och omstĂ€ndigheter vid ett eventuellt samtycke. Vid intresseavvĂ€gningen bör ocksĂ„ beaktas om information i nĂ„gon form lĂ€mnas till de berörda. Även frĂ„gan i vilken utstrĂ€ckning den som begĂ€r det ska ha rĂ€tt att bli struken bör beaktas vid intresseavvĂ€gningen. I viss mĂ„n bör ocksĂ„ kunna beaktas hur pass svĂ„rt det Ă€r att pĂ„ grund av de behandlade uppgifterna identifiera enskilda personer.17

Om det Àr tÀnkt att forskaren ska inhÀmta personuppgifter genom direkt kontakt med personer med en viss diagnos eller hÀlso- status, Àr praxis att kontakten bör tas genom den klinik dÀr patient- erna behandlats eller fortfarande behandlas. Det har vanligtvis inte accepterats att forskaren kontaktar patienterna direkt innan sam- tycke har lÀmnats.18

Etikprövningsorganen har, som utredningen konstaterat i av- snitt 10.3.2, en lĂ€mplig sammansĂ€ttning och organisation för att han- tera prövningen av projekt som bedrivs av Myndigheten för vĂ„rd- och omsorgsanalys. Även systemet med etikprövning enligt etikprövnings- lagen förefaller passa vĂ€l för bedömningen av de aktuella projekten. Eftersom myndigheten har en stor andel forskarutbildad personal,

15Prop. 2002/03:50 s. 100.

16Ansökan om etikprövning, http://www.epn.se/start/

17Prop. 2002/03:50 s. 172.

18Se t.ex. beslut frĂ„n Centrala EtikprövningsnĂ€mnden, Dnr Ö 12-2014.

188

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

har myndigheten förutsÀttningar att uppfylla kravet i 11 § etikpröv- ningslagen pÄ att forskningen ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs. Verksamheten vid myndigheten bedrivs vidare i projektform. Det arbetssÀttet passar vÀl ihop med kravet i 6 § etikprövningslagen pÄ att ett godkÀnnande ska avse ett visst projekt, del av ett projekt eller en pÄ liknande sÀtt bestÀmd forskning.

TillvÀgagÄngssÀttet vid etikprövning styrs genom klara och tyd- liga regler i etikprövningslagen. Prövningen inkluderar, förutom en prövning av sjÀlva forskningsprojektet, en prövning av behandlingen av personuppgifter enligt gÀllande dataskyddslagstiftning. Den hel- hetsbedömning som ska göras enligt etikprövningslagens bestÀm- melser motsvarar den bedömning som, nÀr personuppgiftslagen gÀllde, skulle göras vid behandling för statistikÀndamÄl enligt 19 § andra stycket personuppgiftslagen och som tidigare gÀllde Àven för behandling för forskningsÀndamÄl enligt 19 § första stycket person- uppgiftslagen.19 Enligt nuvarande lagstiftning fÄr kÀnsliga person- uppgifter behandlas för statistiska ÀndamÄl med stöd av artikel 9.2 j i dataskyddsförordningen, om samhÀllsintresset av det statistik- projekt dÀr behandlingen ingÄr klart vÀger över den risk för otill- börligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra (3 kap. 7 § dataskyddslagen).

Utredningen bedömer dĂ€rför att det Ă€r lĂ€mpligt att Etikpröv- ningsmyndighetens och ÖverklagandenĂ€mnden för etikprövnings prövning av myndighetens projekt sker enligt samma bedömnings- grunder som vid prövningen av forskningsprojekt.

Utredningen föreslĂ„r dĂ€rför en lagregel om att bestĂ€mmelserna om forskning i 6–11 §§ etikprövningslagen ska tillĂ€mpas pĂ„ motsvar- ande sĂ€tt vid prövning och godkĂ€nnande av projekt som bedrivs av Myndigheten för vĂ„rd- och omsorgsanalys. I det följande redogörs för hur det Ă€r avsett att bestĂ€mmelserna ska tillĂ€mpas pĂ„ mot- svarande sĂ€tt. En sĂ„dan reglering fĂ„r anses tillrĂ€ckligt tydlig med hĂ€nsyn till att det inte Ă€r allmĂ€nheten utan bara expertmyndigheter som ska tillĂ€mpa bestĂ€mmelserna. I förordning bör det tydliggöras att ansökan om etikprövning ska göras hos Etikprövningsmyndig- hetens verksamhetsregion i Stockholm.

19Se t.ex. beslut frĂ„n Centrala EtikprövningsnĂ€mnden, Dnr Ö 12-2014.

189

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Etikprövningsmyndighetens och ÖverklagandenĂ€mndens bedöm- ningar av de analysprojekt som bedrivs av Myndigheten för vĂ„rd- och omsorgsanalys ska alltsĂ„ göras pĂ„ motsvarande sĂ€tt och utifrĂ„n samma kriterier som vid bedömningen av projekt som avser forsk- ning. Etikprövningslagens bestĂ€mmelser utgĂ„r frĂ„n att det Ă€r forsk- ningsprojekt som prövas, medan myndighetens projekt som ska prövas inte avser forskning men ska etikprövas pĂ„ motsvarande sĂ€tt.

HÀnvisningen till 6 § etikprövningslagen innebÀr att ett etikgod- kÀnnande ska avse ett visst projekt eller en del av ett projekt eller en pÄ nÄgot liknande sÀtt bestÀmd analys eller uppföljning. Det Àr alltsÄ inte aktuellt med ett generellt godkÀnnande att under oöverskÄdlig framtid fÄ utföra vissa analyser. Ett godkÀnnande upphör att gÀlla om inte analysen har pÄbörjats inom tvÄ Är.

Om ett projekt innefattar flera klart avgrĂ€nsade delprojekt, varav bara nĂ„got innefattar behandling av kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€delser, behöver bara det delprojektet god- kĂ€nnas för att behandlingen av personuppgifter ska vara tillĂ„ten. Detta förutsĂ€tter att sjĂ€lva delprojektet uppfyller de krav som följer av 7–11 §§ etikprövningslagen. Det innebĂ€r bl.a. att delprojektet fĂ„r godkĂ€nnas bara om integritetsriskerna för de personer som omfattas av behandlingen uppvĂ€gs av det samhĂ€lleliga intresset av den kun- skap som redan delprojektet kan förvĂ€ntas leda till. Om inte del- projektet i sig uppfyller de krav som följer av 7–11 §§, kan hela projektet behöva prövas i ett sammanhang.

Ett godkĂ€nnande medför inte att projektet fĂ„r utföras om det strider mot nĂ„gon annan författning. Efter det att Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning har god- kĂ€nt ett projekt mĂ„ste alltsĂ„ Myndigheten för vĂ„rd- och omsorgs- analys följa den reglering som finns i dataskyddsförordningen, dataskyddslagen och den föreslagna lagen om behandling av person- uppgifter i myndighetens verksamhet. DĂ€remot innebĂ€r den före- slagna bestĂ€mmelsen, enligt 2 kap. 20 § regeringsformen, att det etikgodkĂ€nda projektet fĂ„r genomföras Ă€ven om det skulle innebĂ€ra ett sĂ„dant betydande intrĂ„ng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Ett godkĂ€nnande kan ocksĂ„ förenas med villkor som myndigheten Ă€r skyldig att följa för att fĂ„ behandla personuppgifterna, t.ex. betrĂ€ffande formerna för urvalet av deltagare i studier, inhĂ€mtande av samtycke eller lĂ€mnande av information.

190

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

BestĂ€mmelserna i 7–11 §§ etikprövningslagen reglerar utgĂ„ngs- punkterna för vad som ska beaktas vid etikprövningen. Myndig- hetens projekt fĂ„r bara godkĂ€nnas om det kan utföras med respekt för mĂ€nniskovĂ€rdet. Vid prövningen ska mĂ€nskliga rĂ€ttigheter och grundlĂ€ggande friheter beaktas. Samtidigt ska hĂ€nsyn tas till in- tresset av att utveckla ny kunskap genom den aktuella studien. MĂ€n- niskors vĂ€lfĂ€rd ska ges företrĂ€de framför samhĂ€llsbehovet av att analysen genomförs. Integritetsriskerna för de personer som med- verkar i studien mĂ„ste vĂ€gas upp av studiens vĂ€rde för samhĂ€llet. I stĂ€llet för att vĂ€ga riskerna mot det vetenskapliga vĂ€rdet, som ska göras nĂ€r det Ă€r frĂ„ga om forskning, fĂ„r alltsĂ„ Etikprövningsmyndig- heten eller ÖverklagandenĂ€mnden för etikprövning, pĂ„ motsvarande sĂ€tt som gĂ€ller enligt den avvĂ€gningsnorm som tillĂ€mpas vid behand- ling av kĂ€nsliga personuppgifter för statistikĂ€ndamĂ„l enligt 3 kap. 7 § dataskyddslagen, vĂ€ga riskerna mot det samhĂ€lleliga intresset av den kunskap som projektet kan förvĂ€ntas resultera i. Om det förvĂ€ntade resultatet kan uppnĂ„s pĂ„ ett annat sĂ€tt som medför mindre integritets- risker för de personer som ingĂ„r i studien, fĂ„r projektet inte god- kĂ€nnas. Behandling av kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser fĂ„r godkĂ€nnas bara om den Ă€r nödvĂ€ndig för att analysen ska kunna utföras. Det krĂ€vs ocksĂ„ att projektet utförs av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs för det aktuella projektet och de etiska frĂ„gestĂ€llningar som kan aktualiseras.

Den helhetsbedömning som har redogjorts för ovan ska alltsĂ„ göras Ă€ven betrĂ€ffande myndighetens projekt. Vid bedömningen bör beaktas bl.a. hur pass viktig den kunskap som projektet kan ge Ă€r och om den kunskapen kan erhĂ„llas utan att personuppgifter behandlas eller om integritetsintrĂ„nget kan begrĂ€nsas pĂ„ nĂ„got sĂ€tt. Även sĂ€kerheten vid behandlingen och omstĂ€ndigheter vid ett eventuellt samtycke kan fĂ„ betydelse. Vid intresseavvĂ€gningen bör ocksĂ„ be- aktas om information i nĂ„gon form lĂ€mnas till de berörda och i vilken utstrĂ€ckning den som begĂ€r det ska ha rĂ€tt att bli struken. I viss mĂ„n bör ocksĂ„ kunna beaktas hur pass svĂ„rt det Ă€r att pĂ„ grund av de behandlade uppgifterna identifiera enskilda personer.20

20Prop. 2002/03:50 s. 172.

191

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

Även bestĂ€mmelserna om handlĂ€ggningsordningen för prövning och godkĂ€nnande samt överklagande i 24–33, 36 och 37 §§ etikpröv- ningslagen bör tillĂ€mpas i frĂ„ga om projekt som bedrivs av Myndig- heten för vĂ„rd- och omsorgsanalys. I 24 och 31 §§ etikprövningslagen behöver dock Etikprövningsmyndighetens och ÖverklagandenĂ€mn- dens nya arbetsuppgift att pröva myndighetens projekt lĂ€ggas till. Eftersom etikprövningsorganens arbetsuppgifter föreslĂ„s utvidgas i förhĂ„llande till vad som gĂ€ller i dag, kan Ă€ndringar komma att krĂ€vas i kommande instruktioner för Etikprövningsmyndigheten och Över- klagandenĂ€mnden för etikprövning.

10.4.2VÀljs en annan instans ska den göra en kvalificerad intresseavvÀgning som faststÀlls i lag

Utredningens alternativa förslag: Ett projekt fÄr godkÀnnas bara om behandlingen av personuppgifter i projektet Àr nödvÀndig och om samhÀllsintresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behand- lingen kan innebÀra. Ett godkÀnnande fÄr förenas med villkor.

För Etikprövningsmyndigheten och ÖverklagandenĂ€mnden för etik- prövning finns det som framgĂ„tt (avsnitt 10.4.1) redan ett beprövat regelverk om vad som krĂ€vs för ett godkĂ€nnande som kan anvĂ€ndas ocksĂ„ vid prövningen av Myndigheten för vĂ„rd- och omsorgsanalys analysprojekt. Om nĂ„gon annan instans Ă€n Etikprövningsmyndig- heten eller ÖverklagandenĂ€mnden för etikprövning ska göra pröv- ningen av myndighetens projekt, behövs det en ny norm att göra prövningen mot. Ett alternativ vore förstĂ„s att föreskriva att instansen vid prövning och godkĂ€nnande ska tillĂ€mpa etikprövningsorganens regelverk för forskning (6–11 §§ etikprövningslagen) pĂ„ motsvar- ande sĂ€tt. Utredningen har emellertid ansett att den, för den hĂ€ndelse den etablerade etikprövningsorganisationen inte skulle anses vara aktuell, bör lĂ€mna ett alternativt förslag till en egen materiell be- stĂ€mmelse som en alternativ instans kan tillĂ€mpa vid prövning och godkĂ€nnande av myndighetens projekt.

Som utredningen redogjort för i avsnitt 10.4.1, var behandling av kÀnsliga personuppgifter för forskningsÀndamÄl enligt den ursprung- liga lydelsen av 19 § första stycket personuppgiftslagen tillÄten om

192

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

behandlingen var nödvÀndig och samhÀllsintresset av det forsknings- projekt dÀr behandlingen ingick klart vÀgde över den risk för otill- börligt intrÄng i enskildas personliga integritet som behandlingen kunde innebÀra. I förarbetena betonades att det behövde göras en prövning i varje enskilt fall och att den som regel skulle göras av nÄgon oberoende instans. AvvÀgningsnormen gav uttryck för en restriktiv tillÀmpning och betonade att behandlingen mÄste vara nödvÀndig samtidigt som en intresseavvÀgning skulle göras. Reger- ingen ansÄg att det inte var nödvÀndigt att i lagtexten ytterligare precisera normen utan det kunde överlÄtas Ät rÀttstillÀmpningen att med anvÀndande av normen och allt efter rÄdande vÀrderingar och utvecklingen i samhÀllet avgöra vilka behandlingar som kunde tillÄtas.21

NÀr möjligheten för den personuppgiftsansvarige att sjÀlv göra en avvÀgning enligt 19 § första stycket personuppgiftslagen togs bort, infördes i etikprövningslagen ett krav pÄ att behandlingen ska vara nödvÀndig för att forskning ska kunna utföras samt att risken för intrÄng i forskningspersonernas personliga integritet ska vÀgas upp av forskningens vetenskapliga vÀrde. Regeringen konstaterade att detta innebar att den avvÀgningsnorm som dittills funnits i 19 § första stycket personuppgiftslagen i stÀllet fördes in i etikprövnings- lagen.22 Etikprövningslagens bestÀmmelser Àr sÄledes en utveckling av personuppgiftslagens tidigare krav pÄ intresseavvÀgning vid be- handling av kÀnsliga personuppgifter för forskningsÀndamÄl.

I 19 § andra stycket personuppgiftslagen fanns motsvarande avvÀgningsnorm, som tidigare fanns för behandling för forsknings- ÀndamÄl, kvar för statistikÀndamÄl. KÀnsliga personuppgifter fick behandlas för statistikÀndamÄl, om behandlingen var nödvÀndig och om samhÀllsintresset av det statistikprojekt dÀr behandlingen ingick klart vÀgde över den risk för otillbörligt intrÄng i enskildas person- liga integritet som behandlingen kunde innebÀra.

Enligt artikel 9.2 j i dataskyddsförordningen fÄr kÀnsliga person- uppgifter behandlas för statistiska ÀndamÄl pÄ grundval av unions- rÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i pro- portion till det efterstrÀvade syftet, vara förenlig med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades

21Prop. 1997/98:44 s. 70 f.

22Prop. 2002/03:50 s. 100.

193

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

SOU 2018:52

grundlÀggande rÀttigheter och intressen. I förarbetena till dataskydds- lagen anges att det inte heller nu Àr lÀmpligt att genom lagstiftning pÄ förhand avgöra exakt i vilka fall behandling av kÀnsliga person- uppgifter ska fÄ ske för statistiska ÀndamÄl.23 I dataskyddslagen infördes i stÀllet en avvÀgningsnorm motsvarande den som fanns i 19 § andra stycket personuppgiftslagen. Behandling av kÀnsliga per- sonuppgifter för statistiska ÀndamÄl fÄr sÄledes ske om samhÀlls- intresset av det statistikprojekt dÀr behandlingen ingÄr klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra (3 kap. 7 § dataskyddslagen). En motsvarande bestÀmmelse infördes för statistikansvariga myndig- heters framstÀllning av annan statistik Àn officiell statistik i 15 § statistiklagen.24

Som redan framhÄllits utgör eller pÄminner myndighetens verk- samhet i flera avseenden om statistisk verksamhet och den pÄminner ocksÄ om forskningsverksamhet (se vidare avsnitt 7.1.3, 7.2.5 och 17.3). En motsvarande avvÀgningsnorm som enligt 3 kap. 7 § data- skyddslagen bör dÀrför passa bra vid prövning och godkÀnnande av myndighetens projekt. Utredningen föreslÄr att myndighetens pro- jekt ska fÄ godkÀnnas bara om behandlingen av personuppgifter i projektet Àr nödvÀndig och om samhÀllsintresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra.

Motsvarande omstÀndigheter som enligt förarbetsuttalanden tidi- gare skulle beaktas vid tillÀmpningen av bestÀmmelsen om behand- ling för statistikÀndamÄl i 19 § andra stycket personuppgiftslagen och som fortfarande gÀller vid behandling för statistikÀndamÄl enligt 3 kap. 7 § dataskyddslagen bör beaktas vid den helhetsbedömning som ska göras vid prövningen av den externa instansen.25 Det Àr sÄledes aktuellt att bedöma bl.a. vikten av det aktuella projektet, behovet av personuppgifter, sÀkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hÀmta in samtycke, i vad mÄn den enskilde skulle kunna skadas om man begÀrde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvÀgningen bör ocksÄ beaktas

23Prop. 2017/18:105 s. 124.

24Prop. 2017/18:107 s. 37 ff.

25Prop. 2017/18:105 s. 124.

194

SOU 2018:52

Krav pÄ extern prövning vid riskfyllda behandlingar utan samtycke

om information i nĂ„gon form lĂ€mnas till de berörda. Även frĂ„gan om i vilken utstrĂ€ckning den som begĂ€r det ska ha rĂ€tt att bli struken kan beaktas vid intresseavvĂ€gningen.26

Prövningen och godkÀnnandet ska avse ett visst projekt. Om ett projekt innefattar flera klart avgrÀnsade delprojekt, varav bara nÄgot innefattar behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser, behöver emellertid bara det delprojektet prövas och godkÀnnas för att behandlingen av personuppgifter ska vara tillÄten. Detta förutsÀtter att samhÀllsintresset av redan delprojektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. Om inte delprojektet i sig uppfyller detta, kan hela projektet behöva prövas i ett sammanhang.

Ett beslut om att godkÀnna myndighetens projekt bör kunna för- enas med villkor som ska uppfyllas för att behandlingen av person- uppgifter ska fÄ ske. SÄdana villkor kan behövas t.ex. betrÀffande formerna för urvalet av deltagare i en studie, inhÀmtande av sam- tycke eller lÀmnande av information.

26Prop. 1997/98:44 s. 70.

195

11 KĂ€nsliga personuppgifter

11.1Inledande bedömning

Behandling av kÀnsliga personuppgifter utan samtycke kan anses sÀrskilt riskfylld. SÄdan behandling Àr sÀrreglerad i dataskydds- förordningen och brukar ofta regleras sÀrskilt i registerförfattningar.

Myndigheten för vÄrd- och omsorgsanalys har i dag möjlighet att utan samtycke behandla kÀnsliga personuppgifter med stöd av arti- kel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen (avsnitt 7.2.4). Myndigheten har i dag ocksÄ möjlighet att i vissa fall behandla kÀnsliga personuppgifter för statistiska ÀndamÄl med stöd av artikel 9.2 j i dataskyddsförordningen och 3 kap. 7 § dataskydds- lagen (avsnitt 7.2.5).

NĂ€r det nu föreslĂ„s en sĂ€rskild lagreglering för sĂ„dan behandling av personuppgifter i verksamhet vid Myndigheten för vĂ„rd- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhĂ„llanden inom hĂ€lso- och sjukvĂ„rd, tandvĂ„rd och omsorg ur ett patient-, brukar- och medborgarperspektiv bör myndigheten förstĂ„s inte tillĂ„tas att – utan samtycke – behandla andra typer av kĂ€nsliga personuppgifter Ă€n som myndigheten har behov av i den verksamheten. DĂ€rför granskas först myndighetens behov av att kunna behandla kĂ€nsliga personuppgifter utan samtycke (avsnitt 11.2).

Av de skÀl som framgÄr av avsnitt 10.2 behövs det inte nÄgra sÀrskilda restriktioner nÀr myndigheten kan stödja behandlingen av kÀnsliga personuppgifter pÄ de registrerades uttryckliga samtycken (artikel 9.2 a i dataskyddsförordningen).

Även fast myndigheten redan i dag har rĂ€ttsligt stöd i artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen, jĂ€mte bestĂ€mmelserna om tystnadsplikt, för att utan samtycke behandla kĂ€nsliga personuppgifter i verksamheten, har utredningen ansett att det bör undersökas om de krav pĂ„ skyddsĂ„tgĂ€rder, nödvĂ€ndighet och

197

KĂ€nsliga personuppgifter

SOU 2018:52

proportionalitet som uppstÀlls för behandling av kÀnsliga person- uppgifter med hÀnsyn till ett viktigt allmÀnt intresse enligt arti- kel 9.2 g i dataskyddsförordningen Àr uppfyllda. Dessa krav bör nÀmligen enligt utredningens mening anses utgöra en mÄttstock för vad en registerförfattning som tillÄter behandling av kÀnsliga person- uppgifter bör uppfylla. Att myndighetens verksamhet utgör ett viktigt allmÀnt intresse har redan konstaterats (avsnitt 7.2.3). Under- sökningen av om kraven Àr uppfyllda görs i avsnitt 11.3.

En förutsÀttning för att myndigheten utan samtycke ska fÄ be- handla de kÀnsliga personuppgifter som myndigheten behöver bör vara att det aktuella projektet har godkÀnts vid en etisk prövning, eftersom behandlingen fÄr anses sÀrskilt riskfylld (se kapitel 10).

Myndigheten bör sÄledes fÄ behandla kÀnsliga personuppgifter bara med uttryckligt samtycke, dÄ alla typer av kÀnsliga person- uppgifter fÄr behandlas, eller efter godkÀnnande vid en etisk prövning, dÄ bara sÄdana typer av kÀnsliga personuppgifter som myndigheten har ett sÀrskilt behov av fÄr behandlas. Ett undantag frÄn kravet pÄ etikgodkÀnnande görs dock för behandling som Àr av sÄdan mindre omfattning att den inte kan anses sÀrskilt riskfylld. I andra fall bör myndigheten alltsÄ enligt den föreslagna lagen inte fÄ behandla kÀnsliga personuppgifter. Utredningens förslag sammanfattas i avsnitt 11.4.

11.2Behovet av att behandla kÀnsliga personuppgifter

Utredningens bedömning: Myndigheten för vĂ„rd- och omsorgs- analys har behov av att utan samtycke kunna behandla uppgifter om hĂ€lsa och personuppgifter som avslöjar etniskt ursprung. Övriga typer av kĂ€nsliga personuppgifter enligt artikel 9.1 i data- skyddsförordningen bör myndigheten inte fĂ„ behandla utan sam- tycke.

I avsnitt 4.4 har utredningen beskrivit de behov myndigheten har av att behandla kÀnsliga personuppgifter utan samtycke. Som anges i det avsnittet behöver myndigheten kunna samla in och pÄ olika sÀtt anvÀnda sig av kÀnsliga personuppgifter som finns hos andra aktörer för att kunna fullgöra sina arbetsuppgifter enligt myndighetsinstruk-

198

SOU 2018:52

KĂ€nsliga personuppgifter

tionen. Att tillÄta myndigheten att behandla kÀnsliga personuppgif- ter utan samtycke innebÀr ett intrÄng i den personliga integriteten. Myndigheten bör dÀrför inte fÄ behandla fler kategorier av kÀnsliga personuppgifter Àn vad myndigheten faktiskt har behov av. Eftersom myndigheten har i uppdrag att följa upp och analysera bl.a. hÀlso- och sjukvÄrden, Àr det framför allt uppgifter om hÀlsa som myndigheten behöver kunna behandla utan samtycke. I vissa projekt kan det vidare finnas behov av att utan samtycke kunna behandla uppgifter om medborgarskap eller ursprungsland. En isolerad upp- gift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. En sÄdan uppgift skulle dock i ett enskilt fall kunna avslöja etniskt ursprung.1 Det har inte framkommit att myndigheten har ett pÄtagligt behov av att utan samtycke kunna behandla andra typer av kÀnsliga personuppgifter Àn uppgifter om hÀlsa och personuppgifter som avslöjar etniskt ursprung.

Som utredningen angett i det första betÀnkandet2 skulle skriv- ningen i artikel 9.4 i dataskyddsförordningen kunna tolkas som att möjligheten att göra undantag frÄn förbudet att behandla kÀnsliga personuppgifter mÄste utnyttjas fullt ut för att kunna anvÀndas, i frÄga om andra kategorier av uppgifter Àn de som anges i artikeln. I bestÀmmelsen anges nÀmligen att medlemsstaterna fÄr behÄlla eller införa ytterligare villkor, Àven begrÀnsningar, endast för behandling av genetiska eller biometriska uppgifter eller uppgifter om hÀlsa. Att tolka bestÀmmelsen som att det inte Àr tillÄtet att behÄlla ytterligare villkor för övriga kategorier av kÀnsliga personuppgifter synes dock inte rimligt, eftersom huvudregeln om förbud mot behandling av kÀnsliga personuppgifter har tillkommit av det skÀlet att dessa upp- gifter anses vara sÀrskilt skyddsvÀrda. Att det dÄ endast skulle vara möjligt att ha en nationell reglering som antingen helt förbjuder behandling av sÄdana uppgifter eller tillÄter all behandling som kan tillÄtas enligt nÄgon av de undantagsmöjligheter som finns i arti- kel 9.2 i dataskyddsförordningen synes inte förenligt med intresset av att skydda den personliga integriteten. NÀr det gÀller behandling som sker med stöd av grunden utförande av en arbetsuppgift av allmÀnt intresse framgÄr det dessutom av artikel 6.2 och 6.3 i data- skyddsförordningen att medlemsstaterna fÄr ha sÀrskilda bestÀm-

1Se t.ex. prop. 2009/10:85 s. 325.

2SOU 2017:66 s. 237.

199

KĂ€nsliga personuppgifter

SOU 2018:52

melser om bl.a. vilken typ av uppgifter som ska behandlas, se av- snitt 9.2. En myndighet kan vidare hur som helst förbjudas att be- handla vissa kategorier av kÀnsliga personuppgifter, se avsnitt 9.2. Utredningen har dÀrför gjort bedömningen att det Àr möjligt att bara delvis tillÄta behandling av kÀnsliga personuppgifter som omfattas av nÄgot av undantagen som krÀver nationell lagstiftning. Det innebÀr att det Àr möjligt att tillÄta behandling av bara vissa kategorier av kÀnsliga personuppgifter och förbjuda behandlingen av andra kate- gorier.

Utredningen konstaterar mot denna bakgrund att myndigheten har ett berÀttigat behov av att kunna behandla vissa kÀnsliga person- uppgifter utan att den registrerades samtycke inhÀmtas.

11.3FörutsÀttningarna för att göra undantag frÄn förbudet mot att behandla kÀnsliga personuppgifter med hÀnsyn till ett viktigt allmÀnt intresse Àr uppfyllda

Utredningens bedömning: Kraven pÄ skyddsÄtgÀrder, nödvÀn- dighet och proportionalitet i artikel 9.2 g i dataskyddsförord- ningen uppfylls genom utredningens förslag. Det Àr dÀrmed möj- ligt att tillÄta behandling av kÀnsliga personuppgifter med stöd av undantaget för viktiga allmÀnna intressen i artikel 9.2 g i data- skyddsförordningen.

11.3.1Krav pÄ skyddsÄtgÀrder

Utredningen har i avsnitt 7.2.3 gjort bedömningen att analys- och uppföljningsarbetet vid Myndigheten för vÄrd- och omsorgsanalys utgör ett sÄdant viktigt allmÀnt intresse som avses i artikel 9.2 g i dataskyddsförordningen. En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen ska omfatta bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. NÄgon exemplifiering av utformningen av sÄdana ÄtgÀrder, som sÀkerstÀller den registrerades grundlÀggande rÀttigheter och intressen, finns inte i dataskyddsför- ordningen.

200

SOU 2018:52

KĂ€nsliga personuppgifter

Viss vÀgledning om vilka faktorer som bör beaktas vid bedöm- ningen av lÀmpliga skyddsÄtgÀrder kan dock hÀmtas i artikel 32 i dataskyddsförordningen. Av den artikeln framgÄr att lÀmpliga tek- niska och organisatoriska ÄtgÀrder för att sÀkerstÀlla en sÀkerhets- nivÄ som Àr lÀmplig i förhÄllande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ÀndamÄl samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rÀttigheter och friheter ska vidtas. De ÄtgÀrder som kan vara aktuella att vidta kan bl.a. innefatta pseudonymisering, kryptering samt sÀkerstÀllande av konfidentialitet, integritet, tillgÀnglighet och motstÄndskraft. Vid bedömningen av lÀmplig sÀkerhetsnivÄ ska sÀrskild hÀnsyn tas till de risker som behandlingen medför. Hur sannolik och allvarlig risken Àr bör, enligt skÀl 76 till dataskyddsförordningen, faststÀllas utifrÄn en objektiv bedömning med beaktande av behandlingens art, om- fattning, sammanhang och ÀndamÄl.

I registerförfattningar finns det ofta bestÀmmelser om vad som kan betecknas som sÀkerhetsÄtgÀrder eller skyddsÄtgÀrder. Som exem- pel kan nÀmnas bestÀmmelser om en databas som reglerar vilka personuppgifter som fÄr göras mera allmÀnt tillgÀngliga i den aktu- ella verksamheten, tilldelning och begrÀnsning av behörighet, logg- kontroll, hur och under vilka förutsÀttningar elektroniskt utlÀm- nande fÄr ske, sökbegrÀnsningar, kryptering, pseudonymisering samt samtycke som krav för en viss ÄtgÀrd.

Det finns inte nÄgot som tyder pÄ att kravet i artikel 9.2 g i dataskyddsförordningen pÄ lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen skulle innebÀra nÄgot annat Àn kravet pÄ lÀmpliga skyddsÄtgÀrder enligt dataskyddsdirektivet. Vidare har Forskningsdatautredningen gjort bedömningen att etikprövning enligt etikprövningslagen utgör en sÄdan lÀmplig och sÀrskild ÄtgÀrd för att sÀkerstÀlla den regi- strerades grundlÀggande rÀttigheter och intressen som krÀvs vid be- handling av kÀnsliga personuppgifter för forskningsÀndamÄl enligt artikel 9.2 j i dataskyddsförordningen. I ett remitterat utkast till lag- rÄdsremiss om behandling av personuppgifter för forskningsÀnda- mÄl görs samma bedömning.3 Undantaget för behandling som Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse enligt arti-

3Utkast till lagrÄdsremiss dnr U2018/01639/F s. 68 ff.

201

KĂ€nsliga personuppgifter

SOU 2018:52

kel 9.2 g i dataskyddsförordningen innehÄller samma krav pÄ skydds- ÄtgÀrder. En prövning enligt etikprövningslagen fÄr mot denna bak- grund anses uppfylla Àven kravet pÄ lÀmpliga och sÀrskilda ÄtgÀrder enligt artikel 9.2 g i dataskyddsförordningen.

Utredningen har i avsnitt 10.3.3, som alternativ till en etikpröv- ning av den redan etablerade etikprövningsorganisationen, föreslagit att ett annat sÀrskilt organ för prövning av etiska frÄgor kan göra den prövning av myndighetens analysprojekt som utredningen föreslÄr. Organet ska vara en annan statlig myndighet eller vara knutet till en annan statlig myndighet Àn Myndigheten för vÄrd- och omsorgs- analys och ha företrÀdare för sÄvÀl det allmÀnna som forskningen. Prövningen ska göras enligt en avvÀgningsnorm som utredningen redogör för i avsnitt 10.4.2. AvvÀgningsnormen innebÀr att det för godkÀnnande krÀvs dels att behandlingen av personuppgifter i pro- jektet Àr nödvÀndig, dels att samhÀllsintresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. Organet kan förena god- kÀnnandet med de villkor som behövs. Det Àr utredningens bedöm- ning att Àven en sÄdan ordning uppfyller dataskyddsförordningens krav pÄ skyddsÄtgÀrder.

11.3.2Krav pÄ nödvÀndighet

För att behandling av kÀnsliga personuppgifter ska vara tillÄten en- ligt artikel 9.2 g i dataskyddsförordningen mÄste den ocksÄ vara nödvÀndig av hÀnsyn till det viktiga allmÀnna intresset. NödvÀndig- hetsbegreppet i artikel 9.2 g i dataskyddsförordningen fÄr antas ha den unionsrÀttsliga innebörd som redovisas i avsnitt 7.1.3. Kravet pÄ nödvÀndighet innebÀr inte att det mÄste vara omöjligt att utföra upp- draget om inte kÀnsliga personuppgifter behandlas. Behandling av kÀnsliga personuppgifter kan alltsÄ anses nödvÀndig om den medför effektivitetsvinster, Àven om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas pÄ visst sÀtt. Om personupp- gifter inte behövs för ett visst ÀndamÄl eller om ÀndamÄlet kan upp- nÄs nÀstan lika enkelt och till nÀstan samma kostnad utan att per- sonuppgifter behandlas, Àr nödvÀndighetskravet dÀremot inte uppfyllt och behandling av kÀnsliga personuppgifter inte tillÄten.

202

SOU 2018:52

KĂ€nsliga personuppgifter

I sÄvÀl avvÀgningsnormen i etikprövningslagen som den avvÀg- ningsnorm som utredningen föreslÄr i avsnitt 10.4.2, ingÄr ett krav pÄ nödvÀndighet. Kravet pÄ nödvÀndighet Àr avsett att ha samma innebörd som kravet pÄ nödvÀndighet i dataskyddsförordningen.

11.3.3Krav pÄ proportionalitet

Nationell reglering som tillÄter behandling av kÀnsliga personupp- gifter av hÀnsyn till ett viktigt allmÀnt intresse mÄste vidare stÄ i proportion till det efterstrÀvade syftet och vara förenlig med det vÀsentliga innehÄllet i rÀtten till dataskydd. Syftet Àr i detta fall att Myndigheten för vÄrd- och omsorgsanalys ska kunna utföra de analyser myndigheten har i uppdrag att göra. Behandling av kÀnsliga personuppgifter bör dÀrför endast vara tillÄten nÀr behovet av att behandla uppgifterna i detta syfte fÄr anses vÀga över risken för intrÄng i den personliga integriteten. Myndigheten har som framgÄtt behov av att kunna behandla vissa kÀnsliga personuppgifter för att kunna utföra sitt uppdrag. Samtidigt innebÀr sÄdan behandling integri- tetsrisker. Dessa risker ska beaktas vid prövningen av den redan etablerade etikprövningsorganisationen eller av det sÀrskilda organet för prövning av etiska frÄgor. Om riskerna vÀger över nyttan med analysen, kommer behandling sÄledes inte att fÄ ske. Utredningen har dÀrför i kapitel 16 gjort bedömningen att en reglering som inne- bÀr att myndigheten ges möjlighet till nödvÀndig behandling av kÀnsliga personuppgifter efter en prövning av ett externt organ upp- fyller regeringsformens krav proportionalitet. En sÄdan bestÀmmelse fÄr dÀrför Àven anses uppfylla proportionalitetskravet enligt arti- kel 9.2 g i dataskyddsförordningen. Regleringen bedöms ocksÄ fören- lig med det vÀsentliga innehÄllet i rÀtten till dataskydd.

203

KĂ€nsliga personuppgifter

SOU 2018:52

11.4Krav pÄ etisk prövning för behandling av uppgifter om hÀlsa och personuppgifter som avslöjar etniskt ursprung utan samtycke

Utredningens förslag: Myndigheten för vÄrd- och omsorgsanalys fÄr behandla kÀnsliga personuppgifter bara

1.med de registrerades uttryckliga samtycken,

2.sĂ„vitt avser uppgifter om hĂ€lsa eller personuppgifter som av- slöjar etniskt ursprung, om projektet har prövats och god- kĂ€nts av Etikprövningsmyndigheten eller ÖverklagandenĂ€mn- den för etikprövning alternativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor.

Behandlingen enligt första punkten tillÄts med stöd av artikel 9.2 a dataskyddsförordningen och behandlingen enligt andra punkten tillÄts med stöd av artikel 9.2 g, h eller j i dataskyddsförordningen.

Projekt som innefattar behandling av uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ursprung om fÀrre Àn 100 per- soner behöver dock inte genomgÄ etisk prövning.

11.4.1Behandling tillÄts om det finns uttryckligt samtycke eller etikgodkÀnnande

Som konstaterats i den inledande bedömningen (avsnitt 11.1) bör Myndigheten för vÄrd- och omsorgsanalys fÄ behandla kÀnsliga personuppgifter bara med uttryckligt samtycke, dÄ alla typer av kÀnsliga personuppgifter fÄr behandlas, eller efter godkÀnnande vid en etisk prövning, dÄ bara sÄdana typer av kÀnsliga personuppgifter som myndigheten har ett sÀrskilt behov av fÄr behandlas. I andra fall bör myndigheten alltsÄ i princip inte fÄ behandla kÀnsliga person- uppgifter. Utredningen har i avsnitt 11.2 konstaterat att Myndig- heten för vÄrd- och omsorgsanalys har ett berÀttigat behov av att, utan stöd av samtycke, behandla bara uppgifter om hÀlsa och person- uppgifter som avslöjar etniskt ursprung. Myndigheten bör alltsÄ utan samtycke fÄ behandla bara dessa typer av kÀnsliga personupp- gifter, under förutsÀttning att det projekt som behandlingen ingÄr i har godkÀnts vid en etisk prövning.

204

SOU 2018:52

KĂ€nsliga personuppgifter

Den föreslagna bestĂ€mmelsen förbjuder alltsĂ„ för det första myn- digheten att behandla kĂ€nsliga personuppgifter i andra fall Ă€n som anges i bestĂ€mmelsen. Myndigheten fĂ„r sĂ„ledes, till följd av bestĂ€m- melsen, inte anvĂ€nda de möjligheter till behandling av kĂ€nsliga personuppgifter som artikel 9 h och j i dataskyddsförordningen samt 3 kap. 5 och 7 §§ dataskyddslagen ger. Den föreslagna lagen gĂ€ller framför dataskyddslagen som Ă€r subsidiĂ€r (avsnitt 9.4.2). Data- skyddsförordningen hindrar, som anges i avsnitt 9.2, inte att med- lemsstaterna i nationell rĂ€tt har mer restriktiva bestĂ€mmelser Ă€n enligt dataskyddsförordningen för sina egna myndigheters behand- ling av personuppgifter. Även artikel 6.2 och 6.3 i dataskyddsförord- ningen möjliggör som angetts i det avsnittet en precisering av vilka villkor som ska gĂ€lla för behandlingen. Det Ă€r dĂ€rför möjligt att inskrĂ€nka myndighetens möjligheter till behandling av kĂ€nsliga per- sonuppgifter i förhĂ„llande till vad som gĂ€ller i dag.

För det andra tillÄter bestÀmmelsen myndigheten att behandla kÀnsliga personuppgifter i de tvÄ fall som anges i bestÀmmelsen. Vid lagstiftning som kompletterar dataskyddsförordningen och utgör en uttrycklig tillÄtelse att behandla kÀnsliga personuppgifter Àr det van- ligt att i lagtexten ange med stöd av vilken eller vilka bestÀmmelser i dataskyddsförordningen som tillÄtelsen ges, dvs. var det ursprung- liga rÀttsliga stödet för behandlingen finns. Utredningen anser att det som blivit vanligt bör följas, Àven om det tynger lagtexten, och har tagit med sÄdana hÀnvisningar till dataskyddsförordningen. HÀn- visningarna Àr pÄ det sÀtt som Àr brukligt av dynamisk karaktÀr, dvs. de avser vid var tid gÀllande lydelse av bestÀmmelsen, eftersom det rör sig om rena upplysningar.

För att definiera vilka kategorier av personuppgifter som Àr att anse som kÀnsliga personuppgifter, bör det i bestÀmmelsen göras en hÀnvisning till artikel 9.1 i dataskyddsförordningen. En sÄdan hÀn- visning bör ocksÄ vara av dynamisk karaktÀr, eftersom terminologin som anvÀnds i nationell reglering som kompletterar dataskyddsför- ordningen lÀmpligen bör följa den begreppsutveckling som sker inom unionen, Àven vid en eventuell Àndring av uttryckliga definitioner i dataskyddsförordningen. Om uttrycken etniskt ursprung eller hÀlsa i dataskyddsförordningen Àndras eller tas bort, mÄste givetvis den föreslagna lagen Àndras.

205

KĂ€nsliga personuppgifter

SOU 2018:52

En bestÀmmelse om att myndigheten under vissa förutsÀttningar tillÄts behandla kÀnsliga personuppgifter utgör ett lagstöd enligt 2 kap. 20 § regeringsformen, vilket innebÀr att behandlingen fÄr ut- föras Àven om den sker utan samtycke och innebÀr ett sÄdant be- tydande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Utredningen redovisar i kapitel 16 sin bedömning av tillÄtligheten enligt 2 kap. 21 § regeringsformen av ett sÄdant lagstöd.

11.4.2Undantag frÄn kravet pÄ etisk prövning

Behandling av uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ursprung fÄr alltsÄ, enligt utredningens förslag, bara ske om behandlingen prövats och godkÀnts vid en etisk prövning. Den etiska prövningen innebÀr emellertid en sÄdan omgÄng och sÄdana kostnader att den bör reserveras för de fall av behandling av per- sonuppgifter dÀr det finns betydande integritetsrisker. Det Àr frÀmst vid storskalig behandling som det finns sÄdana risker. Behandling som omfattar fÄ registrerade innebÀr att risken för att det sker integritetsintrÄng generellt sett Àr mindre. Utredningen bedömer att det inte Àr nödvÀndigt med en extern etisk prövning om myndig- hetens projekt avser behandling av uppgifter om hÀlsa eller person- uppgifter som avslöjar etniskt ursprung om fÀrre Àn 100 personer. Utredningen föreslÄr dÀrför att kravet pÄ etisk prövning inte ska gÀlla om behandlingen av uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ursprung i ett projekt avser fÀrre Àn 100 per- soner. Behandlingen av kÀnsliga personuppgifter fÄr i sÄdana fall ske med stöd av bestÀmmelserna i dataskyddsförordningen och 3 kap. dataskyddslagen. Detta undantag frÄn kravet pÄ etisk prövning Àr inte ett sÄdant lagstöd som ger möjlighet till sÄdana betydande in- trÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

206

12 LagövertrÀdelser

12.1Behovet av att behandla uppgifter om lagövertrÀdelser

Behandling av uppgifter om lagövertrÀdelser (lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden) kan anses sÀrskilt riskfylld. SÄdan behandling Àr sÀrreglerad i dataskyddsförordningen och brukar ofta regleras sÀrskilt i registerförfattningar för myndigheter, trots att dessa utan sÀrskilda restriktioner enligt dataskyddsförordningen fÄr behandla sÄdana personuppgifter (jÀmför 3 kap. 8 § första stycket data- skyddslagen).

Myndigheten för vÄrd- och omsorgsanalys bör sÄledes utan sam- tycke fÄ behandla uppgifter om lagövertrÀdelser bara om myndig- heten har ett behov av det och efter godkÀnnande vid en etisk prövning (kapitel 10). Ett undantag frÄn kravet pÄ etikgodkÀnnande bör dock göras för behandling som Àr av sÄdan mindre omfattning att den inte kan anses sÀrskilt riskfylld. Av de skÀl som framgÄr av avsnitt 10.2 behövs det inte nÄgra sÀrskilda restriktioner nÀr myn- digheten kan stödja behandlingen av uppgifter om lagövertrÀdelser pÄ de registrerades samtycken.

Myndigheten för vÄrd- och omsorgsanalys har ett behov av att i vissa projekt behandla alla typer av uppgifter om lagövertrÀdelser. SÄdana uppgifter Àr framför allt aktuella att behandla i samband med studier av socialtjÀnsten, men skulle ocksÄ kunna förekomma i sam- band med undersökningar som rör hÀlso- och sjukvÄrd. Behov kan exempelvis uppstÄ i studier avseende socialtjÀnstens arbete med unga lagövertrÀdare eller vÄrdpÄföljder.

207

LagövertrÀdelser

SOU 2018:52

12.2Krav pÄ etisk prövning för behandling av uppgifter om lagövertrÀdelser utan samtycke

Utredningens förslag: Myndigheten för vÄrd- och omsorgsana- lys fÄr behandla uppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel och administra- tiva frihetsberövanden i ett projekt bara

1.med de registrerades samtycken, eller

2.om projektet har prövats och godkĂ€nts av Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning alter- nativt av ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor.

Projekt som innefattar behandling av uppgifter om lagövertrÀd- elser om fÀrre Àn 100 personer behöver dock inte genomgÄ etisk prövning.

12.2.1Behandling tillÄts om det finns uttryckligt samtycke eller etikgodkÀnnande

Som anges i avsnitt 7.3 fÄr personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrder enligt artikel 10 i dataskyddsför- ordningen behandlas av en myndighet under förutsÀttning att det finns en rÀttslig grund för behandlingen. Detta framgÄr ocksÄ av 3 kap. 8 § första stycket dataskyddslagen. Dataskyddsförordningen uppstÀller sÄledes inte, i likhet med den tidigare personuppgifts- lagen, nÄgra sÀrskilda krav för att sÄdana uppgifter ska fÄ behandlas av en myndighet. Myndigheten för vÄrd- och omsorgsanalys har alltsÄ med stöd av dataskyddsförordningen och dataskyddslagen samma möjligheter att behandla uppgifter om lagövertrÀdelser som andra personuppgifter.

Uppgifter om lagövertrÀdelser Àr dock av sÄ pass integritets- kÀnsligt slag att det förekommer att Àven myndigheters behandling av sÄdana uppgifter begrÀnsas i registerförfattningar.1 Uppgifterna har ocksÄ ansetts sÄ integritetskÀnsliga att etikprövning av forskning

1Se t.ex. 114 kap. 12 § socialförsÀkringsbalken och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjÀnsten.

208

SOU 2018:52

LagövertrÀdelser

innefattande sÄdana uppgifter bör ske, oavsett om forskningen ut- förs av myndigheter eller enskilda. Utredningen anser dÀrför, trots att det inte finns nÄgot krav pÄ skyddsÄtgÀrder enligt dataskydds- förordningen, att det Àr rimligt att Àven lÄta behandling av uppgifter om lagövertrÀdelser utan samtycke omfattas av det föreslagna kravet pÄ godkÀnnande vid en etisk prövning (kapitel 10). DÀrutöver bör myndigheten fÄ behandla sÄdana personuppgifter med de registrerades samtycken.

Definitionen av vad som utgör uppgifter om lagövertrÀdelser Àr nÄgot snÀvare enligt dataskyddsförordningen Àn den som angavs i 21 § personuppgiftslagen. De huvudsakliga skillnaderna Àr att data- skyddsförordningens reglering inte omfattar uppgifter om friande brottmÄlsdomar och administrativa frihetsberövanden.2

Etikprövningslagen ska enligt 3 § tillÀmpas bl.a. pÄ forskning som innefattar behandling av personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden.3 Den vidare definitionen av personuppgifter om lagövertrÀdelser som gÀllde enligt personupp- giftslagen behölls sÄledes i etikprövningslagen nÀr dataskyddsför- ordningen började tillÀmpas. För det fall Etikprövningsmyndigheten ska göra prövningen av projekt som bedrivs vid Myndigheten för vÄrd- och omsorgsanalys bör den bestÀmmelse utredningen nu före- slÄr avseende behandling av uppgifter om lagövertrÀdelser stÀmma överens med etikprövningslagens reglering. Samma bedömning Àr relevant Àven om ett annat sÀrskilt organ ska göra prövningen. Kravet pÄ etisk prövning bör dÀrför i frÄga om uppgifter om lagövertrÀdelser omfatta samma personuppgifter som etikprövningslagen omfattar. BestÀmmelsen bör sÄledes omfatta personuppgifter om lagövertrÀd- elser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngs- medel och administrativa frihetsberövanden.

Dataskyddsförordningen hindrar, som anges i avsnitt 9.2, inte att medlemsstaterna i nationell rĂ€tt har mer restriktiva bestĂ€mmelser Ă€n enligt dataskyddsförordningen för sina egna myndigheters behand- ling av personuppgifter. Även artikel 6.2 och 6.3 i dataskyddsförord- ningen möjliggör som angetts i det avsnittet en precisering av vilka villkor som ska gĂ€lla för behandlingen. Det Ă€r dĂ€rför möjligt att lĂ„ta

2För en mer ingÄende analys av skillnaderna mellan bestÀmmelserna hÀnvisas till utredningens första betÀnkande, SOU 2017:66 s. 252 ff.

3Utkast till lagrÄdsremiss dnr U2018/01639/F s. 11.

209

LagövertrÀdelser

SOU 2018:52

myndighetens behandling av uppgifter om lagövertrÀdelser utan samtycke omfattas av kravet pÄ prövning av ett externt organ.

Den föreslagna bestÀmmelsen utgör ett lagstöd enligt 2 kap. 20 § regeringsformen vilket innebÀr att behandlingen fÄr utföras Àven om den sker utan samtycke och innebÀr ett sÄdant betydande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillÄtligheten enligt 2 kap. 21 § regeringsformen av ett sÄdant lagstöd.

12.2.2Undantag frÄn kravet pÄ etisk prövning

Utredningen föreslÄr alltsÄ att behandling av uppgifter om lagöver- trÀdelser utan samtycke i ett projekt bara fÄr ske om behandlingen prövats och godkÀnts vid en etisk prövning. Som utredningen konstaterat i avsnitt 11.4.1 bör den etiska prövningen reserveras för de fall av behandling av personuppgifter dÀr det finns betydande integritetsrisker. Det Àr frÀmst vid storskalig behandling som det finns sÄdana risker. Behandling som omfattar fÄ registrerade innebÀr att risken för att det sker integritetsintrÄng generellt sett Àr mindre. Utredningen bedömer att det inte Àr nödvÀndigt med en extern etisk prövning om myndighetens projekt avser behandling av uppgifter om lagövertrÀdelser om fÀrre Àn 100 personer. Utredningen föreslÄr dÀrför att kravet pÄ etisk prövning inte ska gÀlla om behandlingen av uppgifter om lagövertrÀdelser i ett projekt avser fÀrre Àn 100 per- soner. Behandlingen av uppgifter om lagövertrÀdelser fÄr i sÄdana fall ske med stöd av bestÀmmelserna i dataskyddsförordningen och 3 kap. dataskyddslagen. Detta undantag frÄn kravet pÄ etisk pröv- ning Àr inte ett sÄdant lagstöd som ger möjlighet till sÄdana betyd- ande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

210

13Andra personuppgifter Àn kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser

13.1Behovet av att behandla andra personuppgifter

I kapitel 11 och 12 föreslĂ„r utredningen att Myndigheten för vĂ„rd- och omsorgsanalys ska fĂ„ behandla vissa kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser utan samtycke i ett projekt om projektet har prövats och godkĂ€nts av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor. Mot bakgrund av myn- dighetens uppdrag inkluderar de flesta av myndighetens analys- och uppföljningsprojekt behandling av kĂ€nsliga personuppgifter. Utöver kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser behöver dock Ă€ven andra personuppgifter behandlas. Det kan röra sig om bl.a. socioekonomiska uppgifter om t.ex. utbildning, ekonomi, bi- drag, sysselsĂ€ttning och sysselsĂ€ttningsgrad. Inom socialtjĂ€nsten behandlas exempelvis uppgifter om försörjningsstöd, som inte Ă€r kĂ€nsliga enligt dataskyddsförordningens definition, Ă€ven om de mĂ„ste betraktas som integritetskĂ€nsliga ur ett mer allmĂ€nt perspektiv. Projekten kan Ă€ven behöva inkludera demografiska uppgifter om t.ex. Ă„lder, kön, bostadsuppgifter, civilstĂ„nd och familj, och social- försĂ€kringsuppgifter. TillgĂ„ng till en bred informationsbas kan i mĂ„nga fall utgöra en förutsĂ€ttning för att myndigheten ska kunna genom- föra projekt av god kvalitet och göra relevanta analyser.

Myndigheten kan, som utredningen konstaterar i avsnitt 7.1.4, behandla andra personuppgifter Àn kÀnsliga personuppgifter direkt med stöd av dataskyddsförordningen. För behandling av sÄdana per- sonuppgifter stÀller dataskyddsförordningen inte upp nÄgot krav pÄ stöd i nationell lag. Myndigheten mÄste dock, som framgÄr av

211

Andra personuppgifter Àn kÀnsliga personuppgifter...

SOU 2018:52

avsnitt 7.1.4, göra en bedömning av om behandlingen av person- uppgifter Àr tillÄten med hÀnsyn till 2 kap. 6 § andra stycket reger- ingsformen. Om myndigheten bedömer att personuppgifterna inte kan behandlas med stöd av samtycke och att en behandling skulle medföra ett betydande intrÄng i den personliga integriteten som innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden, fÄr personuppgifterna inte behandlas med stöd av data- skyddsförordningen. För att personuppgifterna ska kunna behand- las krÀvs dÄ enligt 2 kap. 20 § regeringsformen stöd i (svensk) lag.

13.2Behandling av andra personuppgifter i projekt som godkÀnts vid en etisk prövning

Utredningens förslag: NĂ€r kĂ€nsliga personuppgifter eller uppgif- ter om lagövertrĂ€delser, efter prövning och godkĂ€nnande av en Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etik- prövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor, fĂ„r behandlas i ett projekt fĂ„r Ă€ven andra personuppgifter behandlas utan de registrerades samtycken i det projektet.

Den prövning Etikprövningsmyndigheten eller ÖverklagandenĂ€mn- den för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor ska göra ska avse ett visst projekt eller en del av ett projekt eller en pĂ„ nĂ„got liknande sĂ€tt bestĂ€md analys eller upp- följning. Undantag gĂ€ller om ett projekt innefattar flera klart av- grĂ€nsade delprojekt, och bara nĂ„got av dessa innefattar behandling av kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€delser, se avsnitt 10.4.1 och 10.4.2. Huvudregeln Ă€r sĂ„ledes att den prövande instansen ska göra en helhetsbedömning av Myndigheten för vĂ„rd- och omsorgsanalys projekt. Den totala omfattningen av behand- lingen av personuppgifter inom projektet kan ju fĂ„ betydelse vid bedömningen av om behandlingen av personuppgifter i projektet Ă€r nödvĂ€ndig och om samhĂ€llsintresset av projektet klart vĂ€ger över den risk för otillbörligt intrĂ„ng i enskildas personliga integritet som behandlingen kan innebĂ€ra. NĂ€r det gĂ€ller de projekt som Myndig- heten för vĂ„rd- och omsorgsanalys bedriver Ă€r det dessutom ofta sĂ„ att personuppgifterna behandlas integrerat med varandra, vilket innebĂ€r att det inte gĂ„r att skilja ut den del som avser behandling av

212

SOU 2018:52

Andra personuppgifter Àn kÀnsliga personuppgifter...

kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser frÄn behandlingen av övriga personuppgifter. Det Àr mot bakgrund av detta utredningens uppfattning att den etiska prövningen utgör en garanti för att samtlig behandling av personuppgifter, inte enbart behandlingen av kÀnsliga personuppgifter och uppgifter om lagöver- trÀdelser, inom ett godkÀnt projekt Àr vÀlgrundad och proportioner- lig. Har projektet vid den etiska prövningen ansetts sÄ viktigt att det motiverar behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser, mÄste det rimligen vara befogat med hÀnsyn till projektets vikt att behandla Àven andra personuppgifter.

Utredningen föreslĂ„r dĂ€rför en bestĂ€mmelse om att i de fall be- handling av kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€- delser i ett projekt har godkĂ€nts vid en prövning av Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor fĂ„r Ă€ven andra personuppgifter behandlas i det projektet eller delprojektet. En sĂ„dan bestĂ€mmelse har stöd i artikel 6.1 e och 6.2 i dataskyddsförord- ningen.

Förslaget innebÀr att all behandling av personuppgifter i projekt eller delprojekt som godkÀnts vid en etisk prövning har ett lagstöd enligt 2 kap. 20 § regeringsformen som innebÀr att behandlingen fÄr utföras Àven om den sker utan samtycke och innebÀr ett sÄdant betydande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. I kapitel 16 redovisas utredningens bedömning av tillÄtligheten enligt 2 kap. 21 § regeringsformen av ett sÄdant lagstöd.

Information om att myndigheten planerar att behandla andra per- sonuppgifter ska naturligtvis ha ingÄtt i det underlag som varit före- mÄl för etisk prövning. Om det efter att godkÀnnande lÀmnats upp- stÄr ett behov av att behandla ytterligare personuppgifter fÄr myn- digheten, liksom vid andra förÀndringar av förutsÀttningarna för projektet, övervÀga om en ny prövning av projektet behöver göras. NÀr det gÀller etikprövning enligt etikprövningslagen behöver en ny ansökan enligt motivuttalanden göras om förÀndringarna av projek- tet Àr vÀsentliga.1 Motsvarande bör gÀlla vid prövning av ett annat sÀrskilt organ för prövning av etiska frÄgor.

1Prop. 2002/03:50 s. 115.

213

Andra personuppgifter Àn kÀnsliga personuppgifter...

SOU 2018:52

13.3Utvidgad möjlighet till etisk prövning av projekt som endast innefattar andra uppgifter

Utredningens förslag: Om ett projekt endast ska innefatta be- handling av andra personuppgifter Ă€n kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€delser fĂ„r personuppgifterna, om myndigheten bedömer att projektet inte kan genomföras pĂ„ grund av 2 kap. 6 § andra stycket regeringsformen, behandlas om pro- jektet har prövats och godkĂ€nts av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor.

Även om mĂ„nga projekt inkluderar behandling av kĂ€nsliga person- uppgifter, Ă€r det inte uteslutet att Myndigheten för vĂ„rd- och om- sorgsanalys Ă€ven har projekt som innefattar behandling enbart av sĂ„dana personuppgifter som inte Ă€r kĂ€nsliga eller uppgifter om lag- övertrĂ€delser. Det skulle t.ex. kunna röra sig om en undersökning som kartlĂ€gger privatekonomi och andra levnadsomstĂ€ndigheter för personer som beviljats ekonomiskt bistĂ„nd. Det Ă€r inte heller omöj- ligt att analysarbetet i ett enskilt projekt medför en sĂ„ omfattande behandling av personuppgifter att det med hĂ€nsyn till den stora mĂ€ngden personuppgifter, uppgifternas integritetskĂ€nsliga karaktĂ€r och ett behov av att koppla samman personuppgifterna, fĂ„r anses innebĂ€ra en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett sĂ„dant betydande intrĂ„ng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. SĂ„dan behandling Ă€r inte tillĂ„ten utan samtycke eller lagstöd enligt 20 § i samma kapitel. Det kan ocksĂ„ förutsĂ€ttas att all behandling av personuppgifter i projekt, som medför sĂ„ omfattande behandling av personuppgifter att den fĂ„r anses innebĂ€ra en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett betydande intrĂ„ng i den personliga integriteten, inte kan ske med stöd av samtycke. I ett sĂ„dant fall krĂ€vs lagstöd enligt 2 kap. 20 § regeringsformen för att behandlingen ska vara tillĂ„ten.

Utredningen gör bedömningen att behandling utan samtycke av personuppgifter som inte omfattas av dataskyddsförordningens defi- nition av kÀnsliga personuppgifter och inte heller utgör uppgifter av lagövertrÀdelser inte kan tillÄtas generellt (se avsnitt 9.1 och 10.1). Det Àr inte möjligt att för myndighetens verksamhet faststÀlla tillrÀckligt

214

SOU 2018:52

Andra personuppgifter Àn kÀnsliga personuppgifter...

avgrÀnsade och förutsÀgbara ÀndamÄlsbestÀmmelser för att all be- handling av personuppgifter utan samtycke för vissa angivna Ànda- mÄl ska kunna tillÄtas. I stÀllet föreslÄr utredningen i avsnitt 14.2.5 att myndigheten för varje enskilt projekt ska faststÀlla ÀndamÄlet för behandlingen. I samband med detta mÄste myndigheten ocksÄ av- göra omfattningen av behandlingen och utifrÄn detta bedöma om den Àr tillÄten i förhÄllande till 2 kap. 6 § andra stycket regerings- formen. Följden av denna reglering Àr att om myndigheten bedömer att behandlingen av personuppgifter stÄr i strid med 2 kap. 6 § andra stycket regeringsformen, krÀvs lagstöd för att behandlingen ska vara tillÄten.

Utredningen föreslĂ„r, med hĂ€nsyn till svĂ„righeterna att pĂ„ för- hand faststĂ€lla tillrĂ€ckligt tydliga Ă€ndamĂ„l för myndighetens behand- ling av personuppgifter, att Ă€ven projekt som endast medför behand- ling av personuppgifter som varken Ă€r kĂ€nsliga eller uppgifter om lagövertrĂ€delser ska kunna prövas av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor om behandlingen, enligt myndighetens bedömning, inte Ă€r tillĂ„ten enligt 2 kap. 6 § andra stycket regeringsformen. Om projektet godkĂ€nns vid prövningen, ska behandlingen enligt förslaget vara tillĂ„ten. BestĂ€mmelsen har stöd i artikel 6.1 e och 6.2 i dataskyddsförordningen. Den föreslagna bestĂ€m- melsen utgör ett sĂ„dant lagstöd som avses i 2 kap. 20 § regerings- formen. I kapitel 16 redovisas utredningens bedömning av tillĂ„tlig- heten enligt 2 kap. 21 § regeringsformen av ett sĂ„dant lagstöd.

Behovet av att i ett projekt utföra omfattande behandling av per- sonuppgifter, som trÀffas av 2 kap. 6 § andra stycket regeringsformen, utan att projektet förutsÀtter behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser, lÀr i praktiken dock uppstÄ ytterst sÀllan. Möjligheten att ansöka om prövning för dylika projekt skulle sÄledes vara aktuell enbart i fall dÀr integritetsskyddsintresset tydligt stÄr pÄ spel.

I utkastet till lagrÄdsremiss om behandling av personuppgifter för forskningsÀndamÄl dras slutsatsen att kravet pÄ etikprövning i etik- prövningslagen inte bör utvidgas frÄn att som i dag endast omfatta behandling av kÀnsliga personuppgifter och uppgifter om lagöver- trÀdelser till att gÀlla all behandling av personuppgifter för forsknings- ÀndamÄl.2 I utkastet togs dock endast stÀllning till en bred utvidgning

2Se utkast till lagrÄdsremiss dnr U2018/01639/F s. 72. f.

215

Andra personuppgifter Àn kÀnsliga personuppgifter...

SOU 2018:52

omfattande all behandling av personuppgifter för forskningsÀnda- mÄl. Möjligheterna att göra en begrÀnsad utvidgning till vissa sÀrskilt angivna situationer dÀr intresset av att skydda den personliga integriteten Àr sÀrskilt tydligt övervÀgdes inte. I det hÀr fallet skulle prövningen omfatta Àven behandling av personuppgifter som enligt legaldefinitionen visserligen inte Àr kÀnsliga eller uppgifter om lag- övertrÀdelser, men ÀndÄ sÄ omfattande och gÀllande sÄ integritets- kÀnsliga personuppgifter att behandlingen bedöms medföra ett betydande intrÄng i den personliga integriteten. I det remitterade ut- kastet till lagrÄdsremiss om behandling av personuppgifter för forsk- ningsÀndamÄl anförs att behandling av andra personuppgifter Àn kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser i tidigare lagstiftningssammanhang har bedömts inte vara av sÀrskilt integritetskÀnslig karaktÀr. Det framhÄlls dock att en sÄdan uppfatt- ning i viss mÄn kan vara subjektiv. Vad nÄgon uppfattar som integri- tetskÀnsligt kan nÄgon annan uppfatta som helt oproblematiskt. En större mÀngd uppgifter som var och en för sig Àr av mindre integri- tetskÀnslig karaktÀr kan samlade innebÀra en ökad integritetsrisk för den registrerade. Med en sÄ vid definition av personuppgift som framgÄr av dataskyddsförordningen kan alla olika slags personupp- gifter graderas pÄ en skala frÄn mycket integritetskÀnsliga till i det nÀrmaste helt utan integritetsmÀssig risk att behandla. Dataskydds- förordningens kategoriseringar avseende kÀnsliga personuppgifter och personuppgifter om lagövertrÀdelser Àr enligt utkastet rimliga och lÀmpliga avgrÀnsningar för vad som generellt kan karaktÀriseras som sÄdana integritetskÀnsliga personuppgifter som krÀver ett ökat skydd.3

Den bestÀmmelse som utredningen hÀr föreslÄr skulle omfatta behandling av personuppgifter som Àr nÀrliggande sÄdan behandling av personuppgifter som enligt förslaget i övrigt ska omfattas av kra- vet pÄ etisk prövning. Utredningen bedömer det dÀrför motiverat att införa en möjlighet att ansöka om en etisk prövning för behandling av personuppgifter i ett projekt som inte innefattar kÀnsliga person- uppgifter eller uppgifter om lagövertrÀdelser om Myndigheten för vÄrd- och omsorgsanalys bedömer att projektet inte kan genomföras pÄ grund av 2 kap. 6 § andra stycket regeringsformen.

3SOU 2017:50 s. 348 och utkast till lagrÄdsremiss dnr U2018/01639/F s. 72 f.

216

14 SkyddsÄtgÀrder

14.1Krav pÄ skydds- eller sÀkerhetsÄtgÀrder

14.1.1Regleringen i dataskyddsförordningen

Om personuppgifter hanteras felaktigt eller det intrÀffar driftstör- ningar, sabotage, obehörig Ätkomst till personuppgifter eller liknan- de kan det fÄ till följd att personuppgifterna förstörs, förÀndras eller sprids till obehöriga. Ju fler uppgifter som behandlas och ju kÀns- ligare uppgifterna Àr desto större Àr som regel riskerna. Dessa risker för de registrerade kan minskas genom att olika skydds- eller sÀker- hetsÄtgÀrder vidtas.

I dataskyddsförordningen anvÀnds begreppen skyddsÄtgÀrd och sÀkerhetsÄtgÀrd. Det Àr inte helt klart vad skillnaden kan vara mellan begreppen. SkyddsÄtgÀrder verkar vara ett vidare begrepp som inne- fattar sÀkerhetsÄtgÀrder, vilka beskrivs som tekniska och organisa- toriska ÄtgÀrder, och dessutom vissa andra ÄtgÀrder. Av artikel 5.1 f i dataskyddsförordningen framgÄr att personuppgifter ska behandlas pÄ ett sÀtt som sÀkerstÀller lÀmplig sÀkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillÄten behandling och mot förlust, förstöring eller skada genom olyckshÀndelse, med anvÀnd- ning av lÀmpliga tekniska eller organisatoriska ÄtgÀrder (principen om integritet och konfidentialitet). Det Àr den personuppgiftsansva- rige som ansvarar för sÀkerheten och som, enligt artikel 24 i data- skyddsförordningen, med beaktande av behandlingens art, omfattning, sammanhang och ÀndamÄl samt riskerna, av varierande sannolikhets- grad och allvar, för fysiska personers rÀttigheter och friheter, ska genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa ÄtgÀrder ska ses över och uppdateras vid behov. De tekniska och organisatoriska ÄtgÀrderna ska enligt artikel 25 i dataskyddsförordningen vara utformade för ett effektivt

217

SkyddsÄtgÀrder

SOU 2018:52

genomförande av dataskyddsprinciper, t.ex. principen om uppgifts- minimering i artikel 5, och för integrering av de nödvĂ€ndiga skydds- Ă„tgĂ€rderna i behandlingen. ÅtgĂ€rder ska vidtas bĂ„de vid faststĂ€llandet av vilka medel behandlingen utförs med och vid sjĂ€lva behandlingen och genomföras med beaktande av den senaste utvecklingen, genom- förandekostnader och behandlingens art, omfattning, sammanhang och Ă€ndamĂ„l samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rĂ€ttigheter och friheter. Som exempel pĂ„ en Ă„tgĂ€rd anges pseudonymisering. Med pseudonymisering avses enligt artikel 4 i dataskyddsförordningen behandling av personupp- gifter pĂ„ ett sĂ€tt som innebĂ€r att personuppgifterna inte lĂ€ngre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter anvĂ€nds, under förutsĂ€ttning att dessa kompletterande uppgifter för- varas separat och Ă€r föremĂ„l för tekniska och organisatoriska Ă„tgĂ€r- der som sĂ€kerstĂ€ller att personuppgifterna inte tillskrivs en identi- fierad eller identifierbar fysisk person.

I artikel 32.1 i dataskyddsförordningen anges pseudonymisering Ă„terigen som eventuellt lĂ€mplig Ă„tgĂ€rd att vidta. DĂ€rutöver anges kryptering av personuppgifter, förmĂ„gan att fortlöpande sĂ€kerstĂ€lla konfidentialitet, integritet, tillgĂ€nglighet och motstĂ„ndskraft hos behandlingssystemen och -tjĂ€nsterna, förmĂ„gan att Ă„terstĂ€lla till- gĂ€ngligheten och tillgĂ„ngen till personuppgifter i rimlig tid vid en fysisk eller teknisk incident och ett förfarande för att regelbundet testa, undersöka och utvĂ€rdera effektiviteten hos de tekniska och organisatoriska Ă„tgĂ€rder som ska sĂ€kerstĂ€lla behandlingens sĂ€kerhet som eventuellt lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder för att sĂ€kerstĂ€lla en sĂ€kerhetsnivĂ„ som Ă€r lĂ€mplig i förhĂ„llande till risken. ÅtgĂ€rderna ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sam- manhang och Ă€ndamĂ„l samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rĂ€ttigheter och friheter. Vid bedöm- ningen av lĂ€mplig sĂ€kerhetsnivĂ„ ska, enligt artikel 32.2 i dataskydds- förordningen sĂ€rskild hĂ€nsyn tas till de risker som behandlingen medför, i synnerhet frĂ„n oavsiktlig eller olaglig förstöring, förlust eller Ă€ndring eller till obehörigt röjande av eller obehörig Ă„tkomst till de personuppgifter som överförts, lagrats eller pĂ„ annat sĂ€tt behandlats.

218

SOU 2018:52

SkyddsÄtgÀrder

Den personuppgiftsansvarige Àr enligt artikel 32.4 i dataskydds- förordningen ocksÄ skyldig att vidta ÄtgÀrder för att sÀkerstÀlla att varje fysisk person som utför arbete under den personuppgifts- ansvariges överinseende, och som fÄr tillgÄng till personuppgifter, endast behandlar dessa pÄ instruktion frÄn den personuppgiftsansva- rige. Undantag gÀller dock om unionsrÀtten eller medlemsstaternas nationella rÀtt ÄlÀgger honom eller henne att göra det. Att person- uppgiftsbitrÀdet och personer som utför arbete under den person- uppgiftsansvariges eller personuppgiftsbitrÀdets överinseende, och som fÄr tillgÄng till personuppgifter, endast fÄr behandla dessa pÄ instruktion frÄn den personuppgiftsansvarige, alternativt med stöd av gÀllande rÀtt, framgÄr av artikel 29 i dataskyddsförordningen.

14.1.2Reglering i den föreslagna lagen

Utredningens förslag: Lagens krav pÄ skyddsÄtgÀrder ska omfatta all behandling av personuppgifter inom lagens tillÀmpningsom- rÄde.

Det Àr Myndigheten för vÄrd- och omsorgsanalys som i egenskap av personuppgiftsansvarig ska genomföra lÀmpliga tekniska och orga- nisatoriska ÄtgÀrder för att sÀkerstÀlla att behandlingen av person- uppgifter sker i enlighet med dataskyddsförordningen (artikel 24).1 Myndigheten Àr ocksÄ skyldig att vidta ÄtgÀrder för att sÀkerstÀlla att varje fysisk person som utför arbete under myndighetens över- inseende behandlar personuppgifter endast pÄ instruktion frÄn myn- digheten. Detsamma gÀller om behandlingen av personuppgifter utförs av ett personuppgiftsbitrÀde. Undantag gÀller dock om unions- rÀtten eller svensk rÀtt ÄlÀgger personen eller personuppgiftsbitrÀdet att behandla personuppgifterna (artikel 29 och 32.4 i dataskyddsför- ordningen).

Dataskyddsförordningens bestÀmmelser om krav pÄ sÀkerhets- ÄtgÀrder Àr direkt tillÀmpliga. Utan att den personuppgiftsansvariges eget ansvar för att vidta lÀmpliga ÄtgÀrder enligt dataskyddsförord-

1Utredningen gör i avsnitt 9.1 bedömningen att en sÀrskild bestÀmmelse om att det Àr Myn- digheten för vÄrd- och omsorgsanalys som Àr personuppgiftsansvarig för den behandling myndigheten utför inte krÀvs.

219

SkyddsÄtgÀrder

SOU 2018:52

ningen upphör, kan dock mer specifika krav pÄ skydds- eller sÀker- hetsÄtgÀrder ÄlÀggas genom nationell lagstiftning (se avsnitt 9.2). I registerförfattningar finns det ofta bestÀmmelser med krav pÄ olika former av ÄtgÀrder som kan betecknas som skydds- eller sÀkerhets- ÄtgÀrder. Som exempel kan nÀmnas bestÀmmelser om tilldelning och begrÀnsningar av behörigheter, loggkontroller, sökbegrÀnsningar, kryptering, pseudonymisering, samtycke som krav för en viss ÄtgÀrd samt bestÀmmelser om hur och under vilka förutsÀttningar person- uppgifter fÄr lÀmnas ut elektroniskt. OcksÄ bestÀmmelser pÄ andra hÄll om sekretess och tystnadsplikt samt straff för den som bryter mot tystnadsplikten eller olovligen bereder sig tillgÄng till eller mani- pulerar personuppgifter kan betecknas som skydds- eller sÀkerhets- ÄtgÀrder.

Av avsnitt 6.5 framgÄr att personuppgifterna som behandlas i projekten hos Myndigheten för vÄrd- och omsorgsanalys omfattas av stark s.k. statistiksekretess och tystnadsplikt.

Utredningen har redan i kapitel 10–12 föreslagit krav pĂ„ prövning av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etik- prövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor som en förutsĂ€ttning för att Myndigheten för vĂ„rd- och omsorgsanalys ska fĂ„ behandla bl.a. kĂ€nsliga personuppgifter utan uttryckligt samtycke. Prövningen utgör, som anges i de kapitlen, en form av skyddsĂ„tgĂ€rd som avser att utmynna i ett beslut som innebĂ€r att personuppgifterna fĂ„r eller inte fĂ„r behandlas utifrĂ„n vissa förut- sĂ€ttningar. GodkĂ€nnandet kan ocksĂ„ förenas med sĂ€rskilda villkor som dĂ„ mĂ„ste följas. NĂ€r ett projekt Ă€r godkĂ€nt och myndigheten kan inleda sin behandling av personuppgifter, mĂ„ste myndigheten tillĂ€mpa den generella regleringen av skyddsĂ„tgĂ€rder som finns i dataskyddsförordningen.

I följande avsnitt föreslÄr utredningen flera bestÀmmelser med krav pÄ ÄtgÀrder som Àr avsedda att ytterligare minska de risker för den personliga integriteten som myndighetens behandling av person- uppgifter medför. SkyddsÄtgÀrderna bör gÀlla Àven sÄdan behandling som avser personuppgifter som inte Àr kÀnsliga eller uppgifter om lagövertrÀdelser och inte heller bedöms strida mot grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. Trots att myndigheten, i enlighet med vad utredningen har konstaterat i avsnitt 7.1.4, har stora möjligheter att behandla sÄdana personuppgifter med stöd av dataskyddsförordningen, fÄr de föreslagna skyddsÄtgÀrderna anses

220

SOU 2018:52

SkyddsÄtgÀrder

lÀmpliga att tillÀmpa vid all behandling av personuppgifter som faller inom lagens tillÀmpningsomrÄde. SkyddsÄtgÀrderna bör dÀrför gÀlla vid all behandling av personuppgifter i verksamhet vid Myndigheten för vÄrd- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgarperspektiv.

14.2ÄndamĂ„lsbestĂ€mning för varje projekt

14.2.1Krav pÄ ÀndamÄlsbestÀmning

Personuppgifter ska enligt artikel 5.1 b i dataskyddsförordningen samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl och inte senare behandlas pÄ ett sÀtt som Àr oförenligt med dessa ÀndamÄl. Av definitionen av begreppet personuppgiftsansvarig i arti- kel 4 i dataskyddsförordningen framgÄr att ÀndamÄlen och medlen för behandlingen ska bestÀmmas av den personuppgiftsansvarige. Det Àr ocksÄ tillÄtet att faststÀlla ÀndamÄl för behandling av person- uppgifter i nationell rÀtt med stöd av artikel 6.2 och 6.3 i dataskydds- förordningen. Enligt skÀl 39 till dataskyddsförordningen bör de specifika ÀndamÄl som personuppgifterna behandlas för vara tydliga och legitima och ha bestÀmts vid den tidpunkt dÄ personuppgifterna samlades in.

ÄndamĂ„lsbestĂ€mningen Ă€r central vid behandling av personupp- gifter. Exempelvis avgörs vilka personuppgifter som fĂ„r behandlas utifrĂ„n faststĂ€llt Ă€ndamĂ„l – personuppgifter ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för om- fattande i förhĂ„llande till de Ă€ndamĂ„l för vilka de behandlas. Det register varje personuppgiftsansvarig ska föra över behandling som utförts under dess ansvar enligt artikel 30 i dataskyddsförordningen ska innehĂ„lla uppgift om Ă€ndamĂ„l med behandlingen. Samma sak gĂ€ller sĂ„dan information som ska lĂ€mnas till den registrerade enligt artikel 13–15 i dataskyddsförordningen. Även vid bedömning av rĂ€tt till rĂ€ttelse, radering och begrĂ€nsning av behandling enligt arti- kel 16–18 i dataskyddsförordningen görs avvĂ€gningar med beaktan- de av Ă€ndamĂ„let med behandlingen. Behandlingens Ă€ndamĂ„l har ocksĂ„ betydelse bl.a. för vad som Ă€r en lĂ€mplig sĂ€kerhetsnivĂ„ enligt artikel 32 i dataskyddsförordningen.

221

SkyddsÄtgÀrder

SOU 2018:52

ÄndamĂ„len i registerförfattningar delas ofta upp i primĂ€ra och sekundĂ€ra Ă€ndamĂ„l. De primĂ€ra Ă€ndamĂ„len reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen verksamhet medan de sekundĂ€ra Ă€ndamĂ„len reglerar i vilken utstrĂ€ck- ning personuppgifter som behandlas för nĂ„got av de primĂ€ra Ă€nda- mĂ„len fĂ„r behandlas för att lĂ€mnas ut till andra myndigheter eller till enskilda för att tillgodose mottagarnas behov.

ÄndamĂ„l regleras oftast i lag och inte i förordning. SkĂ€let till detta torde vara Ă€ndamĂ„lsbestĂ€mmelsernas centrala betydelse och överens- kommelsen mellan riksdag och regering om att myndighetsregister med ett stort antal registrerade och ett sĂ€rskilt kĂ€nsligt innehĂ„ll ska regleras i lag, se avsnitt 3.5.3.

14.2.2Generellt formulerade ÀndamÄl i registerförfattningar

Av artikel 5.1 b i dataskyddsförordningen framgÄr att personupp- gifter ska samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Motsvarande bestÀmmelser fanns tidigare i artikel 6.1 b i dataskyddsdirektivet och 9 § första stycket c personuppgiftslagen. Att ÀndamÄlen ska vara sÀrskilda, dvs. inte alltför allmÀnt hÄllna, Àr sÄledes inget nytt utan det har man haft att förhÄlla sig till vid tillkomsten av de flesta registerförfattningarna. Trots detta Àr Ànda- mÄlsbestÀmmelser i registerförfattningar ofta generellt formulerade. I mÄnga förarbeten anges att syftet med ÀndamÄlsbestÀmmelserna Àr att ange en yttersta ram inom vilken uppgifterna fÄr behandlas.2

I syfte att begrÀnsa den tillÄtna ramen inom vilka personuppgifter fÄr behandlas förekommer det att regeringen eller den myndighet som regeringen bestÀmmer ges möjlighet att föreskriva begrÀns- ningar i förhÄllande till lagens ÀndamÄlsbestÀmmelser. Exempel pÄ detta Àr 6 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 4 § tredje stycket studie- stödsdatalagen (2009:287). I inget av fallen har delegationsbestÀm- melserna lett till nÄgra begrÀnsningar av ÀndamÄlen.3 I förarbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet

2Se t.ex. prop. 1997/98:97 s. 121, prop. 2000/01:33 s. 99 och SOU 2006:82 s. 178.

3Se 2 § förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknads- politiska verksamheten, Arbetsmarknadsstyrelsens föreskrifter (AMSFS 2002:11) om tillÀmp- ningen av lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och studiestödsdataförordningen (2009:321).

222

SOU 2018:52

SkyddsÄtgÀrder

för arbetsmarknads- och utbildningspolitisk utvÀrdering ansÄg regeringen att ÀndamÄlen i den föreslagna lagen borde vara nÄgot mer allmÀnt hÄllna Àn uppdraget enligt myndighetens instruktion och att ÀndamÄlsbestÀmmelserna inte skulle vara knutna till de specifika ÀmnesomrÄden som pekas ut i instruktionen. Lagen skulle annars behöva Àndras vid varje justering i myndighetens uppdrag. Reger- ingen menade att det uppdrag som beskrivs i instruktionen i prak- tiken ÀndÄ kommer att snÀva in ÀndamÄlen genom att det styr inom vilka ÀmnesomrÄden institutet bedriver sina studier, uppföljningar och utvÀrderingar.4 Det förekommer ocksÄ att det i förarbeten anges att det förutsÀtts eller krÀvs att den personuppgiftsansvariga myn- digheten anger mer preciserade ÀndamÄl för specifika behandlingar inom den tillÄtna ramen.5

Socialdatautredningen föreslog i det lagstiftningsarbete som före- gick lagen (2001:454) om behandling av personuppgifter inom social- tjĂ€nsten att de nĂ€rmare Ă€ndamĂ„len skulle bestĂ€mmas av personupp- giftsansvarig myndighet.6 Regeringen ansĂ„g dock att det var lĂ€mpli- gare att ange ett vidstrĂ€ckt Ă€ndamĂ„l i lagen som innebĂ€r att person- uppgifter fĂ„r behandlas bara om behandlingen Ă€r nödvĂ€ndig för att arbetsuppgifter inom socialtjĂ€nsten ska kunna utföras.7 ÄndamĂ„len reglerades sedan nĂ€rmare i förordning.

14.2.3Registerförfattningar utan ÀndamÄlsbestÀmmelser

De vida ÀndamÄlen i registerförfattningar har enligt Informations- hanteringsutredningen lett till en sammanblandning mellan vad som i dataskyddsrÀttslig mening Àr sÀrskilda bestÀmda ÀndamÄl respek- tive tillÄtna rÀttsliga grunder för behandling. Informationshanter- ingsutredningen ansÄg att det fanns en risk för att tillÀmparen god- tog ett i författning bestÀmt allmÀnt ÀndamÄl som ett i och för sig sÀrskilt och tillrÀckligt preciserat ÀndamÄl och dÀrför drog den felak- tiga slutsatsen att personuppgiftslagens krav var uppfyllda. Informa- tionshanteringsutredningen menade dÀrför att det kan ge ett i prak-

4Prop. 2011/12:176 s. 29 f.

5SOU 2015:39 s. 267.

6SOU 1999:109 s. 162.

7Prop. 2000/01:80 s. 142.

223

SkyddsÄtgÀrder

SOU 2018:52

tiken bÀttre integritetsskydd om den personuppgiftsansvarige Àr hÀn- visad enbart till att utifrÄn de dÄ gÀllande grundlÀggande kraven i 9 § första stycket c personuppgiftslagen pÄ eget ansvar formulera Ànda- mÄl som Àr tillrÀckligt specifika för att ge ledning för vilka uppgifter som Àr adekvata och inte för mÄnga för den aktuella behandlingen.8

Förslaget har fÄtt ett blandat mottagande. Datainspektionen fram- höll i sitt remissvar att frÄgor om ÀndamÄlsreglering i omfattande myndighetsbaserade databaser Àr ett typexempel pÄ sÄdant som om- fattas av det förstÀrkta grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. Att överlÄta till regeringen och myndigheter att besluta om för vilka ÀndamÄl personuppgifter fÄr hanteras i myndig- heternas verksamheter anses av Datainspektionen strida mot grund- lagsbestÀmmelsen. Andra remissinstanser ansÄg att förslaget förenk- lade bedömningen av vilken behandling av personuppgifter som Àr tillÄten.

Utredningen om 2016 Ärs dataskyddsdirektiv har bedömt att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrÀttslig mening Àr tillÄtna rÀttsliga grunder för behandling och vad som Àr renodlade ÀndamÄlsbestÀmmelser ibland har blandats samman. En ÀndamÄlsbestÀmmelse bör enligt Utred- ningen om 2016 Ärs dataskyddsdirektiv ge ledning för prövningen av vilka personuppgifter som Àr adekvata och relevanta för behand- lingen. De primÀra ÀndamÄlsbestÀmmelserna i registerförfattning- arna bedöms dock generellt sett inte ge nÄgon egentlig ledning för prövningen av vilka personuppgifter som fÄr behandlas. De utgör snarare den yttre ramen inom vilken de sÀrskilda, uttryckliga och berÀttigade ÀndamÄlen med behandlingen i enskilda fall ska bestÀm- mas. De primÀra ÀndamÄlsbestÀmmelserna anses dock i och för sig fylla en viktig funktion i och med att de sÀtter ramar för behand- lingen av personuppgifter. De föreslÄs dÀrför behÄllas samtidigt som det tydliggörs att bestÀmmelserna i frÄga Àr en del av den rÀttsliga grunden. Den nÀrmare innebörden av de tillÄtna rÀttsliga grunderna i respektive myndighets registerförfattning mÄste uttolkas tillsam- mans med regleringen av arbetsuppgifterna.9 Vad gÀller den föreslag- na generella bestÀmmelsen om rÀttslig grund i brottsdatalagen

8SOU 2015:39 s. 278 f.

9SOU 2017:74 s. 384 f.

224

SOU 2018:52

SkyddsÄtgÀrder

bedöms den, tillsammans med en bestÀmmelse om att personupp- gifter ska behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl, uppfylla kraven i 2016 Ärs dataskyddsdirektiv10 pÄ hur reg- leringen ska vara utformad.11

Enligt 14 § i den tidigare polisdatalagen (1998:622), som upp- hörde att gÀlla den 1 mars 2012, krÀvdes, för att personuppgifter skulle fÄ behandlas i kriminalunderrÀttelseverksamhet, att en sÀr- skild undersökning hade inletts under ledning av Rikspolisstyrelsen eller en polismyndighet och att det fanns anledning att anta att all- varlig brottslighet hade utövats eller kunde komma att utövas. Enligt 15 § samma lag skulle polismyndighetens eller Rikspolisstyrelsens beslut om behandling av personuppgifter enligt 14 § innehÄlla upp- gifter om ÀndamÄlet med behandlingen och de villkor i övrigt som behövdes för att förebygga otillbörligt intrÄng i de registrerades per- sonliga integritet. NÄgot ÀndamÄl för behandling av personuppgifter inom just kriminalunderrÀttelseverksamheten föreskrevs sÄledes inte i lagen utan ÀndamÄl för behandlingen av personuppgifter an- gavs i sÀrskilda beslut. BegrÀnsningen av polisens möjligheter att behandla personuppgifter i underrÀttelseverksamhet och kravet pÄ sÀrskilt beslut om ÀndamÄl och andra villkor för behandlingen moti- verades med en oro för en utveckling som leder till otillbörliga in- trÄng i den personliga integriteten.12

Förslaget till brottsdatalag innehÄller i 2 kap. 3 § en ÀndamÄls- bestÀmmelse, som innebÀr att personuppgifter fÄr behandlas bara för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Om det Ànda- mÄl som personuppgifterna behandlas för inte framgÄr av samman- hanget eller pÄ annat sÀtt, ska det tydliggöras genom en sÀrskild upplysning.13 I likhet med utredningen om 2016 Ärs dataskydds- direktiv anser regeringen att det finns fog för Informationshanter- ingsutredningens uppfattning att vad som i dataskyddsrÀttslig mening Àr tillÄtna rÀttsliga grunder för behandling och vad som Àr renodlade ÀndamÄlsbestÀmmelser ibland har blandats samman.14 Det Àr dÀrför

10Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkstÀlla straffrÀttsliga pÄföljder, och det fria flödet av sÄdana uppgifter och om upphÀvande av rÄdets rambeslut 2008/977/RIF.

11SOU 2017:29 s. 244.

12SOU 1997:65 s. 221 f. och prop. 1997/98:97 s. 121.

13Prop. 2017/18:232 s. 16. Lagen föreslÄs trÀda i kraft den 1 augusti 2018.

14Prop. 2017/18:232 s. 115.

225

SkyddsÄtgÀrder

SOU 2018:52

lĂ€mpligt att det görs tydligare skillnad mellan bestĂ€mmelser om rĂ€ttslig grund och Ă€ndamĂ„lsbestĂ€mmelser. I propositionen konsta- teras vidare att den omstĂ€ndigheten att viss behandling Ă€r rĂ€ttsligt grundad inte innebĂ€r att vilka personuppgifter som helst fĂ„r behand- las eller att det fĂ„r göras pĂ„ valfritt sĂ€tt.15 Den personuppgiftsansva- rige mĂ„ste ocksĂ„ iaktta övriga krav som gĂ€ller för behandling av personuppgifter. I artikel 4.1 b i direktivet anges bl.a. att person- uppgifter ska samlas in för sĂ€rskilda, uttryckligt angivna och berĂ€t- tigade Ă€ndamĂ„l. Liknande reglering finns i artikel 6.1 b i 1995 Ă„rs dataskyddsdirektiv, som har genomförts genom 9 § första stycket c i personuppgiftslagen. En liknande bestĂ€mmelse bör, enligt propo- sitionen, tas in i brottsdatalagen. Att Ă€ndamĂ„len ska vara sĂ€rskilda innebĂ€r att de mĂ„ste vara tillrĂ€ckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som Ă€r adekvata och relevanta för den aktuella behandlingen och för att det ska kunna avgöras att inte för mĂ„nga uppgifter behandlas. NĂ„got hinder mot att ange flera parallella Ă€ndamĂ„l för behandlingen finns inte. ÄndamĂ„len ska anges uttryckligen redan nĂ€r personuppgifterna samlas in. Att Ă€ndamĂ„len ska vara berĂ€ttigade innebĂ€r enligt regeringens mening en koppling till den rĂ€ttsliga grunden. Personuppgifter fĂ„r sĂ„ledes inte behandlas för ett Ă€ndamĂ„l som inte Ă€r berĂ€ttigat i förhĂ„llande till den tillĂ€mpliga rĂ€ttsliga grunden. Kravet pĂ„ att Ă€ndamĂ„let för behandlingen ska vara berĂ€ttigat kan ocksĂ„ sĂ€gas innebĂ€ra ett krav pĂ„ att behandlingen ska vara förenlig med konstitutionella och andra rĂ€ttsliga principer. Genom att det i stor utstrĂ€ckning Ă€r reglerat vilken behandling av personuppgifter som kan aktualiseras pĂ„ omrĂ„det för brottsbekĂ€mp- ning, lagföring, straffverkstĂ€llighet och upprĂ€tthĂ„llande av allmĂ€n ordning och sĂ€kerhet har lagstiftaren redan tagit stĂ€llning till att behandlingen av personuppgifter Ă€r berĂ€ttigad i de fallen. Det Ă€r dock inte bara nĂ€r personuppgifter samlas in som det ska finnas ett sĂ€r- skilt, uttryckligt angivet och berĂ€ttigat Ă€ndamĂ„l för behandlingen. Varje Ă„tgĂ€rd som vidtas med insamlade uppgifter ska naturligtvis ocksĂ„ uppfylla de kraven. I brottsdatalagen bör det dĂ€rför tydlig- göras att all behandling ska utföras för sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l.

Vidare anförs i propositionen att det i artikel 8.2 i 2016 Ärs data- skyddsdirektiv anges att nationell rÀtt Ätminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas

15Prop. 2017/18:232 s. 120 ff.

226

SOU 2018:52

SkyddsÄtgÀrder

och behandlingens Ă€ndamĂ„l. Uttrycken ”syftet med behandlingen” och ”behandlingens Ă€ndamĂ„l” anvĂ€nds ofta synonymt nĂ€r man diskuterar behandling av personuppgifter. FrĂ„gan Ă€r om det finns nĂ„gon saklig skillnad mellan uttrycken. I den engelska sprĂ„kversionen av direktivet anvĂ€nds uttrycken ”objectives of processing” och ”purposes of the processing”. Orden objectives och purposes Ă€r ocksĂ„ synonymer. AnvĂ€ndningen av obestĂ€md form i det första ut- trycket men bestĂ€md form i det senare kan tolkas som att det första uttrycket avser bestĂ€mmelser om rĂ€ttslig grund (brottsbekĂ€mpning, lagföring, straffverkstĂ€llighet eller upprĂ€tthĂ„llande av allmĂ€n ord- ning och sĂ€kerhet), medan det andra avser Ă€ndamĂ„len för behand- lingen i det enskilda fallet. Om nĂ„gon skillnad Ă€r avsedd, Ă€r det enligt regeringens mening den enda rimliga tolkningen. Regeringen anser dĂ€rmed att den föreslagna generella bestĂ€mmelsen om rĂ€ttslig grund i ramlagen, tillsammans med bestĂ€mmelsen om att personuppgifter ska behandlas för sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l, uppfyller kraven i 2016 Ă„rs dataskyddsdirektiv pĂ„ hur re- gleringen ska vara utformad.

I propositionen konstateras ocksÄ att det oftast framgÄr av sam- manhanget för vilket ÀndamÄl personuppgifter behandlas (t.ex. för förundersökningen om ett visst brott, handlÀggningen av ett visst mÄl eller Àrende eller verkstÀlligheten av ett visst straff). Behovet av att upplysa om för vilka ÀndamÄl personuppgifter behandlas gör sig framför allt gÀllande i den del av den brottsbekÀmpande verksam- heten dÀr det lÄngtifrÄn alltid framgÄr av omstÀndigheterna för vilket ÀndamÄl personuppgifter behandlas, t.ex. i underrÀttelseverksam- heten. Det bör finnas möjlighet att kunna kontrollera för vilket eller vilka ÀndamÄl personuppgifter behandlas oavsett i vilken verksamhet det görs. Det underlÀttar bÄde för den enskilde och för tillsynsmyn- digheten om ÀndamÄlet Àr tydligt. Om det ÀndamÄl för vilket person- uppgifter behandlas inte framgÄr av sammanhanget eller pÄ annat sÀtt, bör det dÀrför tydliggöras genom en sÀrskild upplysning. En bestÀmmelse om det bör, enligt propositionen, tas in i brottsdata- lagen.

227

SkyddsÄtgÀrder

SOU 2018:52

14.2.4Finalitetsprincipen

Av artikel 5.1 b i dataskyddsförordningen framgÄr att personuppgif- ter inte fÄr behandlas pÄ ett sÀtt som Àr oförenligt med de ÀndamÄl för vilka de samlats in, samt att ytterligare behandling för arkivÀnda- mÄl av allmÀnt intresse, vetenskapliga eller historiska forsknings- ÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ÀndamÄlen. Principen som kommer till uttryck i artikeln brukar kallas finalitetsprincipen.

I artikel 6.4 i dataskyddsförordningen anges vilken bedömning den personuppgiftsansvarige ska göra för att faststÀlla om en vidare- behandling för andra ÀndamÄl Àr förenlig med det ÀndamÄl för vilket personuppgifterna ursprungligen samlades in. Den personuppgifts- ansvarige ska beakta kopplingar mellan de ÀndamÄl för vilka person- uppgifterna har samlats in och ÀndamÄlen med den avsedda ytter- ligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, sÀrskilt förhÄllandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas art, sÀrskilt huruvida sÀrskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 i dataskyddsförordningen eller huruvida personuppgifter om fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott behandlas i enlighet med artikel 10 i dataskyddsförordningen, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen samt förekomsten av lÀmpliga skyddsÄtgÀrder, vilket kan inbegripa kryptering eller pseudonymisering.

Av skÀl 50 till dataskyddsförordningen framgÄr att vid behand- ling som inte hindras av finalitetsprincipen krÀvs det inte nÄgon annan separat rÀttslig grund Àn den med stöd av vilken insamlingen av personuppgifter medgavs.

14.2.5ÖvervĂ€ganden

Utredningens förslag: Myndighetschefen ska besluta om sÀrskil- da ÀndamÄl för behandlingen av personuppgifter i varje projekt. Utan ett sÄdant beslut fÄr personuppgifter inte behandlas i upp- följnings- och analysverksamheten. Beslutet ska offentliggöras pÄ lÀmpligt sÀtt.

228

SOU 2018:52

SkyddsÄtgÀrder

För att personuppgifter som har samlats in för ett beslutat ÀndamÄl i ett projekt ska fÄ behandlas för ett annat ÀndamÄl, krÀvs att myndighetschefen har beslutat om det.

Beslut om ÀndamÄlen

Utredningen konstaterar att Ă€ndamĂ„lsbestĂ€mningen Ă€r central vid all behandling av personuppgifter. Att faststĂ€lla vilka Ă€ndamĂ„l som Ă€r tillĂ„tna – och dĂ€rmed utesluta möjligheten att behandla personupp- gifter för andra Ă€ndamĂ„l – hindrar den personuppgiftsansvarige frĂ„n att behandla personuppgifter pĂ„ ett sĂ€tt som inte Ă€r avsett och innebĂ€r dĂ€rmed en begrĂ€nsning av risken för intrĂ„ng i den personliga integriteten. ÄndamĂ„len Ă€r ocksĂ„ avgörande bl.a. för vilka person- uppgifter som fĂ„r behandlas.

För att det ska gÄ att bedöma vilka personuppgifter som Àr rele- vanta och adekvata att behandla för ett visst ÀndamÄl, mÄste dock ÀndamÄlet vara tillrÀckligt specifikt för att ge ledning för den bedöm- ningen. Myndigheten för vÄrd- och omsorgsanalys uppdrag, som avser uppföljningar och analyser av hÀlso- och sjukvÄrd, tandvÄrd och omsorg, Àr mycket brett. För att myndigheten ska kunna utföra sitt uppdrag krÀvs att den har möjlighet att behandla alla möjliga olika slags personuppgifter för vitt skilda ÀndamÄl. Det Àr vÀldigt svÄrt, eller omöjligt, att i författning konkretisera dessa ÀndamÄl utan att de blir för vida och oprecisa. Motsvarande svÄrigheter har funnits vid tidigare lagstiftningsarbeten.

Utredningen gör bedömningen att det inte Àr möjligt att för myndighetens verksamhet i lag faststÀlla tillrÀckligt avgrÀnsade och förutsÀgbara ÀndamÄl för den behandling av personuppgifter som bör vara tillÄten. SÄdana bestÀmmelser skulle bli alltför oprecisa och dÀrmed ocksÄ innebÀra oproportionerliga undantag frÄn rÀtten till skydd mot betydande intrÄng i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen.

I stÀllet för att ange ÀndamÄl som utgör en ram för behandlingen och snarare Àr en del av den rÀttsliga grunden Àn ett preciserat Ànda- mÄl, föreslÄr utredningen att myndigheten pÄ egen hand ska ange sÀrskilda ÀndamÄl för behandlingen av personuppgifter i varje pro- jekt i uppföljnings- och analysverksamheten. Myndigheten har dÄ möjlighet att bestÀmma ett vÀl avgrÀnsat och preciserat ÀndamÄl för

229

SkyddsÄtgÀrder

SOU 2018:52

varje enskilt projekt. Ett ÀndamÄl kan för ett projekt vara att göra en koncentrerad analys av en viss problemstÀllning med en tydlig avgrÀnsning i tid och för ett annat projekt att följa vissa individer och göra en jÀmförelse över tid.

Utredningen föreslÄr ocksÄ att ÀndamÄlsbestÀmningen ska ske i form av ett beslut. Det Àr lÀmpligt att beslutanderÀtten lÀggs pÄ en sÄ hög nivÄ som möjligt i myndigheten. DÀrför bör det vara den myn- dighetschef som ska finnas enligt myndighetens instruktion som ska fatta beslutet. Genom en formaliserad hantering och ett krav pÄ ett sÀrskilt beslut av myndighetschefen, skapas goda förutsÀttningar för att ÀndamÄlsbestÀmningen föregÄs av en noggrann behovs- och pro- portionalitetsanalys.

För att personuppgifter ska fĂ„ behandlas i ett projekt i verksam- heten med uppföljning och analys krĂ€vs sĂ„ledes att det har fattats ett beslut om Ă€ndamĂ„l för behandlingen. Det beslutet ska ocksĂ„ innehĂ„lla ett stĂ€llningstagande till vilka kategorier av personuppgifter som fĂ„r behandlas om vilka kategorier av personer, se avsnitt 14.3. Även nĂ€r behandlingen mĂ„ste prövas av Etikprövningsmyndigheten eller Över- klagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor krĂ€vs ett sĂ„dant beslut.

Beslutet om ÀndamÄl m.m. bör vidare offentliggöras av myndig- heten pÄ lÀmpligt sÀtt, t.ex. genom att innehÄllet i beslutet publiceras pÄ myndighetens webbsida. PÄ sÄ sÀtt kan allmÀnheten ta del av infor- mation om de behandlingar av personuppgifter som myndigheten företar. En registrerad bereds dÀrmed ocksÄ möjlighet att invÀnda mot behandling av sÄdana personuppgifter som avser honom eller henne (se avsnitt 14.4). Dessutom kan andra intresserade fÄ reda vilka ana- lys- och uppföljningsÀndamÄl som myndigheten arbetar med. BestÀm- melsen om offentliggörandet Àr dock bara av ordningskaraktÀr och ett ÄsidosÀttande av den innebÀr inte att behandlingen enligt beslutet strider mot den föreslagna lagen och kan föranleda skadestÄnd. BestÀmmelsen kan med stöd av 8 kap. 7 § regeringsformen lÀmpligen tas in i en förordning i anslutning till den föreslagna lagen.

Det bör noteras att myndigheten, i samband med ÀndamÄls- bestÀmningen, Àven mÄste ta stÀllning till om en konsekvensbedöm- ning avseende dataskydd behöver upprÀttas. Av artikel 35.1 i data- skyddsförordningen framgÄr att om en typ av behandling, sÀrskilt med anvÀndning av ny teknik och med beaktande av dess art, om- fattning, sammanhang och ÀndamÄl, sannolikt leder till en hög risk

230

SOU 2018:52

SkyddsÄtgÀrder

för fysiska personers rÀttigheter och friheter ska den personupp- giftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker. En konsekvensbedömning krÀvs enligt 35.3 i dataskyddsförordningen sÀrskilt bl.a. vid behandling i stor omfatt- ning av kÀnsliga uppgifter eller uppgifter om lagövertrÀdelser. Om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk om inte ÄtgÀrder vidtas för att minska risken, ska myn- digheten enligt artikel 36 i dataskyddsförordningen dessutom sam- rÄda med tillsynsmyndigheten före behandling.

Beslut om ÄteranvÀndning av personuppgifter

Personuppgifter som har samlats in för ett visst Ă€ndamĂ„l i ett projekt fĂ„r anvĂ€ndas i ett annat projekt bara om det Ă€r förenligt med tillĂ€mp- liga regler. Det Ă€r lĂ„ngt ifrĂ„n sjĂ€lvklart att personuppgifter som redan finns hos myndigheten i ett projekt kan anvĂ€ndas i andra projekt. Behandlingen av personuppgifterna i det andra projektet mĂ„ste t.ex. vara förenlig med det ursprungliga Ă€ndamĂ„let i enlighet med finali- tetsprincipen i artikel 5.1 b i dataskyddsförordningen. Bedömningen av förenligheten ska göras, i enlighet med vad som framgĂ„r av arti- kel 6.4 i dataskyddsförordningen, med beaktande av kopplingar mellan Ă€ndamĂ„len, sammanhanget inom vilket personuppgifterna har samlats in och sĂ€rskilt förhĂ„llandet mellan de registrerade och den person- uppgiftsansvarige, personuppgifternas art – om det rör sig om kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€delser, eventuella kon- sekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lĂ€mpliga skyddsĂ„tgĂ€rder.

Om det rör sig om kĂ€nsliga personuppgifter, uppgifter om lag- övertrĂ€delser eller en sĂ„ stor omfattning av personuppgifter att de tillsammans medför en kartlĂ€ggning av de registrerade och ett bety- dande intrĂ„ng i deras personliga integritet, kan behandlingen av per- sonuppgifterna dessutom behöva prövas av Etikprövningsmyndig- heten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor innan person- uppgifterna kan anvĂ€ndas för nya Ă€ndamĂ„l i ett annat projekt, om det inte finns ett samtycke som omfattar det nya Ă€ndamĂ„let.

231

SkyddsÄtgÀrder

SOU 2018:52

Det kan ocksĂ„ finnas behov av att justera tidigare beslutade Ă€nda- mĂ„l i ett befintligt projekt. För att personuppgifter som redan samlats in för ett visst Ă€ndamĂ„l ska fĂ„ behandlas för ett nytt Ă€ndamĂ„l, krĂ€vs att behandlingen inte Ă€r oförenlig med det ursprungliga Ă€nda- mĂ„let. Även nĂ€r Ă€ndamĂ„let Ă€ndras i ett och samma projekt Ă€r alltsĂ„ finalitetsprincipen tillĂ€mplig. Om justeringen av Ă€ndamĂ„let Ă€r vĂ€sent- lig, kan det dessutom krĂ€vas en ny prövning av Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor.

Vid behandling av personuppgifter för ett nytt Ă€ndamĂ„l, ska behandlingen – pĂ„ samma sĂ€tt som vad som föreslĂ„s gĂ€lla i frĂ„ga om den ursprungliga Ă€ndamĂ„lsbestĂ€mningen och av samma skĂ€l – före- gĂ„s av ett formaliserat beslut. För att personuppgifter som har samlats in för ett sĂ€rskilt beslutat Ă€ndamĂ„l i ett projekt ska fĂ„ behandlas i ett annat projekt eller för andra Ă€ndamĂ„l i övrigt, bör sĂ„ledes krĂ€vas att myndighetschefen har beslutat om det. Om personuppgifterna ska behandlas i ett nytt projekt, mĂ„ste myndighetschefen förstĂ„s ocksĂ„ fatta ett sĂ„dant beslut om Ă€ndamĂ„l m.m. som tidigare nĂ€mnts för det nya projektet.

Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare be- handling för bl.a. statistiska ÀndamÄl i enlighet med artikel 89.1 i dataskyddsförordningen inte anses vara oförenlig med de ursprung- liga ÀndamÄlen. Med statistiska ÀndamÄl avses varje ÄtgÀrd som vidtas för den insamling och behandling av personuppgifter som Àr nöd- vÀndig för statistiska undersökningar eller för framstÀllning av statistiska resultat (skÀl 162). Ett statistiskt ÀndamÄl innebÀr, enligt samma skÀl, att resultatet av behandlingen inte bestÄr av personupp- gifter, utan av aggregerade personuppgifter, och att resultatet eller personuppgifterna inte anvÀnds till stöd för ÄtgÀrder eller beslut som avser en sÀrskild fysisk person. Som utredningen konstaterar i av- snitt 7.2.5 och 17.3 kan stora delar av den analysverksamhet som Myndigheten för vÄrd och omsorgsanalys Àgnar sig Ät anses mot- svara statistisk verksamhet. Ytterligare behandling av personupp- gifter i sÄdan verksamhet hos Myndigheten för vÄrd- och omsorgs- analys ska sÄledes som huvudregel anses vara förenlig med de ÀndamÄl som personuppgifterna ursprungligen behandlades för. Det kan argumenteras för att det inte skulle krÀvas ett sÀrskilt beslut av myndighetschefen i sÄdana fall. Utredningen bedömer dock att det Àr lÀmpligt med enhetliga regler och att det dÀrför ska krÀvas ett

232

SOU 2018:52

SkyddsÄtgÀrder

beslut av myndighetschefen för att personuppgifter som har samlats in för ett beslutat ÀndamÄl i ett projekt ska fÄ behandlas för ett annat ÀndamÄl, Àven om den ytterligare behandlingen ska ske för statistiska ÀndamÄl.

14.3Personuppgifter som fÄr behandlas

Utredningens förslag: För varje projekt i uppföljnings- och analysverksamheten ska myndighetschefen besluta om vilka kate- gorier av personuppgifter som fÄr behandlas om vilka kategorier av personer. Utan ett sÄdant beslut fÄr personuppgifter inte be- handlas. Beslutet ska offentliggöras pÄ lÀmpligt sÀtt.

Personuppgifter ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för omfattande i förhÄllande till de ÀndamÄl för vilka de behandlas. Denna princip om uppgiftsminimer- ing begrÀnsar den tillÄtna behandlingen av personuppgifter till att avse endast de personuppgifter som behövs för att uppnÄ ÀndamÄlet med behandlingen. Det Àr den personuppgiftsansvarige som ska se till att behandlingen av personuppgifter inte omfattar fler person- uppgifter Àn nödvÀndigt.

Myndigheten för vĂ„rd- och omsorgsanalys faststĂ€ller inför varje projekt ett projektdirektiv och en projektplan med en detaljerad beskrivning av bl.a. syfte, mĂ„l, frĂ„gestĂ€llningar, omfattning, avgrĂ€ns- ningar, bakgrund, intressenter, samverkan och beroenden till andra projekt, metod och beskrivning av datainsamling, aktivitets- och tids- plan, juridiska och etiska aspekter samt riskanalys (se avsnitt 4.2.2). Redan tidigt i arbetet bör dĂ€rför myndigheten kunna faststĂ€lla inte bara Ă€ndamĂ„let för behandlingen av personuppgifter utan Ă€ven vilka kategorier av personuppgifter om vilka kategorier av personer som Ă€r relevanta och adekvata att behandla. För att Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning alterna- tivt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor ska kunna göra en prövning av projektet behöver myndigheten dessutom pĂ„ ett tidigt stadium tydliggöra vilka personuppgifter som myndigheten ser behov av att kunna behandla.

233

SkyddsÄtgÀrder

SOU 2018:52

Utredningen har i avsnitt 14.2 föreslagit att Myndigheten för vÄrd- och omsorgsanalys ska fatta ett formaliserat beslut om sÀrskil- da ÀndamÄl för behandlingen av personuppgifter i varje projekt i uppföljnings- och analysverksamheten. I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslÄr utredningen att myndigheten, utöver att faststÀlla ett ÀndamÄl för behandlingen av personuppgifter, Àven ska besluta om vilka personuppgifter som ska behandlas om vilka personer inom ramen för projektet. Det behöver inte framgÄ exakt vilka personuppgifter eller personer det rör sig om utan det rÀcker med en angivelse pÄ kategorinivÄ, t.ex. uppgifter om födelseÄr, kön och utbildningsnivÄ rörande personer med en viss diagnos, bosatta inom ett visst lÀn. Beslutet bör, i likhet med beslutet om ÀndamÄl, fattas av myndighetschefen. LÀmpligen fattas ett enda beslut om ÀndamÄl och kategorier för varje projekt.

PÄ samma sÀtt som föreslÄs gÀlla i frÄga om beslutet om ÀndamÄl, bör beslutet om vilka kategorier av personuppgifter som behöver behandlas om vilka kategorier av personer offentliggöras, exempel- vis genom att beslutets innehÄll publiceras pÄ myndighetens webb- sida. Genom beslutet blir behandlingen av personuppgifter tydlig, begrÀnsad och förutsebar och genom offentliggörandet skapas trans- parens.

14.4Behandling som den registrerade invÀnder mot

Utredningens bedömning: Det finns inget behov av en sÀrskild bestÀmmelse som anger vad som ska gÀlla om den registrerade invÀnder mot behandling av personuppgifter.

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skÀl som hÀnför sig till hans eller hennes specifika situation, ha rÀtt att nÀr som helst göra invÀndningar mot behandling av person- uppgifter avseende honom eller henne som grundar sig pÄ arti- kel 6.1 e (allmÀnt intresse respektive myndighetsutövning) eller f (intresseavvÀgning) i dataskyddsförordningen. Den personuppgifts- ansvarige fÄr dÄ inte lÀngre behandla personuppgifterna om denne inte kan pÄvisa avgörande berÀttigade skÀl för behandlingen som vÀger tyngre Àn den registrerades intressen, rÀttigheter eller friheter

234

SOU 2018:52

SkyddsÄtgÀrder

eller om det sker för faststÀllande, utövande eller försvar av rÀttsliga ansprÄk.

Myndigheten för vÄrd- och omsorgsanalys behandlar som regel personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen (se avsnitt 7.1.3). Den registrerade har alltsÄ enligt den direkt tillÀmp- liga dataskyddsförordningen rÀtt att invÀnda mot sÄdan behandling.

Flera författningar som styr behandlingen av personuppgifter vid myndigheter som utför analyser och utvÀrderingar, innehÄller bestÀm- melser om att den enskilde inte ska kunna motsÀtta sig behandling av personuppgifter. Exempel pÄ sÄdana bestÀmmelser Àr 2 a § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknads- politiska verksamheten, 2 a § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsÀkringen och 3 § första stycket lagen (2012:741) om behandling av personupp- gifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering. Av bestÀmmelserna framgÄr att artikel 21.1 i dataskydds- förordningen om rÀtten att göra invÀndningar inte gÀller vid sÄdan behandling som Àr tillÄten enligt lagen eller föreskrifter som har med- delats i anslutning till lagen. Det gÀller dock inte nÀr personupp- gifterna samlas in direkt frÄn den enskilde. UndantagsbestÀmmelserna motiveras huvudsakligen med att en rÀtt att göra invÀndningar skulle innebÀra försÀmrade förutsÀttningar för myndigheterna, i det hÀr fallet Arbetsförmedlingen, Inspektionen för arbetslöshetsförsÀk- ringen och Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering, att fullgöra sina uppgifter eftersom myndigheterna i enskilda fall skulle behöva pÄvisa avgörande berÀttigade skÀl för behandlingen som vÀger tyngre Àn den registrerades intressen, rÀttig- heter och friheter innan myndigheterna kan fortsÀtta behandla personuppgifterna (artikel 21.1 i dataskyddsförordningen).16 I frÄga om de aktuella myndigheterna fÄr det antas att intresset att frÀmja en vÀl fungerande arbetsmarknad vid en prövning i det enskilda fallet regelmÀssigt kommer att anses vÀga tyngre Àn den registrerades intressen. Det kan dessutom, nÀr det gÀller Arbetsförmedlingens verksamhet, vara svÄrt frÄn den enskildes perspektiv att överblicka konsekvenserna av att denne invÀnder mot behandlingen. Det kan t.ex. vara sÄ att en arbetsmarknadspolitisk insats som den enskilde behöver inte kan ges, eftersom Arbetsförmedlingen inte kan be- handla nödvÀndiga personuppgifter efter att den enskilde har invÀnt.

16Prop. 2017/18:112 s. 51 f.

235

SkyddsÄtgÀrder

SOU 2018:52

En rÀtt för den registrerade att invÀnda mot behandlingen av per- sonuppgifter om honom eller henne kan alltsÄ pÄverka effektiviteten i myndigheternas verksamhet negativt samtidigt som den kan fÄ oförutsedda och oönskade effekter för den enskilde.

I ett remitterat utkast till lagrÄdsremiss om behandling av person- uppgifter pÄ forskningsomrÄdet Àr bedömningen att rÀtten att göra invÀndningar enligt artikel 21 i dataskyddsförordningen inte kan anses göra det omöjligt eller mycket svÄrare att uppfylla forsknings- ÀndamÄl, mot bakgrund av de begrÀnsade situationer dÄ rÀtten att invÀnda Àr tillÀmplig. RÀtten att invÀnda mot behandling Àr en viktig rÀttighet för den registrerade och bör dÀrför finnas i de fÄ fall den möjliggörs vid behandling av personuppgifter för forskningsÀnda- mÄl. NÄgot undantag frÄn rÀtten att invÀnda mot behandling av per- sonuppgifter för forskningsÀndamÄl ska, enligt utkastet, inte införas i svensk rÀtt.17

En viktig del i rĂ€tten att göra invĂ€ndningar Ă€r att den personupp- giftsansvarige ska informera den registrerade om att behandlingen Ă€ger rum. Utan vetskap om behandlingen av personuppgifter kan den registrerade inte tillvarata sin rĂ€tt att invĂ€nda mot behandlingen. Av artikel 21.4 i dataskyddsförordningen framgĂ„r att rĂ€tten att invĂ€n- da mot behandling ska meddelas senast vid den första kommunikatio- nen med den registrerade. I artiklarna 12–15 i dataskyddsförordningen anges pĂ„ vilka sĂ€tt den enskilde ska informeras om sina rĂ€ttigheter i samband med att personuppgifter behandlas. DĂ€rav framgĂ„r ocksĂ„ att det finns vissa möjligheter till undantag frĂ„n skyldigheten att informera. Den personuppgiftsansvarige behöver t.ex. inte, nĂ€r upp- gifterna erhĂ„llits frĂ„n annan Ă€n den registrerade, informera den registrerade om det skulle visa sig vara omöjligt eller skulle medföra en oproportionerlig anstrĂ€ngning (artikel 14.5 b i dataskyddsförord- ningen).

En del av de personuppgifter som Myndigheten för vÄrd- och omsorgsanalys inhÀmtar Àr i sÄdan form att de inte Àr direkt hÀn- förliga till enskilda. För att kunna informera en registrerad om att dennes personuppgifter behandlas hos myndigheten, skulle det i dessa fall vara nödvÀndigt att försöka hÀrleda personuppgifterna till en enskild person. Myndigheten inhÀmtar ocksÄ stora uppgifts- mÀngder rörande mÄnga personer. Det skulle sannolikt i bÄda fallen medföra en oproportionerlig anstrÀngning att informera samtliga

17Utkast till lagrÄdsremiss dnr U2018/01639/F s. 113.

236

SOU 2018:52

SkyddsÄtgÀrder

registrerade, vilket i sin tur innebÀr att undantaget frÄn kravet pÄ information i artikel 14.5 b i dataskyddsförordningen Àr tillÀmpligt.

Enligt utredningens förslag i avsnitt 14.2.5 och 14.3 ska beslut om ÀndamÄl för behandling av personuppgifter och begrÀnsningar av vilka kategorier av personuppgifter om vilka kategorier av personer som fÄr behandlas i ett visst projekt offentliggöras. Detta kan exem- pelvis ske genom publicering pÄ myndighetens webbsida. PÄ sÄ sÀtt görs ÀndÄ viss, om Àn inte fullstÀndig, information om behandlingen tillgÀnglig för allmÀnheten och dÀrmed Àven de registrerade.

Myndigheten för vÄrd- och omsorgsanalys lÀmnar följaktligen ofta ingen fullstÀndig information om behandlingen av personupp- gifter till de registrerade, förutom nÀr behandlingen sker med stöd av samtycke. Utredningen bedömer att det i sig inte utgör ett skÀl för att föreslÄ en bestÀmmelse som inskrÀnker den registrerades rÀtt enligt dataskyddsförordningen att invÀnda mot behandling av per- sonuppgifter. Myndigheten har inte heller gjort ansprÄk pÄ att kunna behandla personuppgifter Àven nÀr den enskilde invÀnder mot behandlingen. Om en registrerad kontaktar myndigheten och invÀn- der mot behandling av hans eller hennes personuppgifter, bör myn- digheten dÀrför sÄ lÄngt det Àr möjligt avbryta den behandling av personuppgifter som invÀndningen avser, sÄvida inte tvingande berÀt- tigade skÀl som vÀger tyngre Àn den registrerades intressen kan pÄ- visas.

Enligt artikel 11.1 i dataskyddsförordningen ska den personupp- giftsansvarige inte vara tvungen att bevara, förvÀrva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen, om de ÀndamÄl för vilka den personuppgiftsansvarige behandlar personuppgifter inte krÀver eller inte lÀngre krÀver att den registrerade identifieras av den personupp- giftsansvarige. Om den omstÀndigheten att uppgifterna Àr pseudo- nymiserade nÀr de inkommer till myndigheten förhindrar en kon- troll av om personuppgifter rörande en viss person behandlas av myndigheten, Àr myndigheten sÄledes inte skyldig att inhÀmta ytter- ligare personuppgifter enbart för att uppfylla rÀtten att göra invÀnd- ningar. Med hÀnsyn till att rÀtten att göra invÀndningar inte förutsÀtter nationell reglering och att det med stöd av artikel 11 i dataskydds- förordningen finns möjlighet att avstÄ frÄn att hÀrleda pseudo- nymiserade personuppgifter till en enskild, bedömer utredningen att det inte behövs en sÀrskild bestÀmmelse som anger vad som ska gÀlla

237

SkyddsÄtgÀrder

SOU 2018:52

om den registrerade invÀnder mot behandling av personuppgifter. Om en registrerad invÀnder mot behandling av personuppgifter, ska i stÀllet den direkt tillÀmpliga dataskyddsförordningen tillÀmpas.

14.5Pseudonymisering

Utredningens förslag: Personuppgifter som behandlas i ett pro- jekt ska pseudonymiseras. Myndighetschefen fÄr för ett sÀrskilt fall besluta om undantag frÄn kravet pÄ pseudonymisering, i den utstrÀckning ÀndamÄlet med behandlingen inte kan uppnÄs med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för nÀr och hur pseudonymiserade personuppgifter fÄr göras identifier- bara och förbud mot att i andra fall sammanföra sÄdana per- sonuppgifter med personuppgifter som Àr direkt hÀnförliga till individer.

Pseudonymisering nÀmns sÀrskilt i artikel 25 och 32 i dataskydds- förordningen som ett exempel pÄ en lÀmplig teknisk och organisa- torisk ÄtgÀrd som den personuppgiftsansvarige ska vidta för att uppfylla kraven i dataskyddsförordningen, skydda den registrerades rÀttigheter och sÀkerstÀlla en sÀkerhetsnivÄ som Àr lÀmplig i förhÄl- lande till risken. Med pseudonymisering avses enligt definitionen i artikel 4 punkt 5 i dataskyddsförordningen behandling av person- uppgifter pÄ ett sÀtt som innebÀr att personuppgifterna inte lÀngre kan tillskrivas en specifik registrerad utan att kompletterande upp- gifter anvÀnds. Detta gÀller under förutsÀttning att dessa komplet- terande uppgifter förvaras separat och Àr föremÄl för tekniska och organisatoriska ÄtgÀrder som sÀkerstÀller att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Pseudonymiserade uppgifter Àr alltsÄ uppgifter som inte direkt kan hÀnföras till en person. Ofta rÀcker det att ta bort uppgifter om namn och personnummer, men om olika variabler, t.ex. uppgifter om kön, bostadsort och diagnos, kan möjliggöra s.k. bakvÀgsidenti- fiering, kan det Àven krÀvas att nÄgra av dessa variabler tas bort.

Efter pseudonymisering rör det sig fortfarande om person- uppgifter eftersom man behÄller möjligheten att Äteridentifiera indi- viderna med hjÀlp av kompletterande uppgifter som förvaras separat.

238

SOU 2018:52

SkyddsÄtgÀrder

De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis Àr kopplade till löpnummer, och direkta personuppgifter.

Pseudonymisering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, eftersom ÄtgÀrden innebÀr att den personuppgiftsansvarige inte behandlar fler direkt identi- fierande personuppgifter Àn vad som Àr nödvÀndigt för ÀndamÄlet med behandlingen. Krav pÄ pseudonymisering Àr ocksÄ i överens- stÀmmelse med villkoren i principen om integritet och konfiden- tialitet i artikel 5.1 f i dataskyddsförordningen som anger att person- uppgifter ska behandlas pÄ ett sÀtt som sÀkerstÀller lÀmplig sÀkerhet för uppgifterna med anvÀndning av lÀmpliga tekniska och organisa- toriska ÄtgÀrder.

Myndigheten har i sin uppföljnings- och analysverksamhet behov av att behandla ett stort antal kÀnsliga personuppgifter. Det rör sig om personuppgifter frÄn vÄrden, kvalitetsregister och Socialstyrel- sens hÀlsodataregister i form av bl.a. uppgifter om diagnos, hÀlso- status och livslÀngd. Det handlar Àven om personuppgifter frÄn socialtjÀnsten. DÀrutöver behöver myndigheten behandla bl.a. socio- ekonomiska uppgifter, t.ex. uppgifter om utbildning, ekonomi, bi- drag, sysselsÀttning och sysselsÀttningsgrad, demografiska uppgifter, t.ex. Älder, kön, bostadsuppgifter, civilstÄnd och familj, och social- försÀkringsuppgifter, t.ex. uppgifter om sjukskrivning och innehav av privat sjukförsÀkring. Beroende pÄ behandlingens omfattning och personuppgifternas karaktÀr, kan det i vissa fall röra sig om kart- lÀggning av individer. I syfte att minska det intrÄng i den personliga integriteten som behandlingen av personuppgifter medför, pseudo- nymiserar myndigheten redan i dag personuppgifter som behandlas i uppföljnings- och analysverksamheten. Den krypterade kodnyckeln förvaras inlÄst och endast ett fÄtal anstÀllda har tillgÄng till den.

Utredningen anser att tillvÀgagÄngssÀttet med pseudonymisering bör införas som ett krav och att samtliga personuppgifter som huvudregel ska pseudonymiseras i anslutning till att de kommer in till myndigheten. Om ÀndamÄlet med behandlingen av personupp- gifter i nÄgot fall inte kan uppnÄs med pseudonymiserade uppgifter, bör dock myndighetschefen ha möjlighet att i ett enskilt fall besluta om att personuppgifter inte ska pseudonymiseras. Ett exempel kan vara att personuppgifterna behövs för att kontakta de registrerade t.ex. för att sÀnda dem ett frÄgeformulÀr. I sÄdana fall kan ett beslut

239

SkyddsÄtgÀrder

SOU 2018:52

om att de personuppgifter som behövs för kommunikationen inte ska pseudonymiseras lÀmpligen fattas i samband med att beslut om ÀndamÄlen m.m. fattas (se avsnitt 14.2.5).

Pseudonymiserade uppgifter bör, för att upprÀtthÄlla sÀkerheten, Àven fortsÀttningsvis behandlas i pseudonymiserad form. Utred- ningen anser dÀrför att personuppgifterna ska göras identifierbara igen endast om det finns starka skÀl för detta. SÄdana skÀl kan t.ex. vara att det av omstÀndigheter hÀnförliga till arbetsmetodik, t.ex. behov av samkörning, finns tydliga behov av att hÀnföra uppgifterna till individer. Detta kan dÄ eventuellt ske under begrÀnsade och sÀkerstÀllda former. För att tydliggöra hanteringen i de situationer dÄ det Àr motiverat att frÄngÄ pseudonymiseringen bör myndighets- chefen besluta om riktlinjer och villkor för nÀr och hur pseudonymi- serade personuppgifter fÄr göras identifierbara. Riktlinjerna och vill- koren mÄste förstÄs vara förenliga med gÀllande rÀtt. Av riktlinjerna och villkoren bör Àven framgÄ pÄ vilket sÀtt myndigheten sÀkerstÀller pseudonymiseringen, t.ex. genom att en kodnyckel förvaras separat frÄn övriga personuppgifter och med en begrÀnsad Ätkomst.

De pseudonymiserade uppgifterna bör inte i andra fall Àn de som noggrant övervÀgts och beslutats om av myndighetschefen fÄ sam- manföras med direkta personuppgifter. Utredningen föreslÄr dÀrför att myndighetschefen ska införa ett förbud mot att, i andra fall Àn de som uttryckligen framgÄr av de av myndighetschefen beslutade rikt- linjerna och villkoren, sammanföra pseudonymiserade personupp- gifter med personuppgifter som Àr direkt hÀnförliga till individer.

14.6Behörighetsstyrning

Utredningens förslag: Behörighet för Ă„tkomst till personuppgif- ter ska begrĂ€nsas till vad som behövs för att den enskilde tjĂ€nstemannen ska kunna fullgöra sina arbetsuppgifter. Myndig- hetschefen ska bestĂ€mma villkoren för tilldelning av behörighet för Ă„tkomst till personuppgifter. Åtkomsten till personuppgifter ska registreras och det ska finnas en funktion vid myndigheten som regelbundet kontrollerar registreringarna i syfte att upptĂ€cka och Ă„tgĂ€rda obehörig Ă„tkomst.

240

SOU 2018:52

SkyddsÄtgÀrder

En grundlÀggande princip inom dataskydd Àr att personuppgifter ska behandlas endast av den som har berÀttigade skÀl att göra det. Den som Àr anstÀlld vid Myndigheten för vÄrd- och omsorgsanalys fÄr sÄledes inte medges obegrÀnsad tillgÄng till alla personuppgifter som behandlas i samtliga projekt inom uppföljnings- och analysverksam- heten. Behörigheten att ta del av personuppgifter ska alltid vara begrÀnsad till den Ätkomst till personuppgifter som behövs för att den enskilde tjÀnstemannen ska kunna fullgöra sina arbetsuppgifter. I vilken omfattning en enskild tjÀnsteman behöver ha tillgÄng till personuppgifter för att kunna fullgöra sina arbetsuppgifter och vilka enskilda personuppgifter som han eller hon ska fÄ tillgÄng till fÄr avgöras frÄn fall till fall. Det krÀvs sÄledes att myndigheten aktivt tar stÀllning till vilket behov ett visst tjÀnsteÄliggande eller uppdrag innebÀr och att tjÀnstemannen tilldelas behörigheter till olika upp- giftssamlingar utifrÄn detta. Det kan finnas skÀl att förÀndra be- hörigheterna över tid, beroende pÄ hur arbetet vid myndigheten Àr organiserat och beroende pÄ vilka projekt som bedrivs.

För att det ska bli tydligt vad som gÀller i frÄga om behörighets- tilldelning bör myndighetschefen bestÀmma villkoren för tilldelning av behörighet för Ätkomst till personuppgifter.

De enskilda besluten om tilldelning av behörighet behöver inte fattas av myndighetschefen. Besluten bör dokumenteras pÄ ett sÄdant sÀtt att det tydligt framgÄr vilken behörighet som tilldelats en viss tjÀnsteman, att den anstÀllde faktiskt tagit del av och förstÄtt innebörden av beslutet om tilldelning av behörighet och informatio- nen om att Ätkomsten loggas samt att loggarna kontrolleras regel- bundet. Ett skÀl till detta Àr att övertrÀdelser av behörighetsbegrÀns- ningar aktualiserar straffansvar. Enligt 4 kap. 9 c § brottsbalken döms den som olovligen bereder sig tillgÄng till en uppgift som Àr avsedd för automatiserad behandling eller olovligen Àndrar, utplÄnar, blockerar eller i register för in en sÄdan uppgift för dataintrÄng till böter eller fÀngelse i högst tvÄ Är. Detsamma gÀller den som olovligen genom nÄgon annan liknande ÄtgÀrd allvarligt stör eller hindrar anvÀnd- ningen av en sÄdan uppgift. FrÄn och med den 1 juli 2014 har dess- utom införts en sÀrskild straffskala och rubricering för grovt data- intrÄng. BestÀmmelsen om dataintrÄng förutsÀtter inte att intrÄnget sker i ett visst syfte, t.ex. för att hÀmta information eller för att Ästadkomma skada eller nÄgon annan följd. Det Àr sjÀlva intrÄnget i

241

SkyddsÄtgÀrder

SOU 2018:52

sig som föranleder straff. Det krÀvs inte heller att nÄgon sÀker- hetsÄtgÀrd har övertrÀtts för att det ska finnas straffansvar.18

Beslutet om tilldelning av behörighet bör kompletteras med tekniska begrÀnsningar som förhindrar att tjÀnstemannen elektro- niskt kommer Ät personuppgifter som han eller hon inte har behov av i sitt arbete och följaktligen inte ska ha Ätkomst till. Den tekniska lösning som vÀljs ska garantera att tillrÀcklig sÀkerhet uppnÄs utifrÄn de krav som artikel 32 i dataskyddsförordningen stÀller.

För att kunna upptÀcka och ÄtgÀrda obehörig Ätkomst som inte förhindrats av tekniska begrÀnsningar ska Ätkomsten till personupp- gifter registreras, lÀmpligen i en logg. Det ska ocksÄ finnas en funk- tion vid myndigheten som regelbundet kontrollerar om nÄgon obe- hörig Ätkomst till personuppgifterna har förekommit. Det rÀcker alltsÄ inte att loggarna kontrolleras bara nÀr myndigheten av nÄgon orsak har fÄtt anledning att misstÀnka att obehörig Ätkomst har före- kommit utan kontroller ska ske systematiskt och Äterkommande. Det Àr i första hand upp till myndigheten att bedöma hur funktionen ska arbeta och hur kontrollerna ska genomföras. Att loggning sker och att loggarna kontrolleras regelbundet av myndigheten innebÀr inte bara att obehörig Ätkomst kan upptÀckas och ÄtgÀrdas i efter- hand utan lÀr ocksÄ ha en avhÄllande effekt.

18Berggren m.fl., Brottsbalken – En kommentar (1 juli 2017, Zeteo), kommentaren till 4 kap.

9c § under rubriken IntrÄnget.

242

15 Gallring och bevarande

15.1GÀllande rÀtt

Principen om lagringsminimering i artikel 5.1 e i dataskyddsförord- ningen innebÀr att personuppgifter inte fÄr förvaras i en form som möjliggör identifiering av den registrerade under en lÀngre tid Àn vad som Àr nödvÀndigt för de ÀndamÄl för vilka personuppgifterna behandlas. Personuppgifter fÄr dock lagras under lÀngre perioder i den mÄn personuppgifterna enbart behandlas för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1 i dataskyddsför- ordningen, under förutsÀttning att de lÀmpliga tekniska och orga- nisatoriska ÄtgÀrder som krÀvs enligt dataskyddsförordningen genom- förs för att sÀkerstÀlla den registrerades rÀttigheter och friheter.

För kÀnsliga personuppgifter gÀller specifikt enligt artikel 9.2 j i dataskyddsförordningen att sÄdana uppgifter fÄr behandlas om be- handlingen Àr nödvÀndig för arkivÀndamÄl av allmÀnt intresse, veten- skapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1 i dataskyddsförordningen, pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenlig med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen.

Av artikel 89.1 i dataskyddsförordningen framgÄr att behandling för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl ska omfattas av lÀmpliga skyddsÄtgÀrder i enlighet med dataskyddsförordningen för den regi- strerades rÀttigheter och friheter. SkyddsÄtgÀrderna ska sÀkerstÀlla att tekniska och organisatoriska ÄtgÀrder har införts för att se till att sÀrskilt principen om uppgiftsminimering iakttas. Dessa ÄtgÀrder fÄr

243

Gallring och bevarande

SOU 2018:52

inbegripa pseudonymisering, under förutsÀttning att dessa ÀndamÄl kan uppfyllas pÄ det sÀttet. NÀr dessa ÀndamÄl kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte lÀngre medger identifiering av de registrerade ska ÀndamÄlen uppfyllas pÄ det sÀttet.

Om personuppgifter behandlas för arkivÀndamÄl av allmÀnt in- tresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl, fÄr det enligt artikel 89.2 och 3 i dataskyddsförordningen föreskrivas om undantag frÄn vissa av den registrerades rÀttigheter. Det rör sig om rÀtten till tillgÄng, rÀttelse, begrÀnsning av behandling och invÀndning mot behandling. Undantag fÄr göras om det krÀvs för att uppnÄ ÀndamÄlet med behandlingen. Om personuppgifter behandlas för arkivÀndamÄl av allmÀnt intresse, fÄr undantag Àven göras frÄn kravet pÄ dataportabilitet och kravet pÄ att den person- uppgiftsansvarige ska underrÀtta mottagare av personuppgifter om eventuella rÀttelser, raderingar eller begrÀnsningar av behandling som skett.

Av 3 § arkivlagen (1990:782) framgÄr att en myndighets arkiv, som bl.a. bestÄr av de allmÀnna handlingarna frÄn myndighetens verksamhet, ska bevaras. I förarbetena till dataskyddslagen konsta- teras att vidarebehandling av personuppgifter för arkivÀndamÄl av allmÀnt intresse Àr tillÄten enligt artikel 5.1 b i dataskyddsförord- ningen. Behandlingen anses inte som oförenlig med de ursprungliga ÀndamÄlen och det krÀvs inte nÄgon annan separat rÀttslig grund Àn den som personuppgifterna samlades in för.1 För att kÀnsliga person- uppgifter ska fÄ behandlas för arkivÀndamÄl finns det i dataskydds- lagen en undantagsbestÀmmelse som grundar sig pÄ artikel 9.2 j i dataskyddsförordningen. Enligt 3 kap. 6 § dataskyddslagen ska kÀnsliga personuppgifter fÄ behandlas för arkivÀndamÄl av allmÀnt intresse om behandlingen Àr nödvÀndig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.2 Det finns dÀrmed stöd i dataskyddsförordningen och dataskyddslagen för en myndighets arkivering och bevarande av allmÀnna handlingar.

Det finns undantag frÄn huvudregeln i 3 § arkivlagen om att en myndighets arkiv ska bevaras. Enligt 10 § arkivlagen fÄr allmÀnna handlingar gallras under förutsÀttning att det beaktas att arkiven ut- gör en del av kulturarvet och kvarvarande arkivmaterial Àr tillrÀckligt

1Prop. 2017/18:105 s. 109 f.

2Prop. 2017/18:105 s. 115 f.

244

SOU 2018:52

Gallring och bevarande

för att tillgodose rÀtten att ta del av allmÀnna handlingar, behovet av information för rÀttskipningen och förvaltningen och forskningens behov. I lag eller i förordning kan det finnas avvikande bestÀmmelser om gallring av vissa allmÀnna handlingar. Möjligheten att gallra har begrÀnsats för statliga myndigheter genom 14 § arkivförordningen (1991:446), varav framgÄr att statliga myndigheter fÄr gallra allmÀnna handlingar endast i enlighet med föreskrifter eller beslut av Riks- arkivet, om inte sÀrskilda gallringsföreskrifter finns i lag eller förord- ning.

15.2ÖvervĂ€ganden

Utredningens förslag: Personuppgifter som behandlats i ett pro- jekt ska gallras senast sex mÄnader efter att projektet Àr slutfört, om inte regeringen eller den myndighet som regeringen bestÀm- mer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter fÄr bevaras för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl.

Riksarkivet ska vara den myndighet som ska fÄ besluta om gallring och bevarande.

Om utredningen föreslÄr en bestÀmmelse om gallring, blir det en sÄdan gallringsföreskrift i lag som avses i 10 § arkivlagen och 14 § arkivförordningen och som tillÄter, och föreskriver, gallring utan föreskrift eller beslut av Riksarkivet.

Regler om gallring motiveras i första hand av integritetsskÀl.3 Behandling av personuppgifter ska begrÀnsas genom att personupp- gifterna inte bevaras under en lÀngre tid Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen. Denna princip om lagringsminimering fÄr stÀllas mot behovet av arkivering och offent- lighet och insyn i myndigheternas verksamhet. Myndigheten för vÄrd- och omsorgsanalys kan behandla stora mÀngder personupp- gifter, dÀribland kÀnsliga personuppgifter. Detta talar för att myn- digheten av integritetsskÀl bör ÄlÀggas en skyldighet att gallra per- sonuppgifter som inte lÀngre behövs i myndighetens verksamhet.

3Prop. 1989/90:72 s. 50.

245

Gallring och bevarande

SOU 2018:52

Eftersom merparten av de uppgifter som Myndigheten för vÄrd- och omsorgsanalys ges möjlighet att behandla med stöd av den av ut- redningen föreslagna lagen kommer att hÀmtas in frÄn andra myn- digheter, fÄr vidare intresset av att uppgifterna bevaras anses till- godosett genom att de myndigheter uppgifterna kommer ifrÄn i stor utstrÀckning ska bevara uppgifterna i enlighet med arkivlagen. Utredningen föreslÄr dÀrför att myndigheten som huvudregel ska gallra personuppgifter.

Behovet av att spara personuppgifter som Myndigheten för vÄrd- och omsorgsanalys behandlar i olika projekt kommer naturligtvis att variera. Ibland kan personuppgifter sannolikt gallras löpande medan det i vissa sÀrskilda fall kan finnas behov av att spara underlaget en lÀngre tid. I de allra flesta fall torde dock personuppgifterna kunna gallras senast nÀr det projekt, i vilket personuppgifterna behandlas, avslutas. För att ge myndigheten utrymme att bedöma behovet av och möjligheterna att ÄteranvÀnda personuppgifterna, föreslÄr utred- ningen att personuppgifter som behandlats i ett projekt ska gallras senast sex mÄnader efter att projektet Àr slutfört. Projektet fÄr anses slutfört nÀr en slutrapport offentliggjorts eller myndigheten av annan anledning fattat beslut om att projektet ska avslutas.

Avidentifierade uppgifter, dvs. uppgifter som inte lÀngre kan hÀn- föras till en viss person, Àr inte personuppgifter och behöver inte gallras. Myndigheten har alltsÄ möjlighet att spara avidentifierade uppgifter i syfte att senare göra jÀmförelser med nya uppgifter.

För att personuppgifter ska kunna ÄteranvÀndas i nya projekt som avser uppföljningar och jÀmförelser över tid, bör det finnas möjlighet att meddela föreskrifter om undantag frÄn huvudregeln om gallring. Utredningen föreslÄr dÀrför att regeringen eller den myndighet som regeringen bestÀmmer ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att gallring ska ske senast vid en viss tidpunkt.

Regeringen eller den myndighet regeringen bestĂ€mmer ska dess- utom ha möjlighet att besluta att personuppgifter som ingĂ„r i ett projekt som Ă€r slutfört – och som myndigheten dĂ€rför Ă€r skyldig att gallra – ska kunna bevaras för arkivĂ€ndamĂ„l av allmĂ€nt intresse, veten- skapliga eller historiska forskningsĂ€ndamĂ„l eller statistiska Ă€ndamĂ„l. Det kan t.ex. bli aktuellt om uppgifterna inte finns bevarade hos andra myndigheter.

Det föreslÄs att Riksarkivet ska vara den myndighet som ska fÄ besluta om gallring och bevarande.

246

16BegrÀnsning av skyddet mot betydande intrÄng i den personliga integriteten

Utredningens bedömning: BestÀmmelserna i förslaget till lag om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys innebÀr en tillÄten begrÀnsning av skyddet mot betydande intrÄng i den personliga integriteten.

Av 2 kap. 6 § andra stycket regeringsformen framgÄr att var och en gentemot det allmÀnna Àr skyddad mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr över- vakning eller kartlÀggning av den enskildes personliga förhÄllanden. BegrÀnsningar av skyddet mot betydande intrÄng i den personliga integriteten fÄr enligt 2 kap. 20 § regeringsformen ske i lag. SÄdana begrÀnsningar fÄr enligt 2 kap. 21 § regeringsformen göras endast för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt sam- hÀlle. BegrÀnsningen fÄr aldrig gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och inte heller strÀcka sig sÄ lÄngt att den utgör ett hot mot den fria Äsiktsbildningen sÄsom en av folkstyrelsens grundvalar. BegrÀnsningen fÄr inte göras enbart pÄ grund av politisk, religiös, kulturell eller annan sÄdan ÄskÄdning.

Verksamheten vid Myndigheten för vÄrd- och omsorgsanalys be- drivs utifrÄn myndighetens instruktion och olika regeringsuppdrag. Eftersom myndighetens uppdrag avser uppföljning och analys av verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg, omfattar nödvÀndigt analysmaterial av naturliga skÀl kÀnsliga personuppgifter i form av bl.a. uppgifter om hÀlsa. I vissa fall kan det Àven förekomma uppgifter om lagövertrÀdelser. Analys- materialet kan dessutom vara sÄ omfattande att Àven behandling av

247

BegrÀnsning av skyddet mot betydande intrÄng...

SOU 2018:52

sÄdana personuppgifter som inte Àr kÀnsliga eller uppgifter om lag- övertrÀdelser sker i sÄ stor omfattning att de tillsammans medför en sÄdan kartlÀggning av de registrerade och ett sÄdant betydande in- trÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

Utredningens förslag till lag gör behandling av kĂ€nsliga person- uppgifter om hĂ€lsa och etniskt ursprung tillĂ„ten, utan stöd av sam- tycke, under förutsĂ€ttning att den prövats och godkĂ€nts av en extern forskningsetisk prövningsinstans. Samma sak gĂ€ller uppgifter om lagövertrĂ€delser. Utredningen föreslĂ„r dock undantag frĂ„n kravet pĂ„ etikprövning för behandling av kĂ€nsliga personuppgifter och lag- övertrĂ€delser i vissa fall, avsnitt 11.4.2 och 12.2.2. Andra personupp- gifter tillĂ„ts behandlas utan samtycke om de ingĂ„r i ett etikgodkĂ€nt projekt. Även sĂ„dan behandling av andra personuppgifter Ă€n kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser, som inte kan genomföras pĂ„ grund av 2 kap. 6 § andra stycket regeringsformen, tillĂ„ts utan samtycke om projektet har prövats och godkĂ€nts av den externa instansen. Med hĂ€nsyn till att den behandling som tillĂ„ts genom lagen mĂ„nga gĂ„nger omfattar stora mĂ€ngder personuppgifter, varav en del Ă€r kĂ€nsliga och avser uppgifter om hĂ€lsa, fĂ„r behand- lingen till stor del anses innebĂ€ra en kartlĂ€ggning av den enskildes personliga förhĂ„llanden och ett betydande intrĂ„ng i den personliga integriteten.

Utredningen föreslÄr alltsÄ att en förutsÀttning för att behandling av personuppgifter ska vara tillÄten enligt lagen Àr att den Àr prövad och godkÀnd av en extern forskningsetisk prövningsinstans. TillvÀga- gÄngssÀttet med etikprövning, som beskrivs nÀrmare i avsnitt 10.4.1, styrs genom klara och tydliga regler i etikprövningslagen. Syftet med lagen Àr att skydda den enskilda mÀnniskan och respekten för mÀn- niskovÀrdet vid forskning. Forskning fÄr godkÀnnas bara om de risker som den kan medföra för forskningspersoners hÀlsa, sÀkerhet och personliga integritet uppvÀgs av dess vetenskapliga vÀrde. MÀnskliga rÀttigheter och grundlÀggande friheter ska alltid beaktas vid etikpröv- ningen samtidigt som hÀnsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Forskning fÄr inte godkÀnnas, om det förvÀntade resultatet kan uppnÄs pÄ ett annat sÀtt som innebÀr mindre risker för forskningspersoners hÀlsa, sÀkerhet och personliga integritet. Etikprövningsmyndighetens verksamhet Àr reglerad i lag

248

SOU 2018:52

BegrÀnsning av skyddet mot betydande intrÄng...

och deras sammansÀttning och ledamöternas kompetens regleras ocksÄ i lag.

Systemet med etikprövning av forskning Àr vÀl beprövat och inklu- derar, förutom en prövning av sjÀlva forskningsprojektet, en prövning av behandlingen av personuppgifter enligt gÀllande dataskyddslag- stiftning. Granskningen ska sÀkerstÀlla att personuppgifter behand- las bara i de undantagsfall dÀr ett visst intrÄng i den personliga integriteten verkligen Àr befogat. Prövningsorganet har ocksÄ möj- lighet att stÀlla upp sÀrskilda villkor för behandlingen av person- uppgifter.

Systemet tillĂ€mpas redan för forskningsprojekt som innefattar behandling av bl.a. patientuppgifter och uppgifter frĂ„n kvalitets- register, dvs. samma uppgifter som Myndigheten för vĂ„rd- och om- sorgsanalys avser att behandla. Hittills har myndigheten inte be- handlat kĂ€nsliga personuppgifter utan samtycke, utan i stĂ€llet gett externa forskare i uppdrag att göra detta. Forskarna har dĂ„ ansökt om etikprövning. Ett förfarande som möjliggör behandling av kĂ€ns- liga personuppgifter genom att myndigheten Ă„lĂ€ggs att ansöka om etikprövning skulle sĂ„ledes inte öka den totala omfattningen av behandling av kĂ€nsliga personuppgifter i nĂ„gon större utstrĂ€ckning. Genom att stĂ€lla krav pĂ„ att myndigheten lĂ„ter samtliga projekt som inkluderar behandling av kĂ€nsliga personuppgifter utan samtycke genomgĂ„ en prövning av etikprövningsnĂ€mnd, motsvarande den som alla forskningsprojekt med sĂ„dana personuppgifter mĂ„ste genomgĂ„, uppfylls kravet pĂ„ skyddsĂ„tgĂ€rd enligt artikel 9.2 j i dataskydds- förordningen (se avsnitt 11.2.2). Utredningens förslag om etikpröv- ning utgör Ă€ven ett skydd vid behandling av uppgifter om lagöver- trĂ€delser och vid sĂ„dan behandling av andra personuppgifter som omfattas av det föreslagna kravet pĂ„ etikprövning. Utöver etikpröv- ningen och de eventuella villkor prövningsorganet stĂ€ller upp, gĂ€ller Ă€ven de skyddsĂ„tgĂ€rder som utredningen föreslĂ„r i övrigt. Det inne- bĂ€r att samtliga personuppgifter som huvudregel ska pseudonymiseras senast nĂ€r de kommer in till Myndigheten för vĂ„rd- och omsorgs- analys och att de omfattas av föreslagna behörighetsbegrĂ€nsningar. Även kravet pĂ„ en formaliserad Ă€ndamĂ„lsbestĂ€mning ska beaktas.

Mot bakgrund av etikprövningssystemets beprövade funktion, tillför kravet pÄ etikprövning en skyddsÄtgÀrd som bör garantera sÄvÀl verksamhetens integritet som skyddet av personuppgifterna.

249

BegrÀnsning av skyddet mot betydande intrÄng...

SOU 2018:52

Eftersom det gÀller stark sekretess för de behandlade personupp- gifterna (se avsnitt 6.5) och utredningen dessutom föreslÄr ytterligare skyddsÄtgÀrder, kan intrÄnget i den personliga integriteten begrÀnsas pÄ ett sÄdant sÀtt att det fÄr anses proportionerligt i förhÄllande till det samhÀlleliga intresset av att Myndigheten för vÄrd- och omsorgs- analys kan bedriva sin verksamhet pÄ ett ÀndamÄlsenligt sÀtt.

Etikprövningslagen och 19 § första stycket personuppgiftslagen, som tidigare tillÀt behandling av kÀnsliga personuppgifter om be- handlingen godkÀnts enligt etikprövningslagen, infördes innan skyddet enligt 2 kap. 6 § andra stycket regeringsformen började gÀlla 2011. Utredningen anser ÀndÄ att en bestÀmmelse som tillÄter behandling av personuppgifter efter godkÀnnande enligt etikprövningslagen uppfyller det som krÀvs enligt 2 kap. 20 och 21 §§ regeringsformen. Genom vad som föreskrivits i etikprövningslagen om förutsÀttning- arna för godkÀnnande och om Etikprövningsmyndighetens verk- samhet och ledamöter garanteras att begrÀnsningen av skyddet inte gÄr utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett begrÀnsningen eller utgör ett hot mot den fria Äsikts- bildningen.

Utredningen gör motsvarande bedömning i frÄga om alternativet att en annan extern instans Àn Etikprövningsmyndigheten gör pröv- ningen. Enligt detta alternativ finns bestÀmmelserna om prövnings- instansens sammansÀttning och den prövning som ska göras i den föreslagna lagen (se avsnitt 10.3.3. och 10.4.2). Detta motsvarar vad som gÀllde enligt den ursprungliga lydelsen av 19 § första stycket personuppgiftslagen och vad som gÀller enligt 3 kap. 7 § dataskydds- lagen.

250

17Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgsanalys

17.1Inledning

Utredningen ska enligt utredningsdirektiven analysera de rĂ€ttsliga möjligheterna för Socialstyrelsen och Statistiska centralbyrĂ„n att lĂ€mna ut personuppgifter till Myndigheten för vĂ„rd- och omsorgs- analys för anvĂ€ndning i myndighetens analysprojekt och, vid behov, lĂ€mna författningsförslag som möjliggör nödvĂ€ndigt uppgiftsutlĂ€m- nande. Uppgifter som avser en enskilds personliga eller ekonomiska förhĂ„llanden hos Socialstyrelsen och Statistiska centralbyrĂ„n Ă€r skyd- dade av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), s.k. statistiksekretess. Även andra sekretessbestĂ€mmelser kan bli tillĂ€mpliga vid begĂ€ran om utlĂ€mnande av personuppgifter frĂ„n Socialstyrelsen och Statistiska centralbyrĂ„n. Enligt 21 kap. 9 § offent- lighets- och sekretesslagen gĂ€ller t.ex. sekretess för personuppgift, om det kan antas att personuppgiften efter ett utlĂ€mnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Under utredningstiden har emellertid inget annat framkommit Ă€n att det Ă€r statistiksekretessen som skulle kunna medföra att Social- styrelsen och Statistiska centralbyrĂ„n inte kan lĂ€mna ut personupp- gifter till Myndigheten för vĂ„rd- och omsorgsanalys i den omfatt- ning som den senare myndigheten Ă€r i behov av. Denna framstĂ€llning kommer dĂ€rför att fokusera pĂ„ möjligheten för Socialstyrelsen och Statistiska centralbyrĂ„n att lĂ€mna ut uppgifter som omfattas av stati- stiksekretess till Myndigheten för vĂ„rd- och omsorgsanalys.

251

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

SOU 2018:52

17.2UtlÀmnande av personuppgifter kan inte ske med stöd av undantaget för uppgifter som behövs för forskningsÀndamÄl

Utredningens bedömning: Socialstyrelsen och Statistiska central- byrÄn kan i dag inte lÀmna ut uppgifter som avser enskilds person- liga och ekonomiska förhÄllanden till Myndigheten för vÄrd- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för forskningsÀndamÄl.

Som konstateras i avsnitt 6.4.8 anges det inte nÀrmare i offentlighets- och sekretesslagen eller förarbetena till lagen vad som avses med forskningsÀndamÄl. UndantagsbestÀmmelsen om utlÀmnande av upp- gifter för forskningsÀndamÄl motiveras i förarbetena med att det finns behov av att genombryta sekretessen i vissa sÀrskilda fall, sÄ- som för forskning om yrkessjukdomar.1 Av praxis pÄ omrÄdet kan slutsatsen dras att det inte ska vara frÄga om ÀrendehandlÀggning, samt att skillnaden mellan forskning Ä ena sidan och uppföljning, utvÀrdering och kvalitetssÀkring Ä andra sidan bör upprÀtthÄllas.2

Viss vÀgledning bör kunna hÀmtas frÄn Centrala etikprövnings- nÀmndens praxis vid bedömningen av om ett projekt ska anses inne- fatta forskning, och om det dÀrmed faller inom etikprövningslagens tillÀmpningsomrÄde.3 Enligt nÀmnden torde det stÄ klart att forsk- ning förutsÀtter att det finns ett vetenskapligt syfte, dvs. en inom- vetenskapligt relevant frÄgestÀllning som man avser att belysa pÄ ett systematiskt sÀtt eller med vetenskapliga metoder. I vissa fall krÀvs dessutom en avsikt att göra resultaten tillgÀngliga. I de fall ett pro- jekt Àr avsett att lÀggas till grund för en disputation eller annars ingÄ som en del i en doktorsavhandling eller utföras av eller under handledning av kvalificerade forskare finns det en presumtion för att projektet Àr att betrakta som forskning. NÀr det gÀller kravet pÄ vetenskapligt angreppssÀtt har nÀmnden i flera fall, trots att kvali- ficerade forskare har varit inblandade, framhÄllit att det projekt som prövas inte innehÄller nÄgra studier som avviker frÄn klinisk rutin

1Prop. 1979/80:2 del A s. 264.

2RÅ 1992 not 456 och RÅ 2004 ref. 9.

3Centrala etikprövningsnÀmndens praxis nÀr det gÀller forskningsbegreppet, 2007-10-08, revi- derad 2008-06-01, www.epn.se/media/1101/cepn_praxis_forskningsbegreppet.pdf.

252

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

och sÄledes inte innefattar nÄgra vetenskapliga moment. NÀr det gÀl- ler grÀnsdragningen mellan forskning Ä ena sidan och kvalitetssÀk- ring och resultatuppföljning har nÀmnden, med utgÄngspunkt i för- arbetsuttalanden, framför allt beaktat om resultaten av ett projekt uppges vara avsedda att publiceras i en vetenskaplig tidskrift.4 Om avsikten Àr att sprida resultatet av undersökningen utanför hÀlso- och sjukvÄrden i vetenskapliga publikationer, kan syftet inte sÀgas vara begrÀnsat till myndighetsinternt utvÀrderingsarbete. Det har dÄ bedömts som forskning, dvs. utvecklingsarbete pÄ vetenskaplig grund, om det i övrigt uppfyller de krav som gÀller för detta.

Som konstaterats i avsnitt 4.2.2 anvÀnder sig Myndigheten för vÄrd- och omsorgsanalys i vissa fall av vetenskapliga metoder, och mÄnga av de som arbetar i myndighetens projekt har forskarkompe- tens. Myndigheten för vÄrd- och omsorgsanalys har emellertid inte nÄgot uttryckligt forskningsuppdrag frÄn regeringen och myndig- heten har dÀrför inte uppfattat att den har möjlighet att bedriva forskning.

Med hÀnsyn till att inte ens Myndigheten för vÄrd- och omsorgs- analys i dag anser sig utföra forskning gör utredningen bedömningen att Socialstyrelsen och Statistiska centralbyrÄn sÄledes inte till Myn- digheten för vÄrd- och omsorgsanalys kan lÀmna ut uppgifter som avser enskilds personliga och ekonomiska förhÄllanden med stöd av undantaget för uppgifter som behövs för forskningsÀndamÄl.

17.3UtlÀmnande av personuppgifter kan ske med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl

Utredningens bedömning: Socialstyrelsen och Statistiska central- byrÄn kan lÀmna ut uppgifter som avser enskilds personliga och ekonomiska förhÄllanden till Myndigheten för vÄrd- och omsorgs- analys med stöd av undantaget för uppgifter som behövs för sta- tistikÀndamÄl.

4Prop. 2002/03:50 s. 91.

253

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

SOU 2018:52

I förarbetena till offentlighets- och sekretesslagen dras slutsatsen att med statistik avses i 24 kap. 8 § offentlighets- och sekretesslagen sammanstÀllningar av data, vanligen i tabeller eller liknande, som ofta Ästadkoms med de olika metoder för insamling, bearbetning, redo- visning och analys som utvecklats inom den statistiska vetenskapen.5 All statistikframstÀllning omfattas, enligt propositionen, emellertid inte av bestÀmmelserna om statistiksekretess. BestÀmmelsen Àr bara tillÀmplig i viss verksamhet som avser framstÀllning av statistik. Det gÀller dels sÀrskild statistikverksamhet hos myndigheter, dels vissa undersökningar hos myndigheter. Med sÀrskild verksamhet avses verksamhet som Àr skild frÄn annan verksamhet hos myndigheten. UtmÀrkande Àr att verksamheten Àr organiserad som en egen enhet eller liknande. Vid bedömningen av frÄgan om en sÀrskild verksam- het Àr en verksamhet för framstÀllning av statistik mÄste en helhets- bedömning göras av verksamheten (se vidare avsnitt 6.4.2 och 6.4.3).6

Myndigheten för vÄrd- och omsorgsanalys Àr ingen statistik- ansvarig myndighet. Visst stöd i tolkningen av statistikbegreppet bör ÀndÄ kunna hÀmtas frÄn förarbetena till lagen (2001:99) om den officiella statistiken, statistiklagen. Statistiklagens reglering avser sÄdan statistik som har ett vidare syfte Àn intern driftstatistik.7 Denna statistik bygger pÄ uppgifter som antingen samlas in direkt frÄn enskilda fysiska eller juridiska personer eller inhÀmtas frÄn administrativa kÀllor. Denna typ av statistik, den officiella stati- stiken, fÄr inte pÄverkas av ovidkommande faktorer och den fÄr inte heller utformas för att tjÀna vissa syften. Statistiska metoder ska anvÀndas som garanterar att statistiken inte kan ifrÄgasÀttas ur sÄ- dana synvinklar. Statistiken ska ocksÄ offentliggöras pÄ sÄdant sÀtt att den Àr enkelt Ätkomlig för de behov som ska tillgodoses.

Den verksamhet som Myndigheten för vÄrd- och omsorgsanalys bedriver motsvarar i stor utstrÀckning den som beskrivs i föregÄende stycke. Myndigheten anvÀnder sig av statistiska metoder för insam- ling, bearbetning, redovisning och analys. Uppgifterna hÀmtas direkt frÄn enskilda eller hÀmtas frÄn andra datakÀllor, t.ex. myndighets- register. Myndighetens verksamhet ska vara oberoende och resul- taten av myndighetens analyser ska inte utformas för att tjÀna vissa syften, Àven om avsikten Àr att regeringen ska kunna anvÀnda dem

5Prop. 2013/14:162 s. 8.

6Prop. 1979/80:2 del A s. 265 och prop. 2013/14:162 s. 8.

7Prop. 1991/92:118 s. 12 f. och 22 f.

254

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

som beslutsunderlag. Vidare ska myndighetens resultat offentliggöras sÄ att det Àr lÀtt Ätkomligt för patienter, brukare och andra med- borgare.

Begreppet statistikÀndamÄl i offentlighets- och sekretesslagens betydelse diskuteras Àven i förarbetena till den senaste Àndringen av 24 kap. 8 § offentlighets- och sekretesslagen.8 Det konstateras att det inte framgÄr av lagtexten eller förarbetena vad som avses med statistikÀndamÄl. Mot bakgrund av lagstiftningens syfte anses det dock i propositionen rimligt att tolka uttrycket statistikÀndamÄl sÄ att det endast omfattar anvÀndning av uppgifterna för framstÀllning av statistik utan anknytning till nÄgot sÀrskilt Àrende. Om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska anvÀndas i ett sÀrskilt Àrende, kan de sÄledes inte lÀmnas ut med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl.

Myndigheten för vÄrd- och omsorgsanalys sysslar inte med myn- dighetsutövning och inte heller nÄgon annan handlÀggning eller beslutsfattande som rör enskilda personer eller organ. Myndighetens uppgift Àr i stÀllet att undersöka allmÀnna förhÄllanden och att analy- sera och följa upp viss verksamhet pÄ ett generellt plan. Myndig- hetens verksamhet i ett visst projekt kan inte sÀgas utgöra sÄdan verksamhet som har anknytning till ett sÀrskilt Àrende i den mening som avses i förarbetena.

NÀr det gÀller utlÀmnande av personuppgifter för statistikÀnda- mÄl krÀver varken Socialstyrelsen eller Statistiska centralbyrÄn att den mottagande myndigheten ska vara en statistikansvarig myndig- het. Ett krav som bÄda myndigheterna stÀller Àr emellertid att stati- stiksekretess ska gÀlla för uppgifterna Àven hos den mottagande myndigheten. Hos Myndigheten för vÄrd- och omsorgsanalys gÀller sekretess för uppgifter som avser en enskilds personliga eller ekono- miska förhÄllanden dels i undersökningar som rör vÄrdens och om- sorgens funktionssÀtt samt om effektiviteten i statliga Ätaganden och verksamheter inom vÄrd och omsorg, dels utvÀrderingar av informa- tion om vÄrd och omsorg som lÀmnas till enskilda samt av statliga reformer och andra statliga initiativ inom vÄrd och omsorg (24 kap.

8§ andra stycket offentlighets- och sekretesslagen och 7 § offentlig- hets- och sekretessförordningen [2009:641] ). Enligt Myndigheten

8Prop. 2013/14:162 s. 11

255

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

SOU 2018:52

för vÄrd- och omsorgsanalys motsvarar denna sekretessbestÀmmelse vÀl hela myndighetens analysverksamhet.

Socialstyrelsen och Statistiska centralbyrÄn har dÀrutöver inga i förvÀg uppstÀllda kriterier som ska vara uppfyllda för att undantaget för uppgifter som behövs för statistikÀndamÄl i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen ska bli tillÀmpligt. En bedöm- ning görs frÄn fall till fall, med utgÄngspunkt i de uttalanden som finns i förarbetena till bestÀmmelsen (se avsnitt 6.4).

För att undersöka om det skulle vara möjligt för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna ut personuppgifter till Myn- digheten för vÄrd- och omsorgsanalys med stöd av undantaget för uppgifter som behövs för statistikÀndamÄl gjorde den senare myn- digheten tvÄ fiktiva ansökningar om utlÀmnande av personuppgifter för anvÀndning i ett av myndighetens analysprojekt. Efter prövning av omstÀndigheterna i de enskilda fallen kunde det konstateras att Socialstyrelsen och Statistiska centralbyrÄn kunde lÀmna ut de be- gÀrda uppgifterna till Myndigheten för vÄrd- och omsorgsanalys.

Ide fall det fanns hinder mot utlÀmnande kunde de vanligtvis undan- röjas genom rÄd och rekommendationer frÄn de utlÀmnande myndig- heterna, som gjorde att Myndigheten för vÄrd- och omsorgsanalys kunde modifiera sin begÀran.

Utredningens slutsats Àr att Socialstyrelsen och Statistiska central- byrÄn kan lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgsanalys med stöd av undantagsbestÀmmelsen för uppgifter som behövs för statistikÀndamÄl. Eventuella hinder mot utlÀmnande kan vanligtvis lösas genom en aktiv dialog mellan myndigheterna.

Möjligheten att lĂ€mna ut personuppgifter till Myndigheten för vĂ„rd- och omsorgsanalys med stöd av undantaget för statistikĂ€nda- mĂ„l innebĂ€r ocksĂ„ att bestĂ€mmelserna om kodnyckelförfarande i 16– 17 §§ statistiklagen blir tillĂ€mpliga. NĂ€r en statistikansvarig myn- dighet, i det hĂ€r fallet Socialstyrelsen eller Statistiska centralbyrĂ„n, lĂ€mnar ut uppgifter som inte Ă€r direkt hĂ€nförliga till en enskild, fĂ„r myndigheten förse uppgifterna med en beteckning som kan kopplas till personnummer eller liknande. Denna s.k. kodnyckel fĂ„r under vissa omstĂ€ndigheter sparas hos den utlĂ€mnande myndigheten för att göra det möjligt med senare komplettering av det statistiska mate- rialet, uppföljning och longitudinella studier.

256

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

17.4UtlÀmnande av personuppgifter kan ske med stöd av undantaget för uppgifter som inte Àr direkt hÀnförliga till den enskilde

Utredningens bedömning: Socialstyrelsen och Statistiska central- byrÄn kan lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgsanalys med stöd av undantaget för uppgifter som inte Àr direkt hÀnförliga till den enskilde.

Enligt 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen fĂ„r uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhĂ„llande Ă€r direkt hĂ€nförligt till den enskilde lĂ€mnas ut, om det stĂ„r klart att uppgiften kan röjas utan att den enskilde eller nĂ„gon nĂ€rstĂ„ende till denne lider skada eller men. Undantaget Ă€r generellt tillĂ€mpligt, och gĂ€ller inte enbart vid utlĂ€mnande för forsk- ning- och statistikĂ€ndamĂ„l. Begreppet enskild omfattar ocksĂ„ avliden. Undantaget infördes med tanke pĂ„ behovet av detaljerad statistik.9 Med ”dĂ€rmed jĂ€mförbart förhĂ„llande” avses t.ex. telefonnummer och fastighetsbeteckning. DĂ€remot avses i och för sig inte uppgifter som genom s.k. bakvĂ€gsidentifiering kan hĂ€nföras till en viss person.10

Personuppgifter definieras i dataskyddsförordningen som varje upplysning som avser en identifierad eller identifierbar fysisk per- son. En identifierbar fysisk person Ă€r en person som direkt eller indirekt kan identifieras sĂ€rskilt med hĂ€nvisning till namn, identi- fikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som Ă€r specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Även uppgifter som gör det möjligt att indi- rekt identifiera en fysisk person utgör sĂ„ledes personuppgifter enligt dataskyddsförordningens definition. I dataskyddsförordningen före- kommer t.ex. begreppet pseudonymisering, som innebĂ€r behandling av personuppgifter pĂ„ ett sĂ€tt som innebĂ€r att personuppgifterna inte lĂ€ngre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter anvĂ€nds. De kompletterande uppgifterna ska förvaras sepa- rat och vara föremĂ„l för tekniska och organisatoriska Ă„tgĂ€rder som sĂ€kerstĂ€ller att personuppgifterna inte tillskrivs en identifierad eller

9Prop. 1979/80:2 Del A s. 264.

10Prop. 1979/80:2 Del A s. 265.

257

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

SOU 2018:52

identifierbar fysisk person (artikel 4.5 i dataskyddsförordningen). I de fall en statistikansvarig myndighet med stöd av 16 § statistik- lagen lÀmnar ut uppgifter som inte direkt kan hÀnföras till en enskild, men förser uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande, utgör de utlÀmnade uppgifterna personuppgifter i dataskyddsförordningens bemÀrkelse.

Undantaget i 24 kap. 8 § tredje stycket offentlighets- och sekre- tesslagen gör det alltsÄ möjligt för Socialstyrelsen och Statistiska centralbyrÄn att, trots statistiksekretess, lÀmna ut personuppgifter som inte Àr direkt hÀnförliga till en enskild person. Detta gÀller Àven om myndigheterna lÀmnar ut sÄ mÄnga variabler att det genom sam- manlÀggning av information, s.k. bakvÀgsidentifiering, Àr möjligt att identifiera en enskild person. En förutsÀttning för utlÀmnande av personuppgifter med stöd av undantagsbestÀmmelsen Àr dock att den utlÀmnande myndigheten vid en skadeprövning bedömer att uppgifterna kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men.

NÀr det gÀller skadeprövningen i samband med utlÀmnande av per- sonuppgifter till Myndigheten för vÄrd och omsorgsanalys kan det konstateras att absolut sekretess gÀller hos myndigheten för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden i undersökningar som rör vÄrdens och omsorgens funktionssÀtt samt om effektiviteten i statliga Ätaganden och verksamheter inom vÄrd och omsorg. SÄdan sekretess gÀller ocksÄ vid utvÀrderingar av infor- mation om vÄrd och omsorg som lÀmnas till enskilda samt av statliga reformer och andra statliga initiativ inom vÄrd och omsorg. Sekre- tesskyddet hos Myndigheten för vÄrd- och omsorgsanalys Àr sÄledes detsamma som i statistikverksamheten hos Socialstyrelsen och Statistiska centralbyrÄn. Som konstateras i avsnitt 6.6.3 borde Social- styrelsens och Statistiska centralbyrÄns skadeprövningar sÄledes vanligtvis kunna resultera i att personuppgifter kan lÀmnas till Myn- digheten för vÄrd och omsorgsanalys med stöd av den aktuella undan- tagsbestÀmmelsen.

258

SOU 2018:52

Möjligheterna för Socialstyrelsen och Statistiska centralbyrÄn...

17.5Det bör inte införas nÄgon uppgiftsskyldighet för Socialstyrelsen och Statistiska centralbyrÄn

Utredningens bedömning: Det bör inte införas nÄgon skyldig- het för Socialstyrelsen eller Statistiska centralbyrÄn att lÀmna personuppgifter till Myndigheten för vÄrd- och omsorgsanalys.

Som konstaterats i det föregÄende har Socialstyrelsen och Statistiska centralbyrÄn möjlighet att lÀmna ut personuppgifter till Myndighe- ten för vÄrd- och omsorgsanalys för statistikÀndamÄl med stöd av undantaget i 24 kap. 8 § tredje stycket offentlighets- och sekretess- lagen. Myndigheterna kan ocksÄ, med stöd av samma bestÀmmelse, lÀmna ut personuppgift som inte Àr direkt hÀnförlig till en enskild person, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende lider skada eller men. Myndigheten för vÄrd- och omsorgsanalys gör bedömningen att de personuppgifter som Socialstyrelsen och Statistiska centralbyrÄn kan lÀmna ut pÄ detta sÀtt tillgodoser behovet av personuppgifter frÄn dessa myndigheter för behandling i myndighetens analysprojekt. I de fall utlÀmnande initialt inte kan ske, kan en lÀmplig lösning hittas genom dialog mel- lan utlÀmnande och mottagande myndighet. Det finns dÀrför inte skÀl att i lag eller förordning föreskriva en sÀrskild skyldighet för Socialstyrelsen och Statistiska centralbyrÄn att lÀmna vissa uppgifter till Myndigheten för vÄrd- och omsorgsanalys.

259

AVSLUTANDE DEL

18 IkrafttrÀdande

Utredningens förslag: Den nya lagstiftningen ska trÀda i kraft den 1 juli 2019. NÄgra sÀrskilda övergÄngsbestÀmmelser behövs inte.

Det Àr bra om den föreslagna lagen trÀder i kraft sÄ snart det Àr möjligt. Utredningen föreslÄr att sÄ sker senast den 1 juli 2019. I av- snitt 19.4 gör utredningen bedömningen att det inte kommer att krÀvas nÄgra omfattande tekniska anpassningar av it-systemen hos Myndigheten för vÄrd- och omsorgsanalys för att uppfylla kraven i den föreslagna lagen. De eventuella tekniska anpassningar, utbild- ningsinsatser eller organisatoriska förÀndringar som kan behövas bör kunna genomföras före det föreslagna ikrafttrÀdandet.

Det behövs inte nÄgra sÀrskilda övergÄngsbestÀmmelser.

263

19 Konsekvenser

19.1Inledning

Utredningen ska enligt 14–15 a §§ kommittĂ©förordningen (1998:1474) redovisa konsekvenserna av de förslag som lĂ€mnas. Det gĂ€ller eko- nomiska och andra konsekvenser för enskilda personer, företag och det allmĂ€nna.

I 14 § kommittéförordningen anges att om förslagen i ett betÀnk- ande pÄverkar kostnaderna eller intÀkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en berÀkning av dessa konsekvenser redovisas. Om förslagen innebÀr samhÀllsekonomiska konsekvenser i övrigt, ska dessa redovisas. NÀr det gÀller kostnads- ökningar och intÀktsminskningar för staten, kommuner eller lands- ting, ska kommittén föreslÄ en finansiering.

Om förslagen i ett betÀnkande har betydelse för den kommunala sjÀlvstyrelsen, för brottsligheten och det brottsförebyggande arbetet, för sysselsÀttning och offentlig service i olika delar av landet, för smÄ företags arbetsförutsÀttningar, konkurrensförmÄga eller villkor i övrigt i förhÄllande till större företags, för jÀmstÀlldheten mellan kvinnor och mÀn eller för möjligheten att nÄ de integrationspolitiska mÄlen, ska enligt 15 § kommittéförordningen konsekvenserna i det aktuella avseendet anges i betÀnkandet.

Om ett betÀnkande innehÄller förslag till nya eller Àndrade regler, ska enligt 15 a § kommittéförordningen förslagens kostnadsmÀssiga och andra konsekvenser anges i betÀnkandet. Konsekvenserna ska anges pÄ ett sÀtt som motsvarar de krav pÄ innehÄllet i konsekvens- utredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.

265

Konsekvenser

SOU 2018:52

19.2Uppdraget och de förslag som lÀmnas

Utredningen har haft i uppdrag att utreda behovet av en sÀrskild författning med bestÀmmelser om behandling av personuppgifter för Myndigheten för vÄrd- och omsorgsanalys och vid behov föreslÄ en författningsreglering. I uppdraget har ocksÄ ingÄtt att analysera de rÀttsliga möjligheterna för Socialstyrelsen och Statistiska central- byrÄn att lÀmna ut personuppgifter till Myndigheten för vÄrd- och omsorgsanalys för anvÀndning i myndighetens analysprojekt och vid behov lÀmna författningsförslag som möjliggör sÄdant uppgiftslÀm- nande.

Utredningens förslag bestÄr i huvudsak av en lag om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys och en kompletterande förordning. Utredningen föreslÄr ocksÄ vissa följdÀndringar i etikprövningslagen. Utredningen föreslÄr inte nÄgon skyldighet för Socialstyrelsen eller Statistiska centralbyrÄn att lÀmna personuppgifter till Myndigheten för vÄrd- och omsorgsanalys. Utredningen bedömer att utlÀmnande av personuppgifter i stÀllet kan ske med stöd av undantagsbestÀmmelserna i 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen (2009:400).

De förslag som utredningen lÀgger fram innebÀr att Myndigheten för vÄrd- och omsorgsanalys ges möjlighet att behandla personupp- gifter pÄ ett för uppföljnings- och analysverksamheten ÀndamÄls- enligt och effektivt sÀtt samtidigt som vissa restriktioner och skydds- ÄtgÀrder införs för att motverka intrÄng i den personliga integriteten. Genom förslagen fÄr myndigheten bl.a. ett sÀrskilt lagstöd för be- handling av kÀnsliga personuppgifter utan att den registrerade har samtyckt till behandlingen. Förslagen underlÀttar ocksÄ den pröv- ning som andra myndigheter kan behöva göra innan de lÀmnar ut personuppgifter till myndigheten. Myndigheten ges dÀrmed goda förutsÀttningar att uppfylla sitt uppdrag enligt myndighetsinstruk- tionen. SÀrskild hÀnsyn har tagits till integritetsaspekterna av om- fattande automatiserad behandling av personuppgifter och till att den föreslagna regleringen ska sÀkerstÀlla ett lÄngsiktigt och hÄllbart integritetsskydd. Förslagen innebÀr sammantaget att myndigheten ges förutsÀttningar att bedriva sin verksamhet pÄ ett effektivt och ÀndamÄlsenligt sÀtt samtidigt som den enskildes personliga integri- tet skyddas mot intrÄng.

266

SOU 2018:52

Konsekvenser

19.3Alternativa lösningar och konsekvenser av att den föreslagna regleringen inte genomförs

Utredningen har i olika avsnitt i betÀnkandet redovisat vilka alter- nativa lösningar som har övervÀgts och varför dessa inte har valts. Exempelvis har utredningen i avsnitt 14.2 övervÀgt möjligheten att införa bestÀmmelser om för vilka ÀndamÄl Myndigheten för vÄrd- och omsorgsanalys fÄr behandla personuppgifter och i avsnitt 10.2 övervÀgt om alla myndighetens projekt bör etikprövas.

Utredningen har föreslagit att den etikprövning som kan göra behandling laglig ska göras av Etikprövningsmyndigheten enligt det regelverk som redan finns för forskningsprojekt. Motiven för det förslaget finns i avsnitt 10.3.2 och motiven för att det behövs en extern granskning av mer integritetskĂ€nslig behandling av person- uppgifter finns i avsnitt 10.1. Som ett alternativ föreslĂ„s att nĂ„gon annan extern instans gör en etisk prövning av myndighetens mer integritetskĂ€nsliga projekt (avsnitt 10.3.3–5).

Syftet med den verksamhet som bedrivs av Myndigheten för vÄrd- och omsorgsanalys Àr att bidra till att förbÀttra och effek- tivisera vÄrden, tandvÄrden och omsorgen samt stÀrka patienternas och brukarnas stÀllning. Det Àr sÄledes ett viktigt samhÀllsintresse att myndigheten kan bedriva en effektiv och ÀndamÄlsenlig verksam- het. Samtidigt Àr det ett viktigt samhÀllsintresse, med stöd av reger- ingsformen, att enskildas personliga integritet vÀrnas. De förslag som lÀmnas i detta betÀnkande syftar till att Myndigheten för vÄrd- och omsorgsanalys ska kunna genomföra sitt uppdrag pÄ ett Ànda- mÄlsenligt och effektivt sÀtt samtidigt som vissa restriktioner och skyddsÄtgÀrder införs för att motverka intrÄng i den personliga integriteten. De skyddsÄtgÀrder utredningen föreslÄr gÄr utöver de som följer av dataskyddsförordningen. Skulle förslaget inte genom- föras, blir det sÄledes inte nÄgon sÄdan förbÀttring av integritets- skyddet.

19.4Ekonomiska konsekvenser

Även om förslagen pĂ„ olika sĂ€tt leder till förbĂ€ttringar kan de in- ledningsvis komma att föra med sig vissa begrĂ€nsade merkostnader för Myndigheten för vĂ„rd- och omsorgsanalys avseende tekniska

267

Konsekvenser

SOU 2018:52

anpassningar. SÄdana anpassningar kan framför allt vara aktuella för att uppfylla de föreslagna kraven pÄ skyddsÄtgÀrder. Myndigheten arbetar dock redan i dag med sÄvÀl pseudonymisering som behörig- hetsstyrning varför det kan antas att det inte kommer att krÀvas nÄgra större tekniska anpassningar av it-systemen för att uppfylla kraven. Det kan vidare initialt komma att krÀvas viss utbildning för de medarbetare vid myndigheten som ska tillÀmpa de nya reglerna. Ny lagstiftning krÀver dock regelmÀssigt utbildningsinsatser och kostnaderna för dessa kan normalt tÀckas av myndighetens anslag inom befintlig ram. Förslagen kan ocksÄ innebÀra att det krÀvs viss anpassning av myndighetens interna organisation och arbetssÀtt. Detta gÀller framför allt förslagen om etikprövning och förslagen som innebÀr att myndighetschefen ska fatta vissa beslut. Eftersom myndigheten redan i dag arbetar pÄ ett sÀtt som Àr vÀl förenligt med dessa förslag, kan det endast vara aktuellt med mindre anpassningar. Det har inte varit möjligt att berÀkna, eller ens uppskatta, de mer- kostnader som förslagen kan antas föranleda i det inledande skedet. Dessa merkostnader bedöms dock bli sÄ smÄ att de ryms inom myndighetens befintliga anslag.

Förslaget om att myndighetens projekt ska etikprövas medför vissa kostnader för myndigheten, i form av bÄde ansökningsavgifter och den arbetsinsats som krÀvs för att göra ansökan. Ansöknings- avgiften Àr i dag 5 000 kr men föreslÄs i en departementspromemoria höjas till 8 000 kr.1 Den dokumentation som myndigheten redan i dag faststÀller i projektdirektiv och projektplan inför varje projekt bedöms ocksÄ kunna tjÀna som underlag för en ansökan om etik- prövning. Kravet pÄ etikprövning bör dÀrför inte innebÀra nÄgon större extra arbetsinsats för myndigheten. Det rör sig vidare endast om ett mindre antal ansökningar per Är. Dessutom medför förslagen att myndigheten inte lÀngre kommer att behöva anlita externa forskare i samma utstrÀckning som i dag vilket i sig innebÀr en kostnads- besparing. Vidare föreslÄr utredningen undantag frÄn kravet pÄ etisk prövning för behandling av kÀnsliga personuppgifter och lagöver- trÀdelser i vissa fall, avsnitt 11.4.2 och 12.2.2. Förslaget om krav pÄ etikprövning bedöms dÀrför sammantaget inte medföra nÄgon ökad kostnad för myndigheten.

1Bilaga 2 till förordningen (2003:615) om etikprövning av forskning som avser mÀnniskor och Ds 2016:46 s. 111 f.

268

SOU 2018:52

Konsekvenser

Kravet pĂ„ etikprövning medför ocksĂ„ sannolikt att Etikpröv- ningsmyndigheten kommer att fĂ„ pröva ett nĂ„got ökat antal ansök- ningar om etikprövning. Även ÖverklagandenĂ€mnden för etikpröv- ning, som prövar överlĂ€mnade och överklagade Ă€renden, kan komma att fĂ„ en marginell ökning av antalet Ă€renden. Som anges ovan handlar det dock endast om ett mindre antal ansökningar per Ă„r. Myndigheten för vĂ„rd- och omsorgsanalys anlitar dessutom i dag externa forskare för att göra vissa studier. Eftersom de externa forsk- arna i dag ansöker om etikprövning, kan förslaget inte förvĂ€ntas med- föra nĂ„gon större ökning av det totala antalet Ă€renden som prövas av Etikprövningsmyndigheten och ÖverklagandenĂ€mnden för etikpröv- ning. Etikprövningsverksamheten Ă€r dessutom till stor del finansierad genom de ansökningsavgifter som tas ut. Förslagen bör dĂ€rmed inte medföra annat Ă€n en sĂ„dan marginell ökning av kostnaderna för etik- prövningsverksamheten att den ryms inom befintliga anslag.

Kostnaderna för det fall att nĂ„gon annan instans Ă€n Etikpröv- ningsmyndigheten och ÖverklagandenĂ€mnden för etikprövning vĂ€ljs för den etiska prövningen har inte varit möjliga att berĂ€kna, bl.a. eftersom kostnadsökningen Ă€r beroende av de befintliga förutsĂ€tt- ningarna hos den instans som vĂ€ljs.

19.5Övriga konsekvenser

enligt kommittéförordningen

Utredningens förslag fÄr inte nÄgra konsekvenser för den kommu- nala sjÀlvstyrelsen. Detsamma gÀller för brottsligheten och det brotts- förebyggande arbetet. Förslagen fÄr inte heller nÄgra konsekvenser för sysselsÀttning och offentlig service i olika delar av landet, för smÄ företags arbetsförutsÀttningar, konkurrensförmÄga eller villkor i öv- rigt i förhÄllande till stora företags. Författningsförslagen Àr köns- neutralt utformade och förvÀntas inte fÄ nÄgra negativa konsekvenser för jÀmstÀlldheten mellan kvinnor och mÀn. Förslagen fÄr inte heller nÄgra negativa konsekvenser för möjligheten att nÄ de integrations- politiska mÄlen. Med förslagen fÄr myndigheten goda möjligheter att genomföra analyser pÄ jÀmstÀlldhets- och integrationsomrÄdena, vilket bör ge goda förutsÀttningar för beslut pÄ dessa politikomrÄden med Ätföljande positiva konsekvenser för integrationen och jÀm- stÀlldheten mellan kvinnor och mÀn.

269

Konsekvenser

SOU 2018:52

Utredningen har inte föreslagit nÄgon reglering som gÄr utöver vad som Àr tillÄtet enligt dataskyddsförordningen. Utredningen har i respektive avsnitt gjort en bedömning av vilken nationell reglering som Àr möjlig att införa med beaktande av den direkt tillÀmpliga EU- regleringen. Den föreslagna lagstiftningen innehÄller sÄledes endast bestÀmmelser som kompletterar eller tar över bestÀmmelserna i data- skyddsförordningen, nÀr det Àr tillÄtet.

19.6Konsekvenser för den personliga integriteten

Utredningens förslag innebÀr att Myndigheten för vÄrd- och omsorgs- analys ges möjlighet att utan samtycke behandla stora mÀngder personuppgifter, varav en del Àr kÀnsliga, Àven nÀr det innebÀr ett betydande intrÄng i den personliga integriteten. Genom kravet pÄ etikprövning och de övriga skyddsÄtgÀrder som föreslÄs sÀkerstÀlls dock enligt utredningens bedömning ett lÄngsiktigt och hÄllbart integritetsskydd. Utredningen anser att förslagen utgör en lÀmplig avvÀgning mellan skyddet för den enskildes personliga integritet och behovet av en ÀndamÄlsenlig reglering för myndighetens behandling av personuppgifter. Myndighetens befintliga möjligheter att utan sam- tycke behandla kÀnsliga personuppgifter och uppgifter om lagöver- trÀdelser begrÀnsas genom den föreslagna lagen till vad myndigheten behöver och Àr etiskt försvarbart. De skyddsÄtgÀrder som utred- ningen föreslÄr ska gÀlla vid sÄdan behandling av personuppgifter som myndigheten kan utföra redan i dag. För sÄdan behandling med- för sÄledes utredningens förslag ett bÀttre skydd för den personliga integriteten Àn vad som gÀller i dag.

För en mer utförlig redovisning av utredningens bedömning av om det intrÄng i den personliga integriteten som förslagen medför Àr proportionerligt i förhÄllandet till intresset av att myndigheten kan bedriva sin verksamhet pÄ ett ÀndamÄlsenligt sÀtt hÀnvisas till kapitel 16.

270

20 Författningskommentar

20.1Förslaget till lag om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys

Lagens tillÀmpningsomrÄde

1 § Denna lag gÀller vid behandling av personuppgifter i verksamhet vid Myndigheten för vÄrd- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhÄllanden inom hÀlso- och sjukvÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen gÀller endast om behandlingen Àr helt eller delvis auto- matiserad eller om personuppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sök- ning eller sammanstÀllning enligt sÀrskilda kriterier.

BestĂ€mmelserna i 3 och 9–11 §§ gĂ€ller Ă€ven vid behandling av uppgifter om avlidna personer.

Paragrafen anger lagens materiella tillĂ€mpningsomrĂ„de. ÖvervĂ€gan- dena finns i avsnitt 9.3.

I första stycket anges att lagen gÀller vid behandling av person- uppgifter. Definitioner av begreppen behandling och personupp- gifter finns i artikel 4 i dataskyddsförordningen. Den behandling av personuppgifter som avses Àr den som förekommer i verksamhet vid Myndigheten för vÄrd- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhÄllanden inom hÀlso- och sjuk- vÄrd, tandvÄrd och omsorg ur ett patient-, brukar- och medborgar- perspektiv. Med omsorg avses hela socialtjÀnstens omrÄde och de verksamheter som bedrivs med stöd av lagen (1990:52) med sÀrskil- da bestÀmmelser om vÄrd av unga, lagen (1988:870) om vÄrd av missbrukare i vissa fall och lagen (1993:387) om stöd och service till

271

Författningskommentar

SOU 2018:52

vissa funktionshindrade med flera författningar i enlighet med vad som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom socialtjÀnsten. TillÀmpningsomrÄdet motsvarar vad som anges i 1 § förordningen (2010:1385) med instruktion för Myndigheten för vÄrd- och omsorgsanalys och Àr avsett att inkludera myndig- hetens kÀrnverksamhet och uppdrag i enlighet med hur det preci- seras i 2 och 3 §§ förordningen med instruktion för Myndigheten för vÄrd- och omsorgsanalys. Det innebÀr att lagen inte Àr tillÀmplig vid andra typer av verksamheter vid myndigheten, t.ex. inom den admi- nistrativa verksamheten.

I andra stycket klargörs att tillÀmpningsomrÄdet Àven Àr begrÀnsat till att avse helt eller delvis automatiserad behandling eller behand- ling av personuppgifter som ingÄr i eller Àr avsedda att ingÄ i en struk- turerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier. Av artikel 2.1 i datas- kyddsförordningen framgÄr att förordningen ska tillÀmpas pÄ sÄdan behandling av personuppgifter som helt eller delvis företas pÄ auto- matisk vÀg samt pÄ annan behandling Àn automatisk av personupp- gifter som ingÄr i eller kommer att ingÄ i ett register. Ett register Àr enligt definitionen i artikel 4 punkt 6 i dataskyddsförordningen en strukturerad samling av personuppgifter som Àr tillgÀnglig enligt sÀr- skilda kriterier, oavsett om samlingen Àr centraliserad, decentraliserad eller spridd pÄ grundval av funktionella eller geografiska förhÄllanden. Den föreslagna lagens tillÀmpningsomrÄde anknyter sÄledes i denna del helt till dataskyddsförordningens tillÀmpningsomrÄde. Det inne- bÀr att manuell behandling av personuppgifter som inte ingÄr i en uppgiftssamling som Àr strukturerad för sökning eller sammanstÀll- ning, sÄsom minnesanteckningar frÄn intervjuer som enbart förs pÄ papper, inte omfattas av lagens tillÀmpningsomrÄde.

Genom bestÀmmelsen i tredje stycket om att vissa angivna bestÀm- melser ska gÀlla avlidna personer utvidgas den föreslagna lagens tillÀmpningsomrÄde i förhÄllande till dataskyddsförordningen. En mÀnniska Àr död, dvs. avliden, nÀr hjÀrnans samtliga funktioner totalt och oÄterkalleligt har fallit bort, se 1 § lagen (1987:269) om kriterier för bestÀmmande av mÀnniskans död.

272

SOU 2018:52

Författningskommentar

FörhÄllandet till annan reglering

2 § Denna lag innehÄller bestÀmmelser som kompletterar Europa- parlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Vid forskning gÀller lagen (2003:460) om etikprövning av forskning som avser mÀnniskor.

I paragrafen anges lagens förhĂ„llande till annan reglering. Över- vĂ€gandena finns i avsnitt 9.4.

Första stycket upplyser om att lagen innehÄller bestÀmmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen Àr direkt tillÀmplig men förutsÀtter eller tillÄter i vissa avseenden natio- nella bestÀmmelser som kompletterar förordningen, i form av preci- seringar eller undantag. Nationell reglering krÀvs bl.a. vid behandling av kÀnsliga personuppgifter som Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse. HÀnvisningen till dataskyddsförordningen i lagen Àr dynamisk, dvs. avser dataskyddsförordningen i dess vid varje tidpunkt gÀllande lydelse.

Av andra stycket framgÄr lagens relation till den generella data- skyddslagen. Dataskyddslagen kompletterar dataskyddsförordningen pÄ nationell generell nivÄ. Den lag som föreslÄs i detta betÀnkande har företrÀde framför dataskyddslagen. Om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen, gÀller dataskydds- lagen.

I det tredje stycket klargörs att vid behandling av personuppgifter för forskning. gÀller i stÀllet etikprövningslagen. Med forskning avses hÀr detsamma som i etikprövningslagen, dvs. vetenskapligt experi- mentellt eller teoretiskt arbete för att inhÀmta ny kunskap och utveck- lingsarbete pÄ vetenskaplig grund. Etikprövningslagen gÀller, nÀr det rör behandling av personuppgifter, vid forskning som innefattar

273

Författningskommentar

SOU 2018:52

behandling av kÀnsliga personuppgifter enligt 13 § personuppgifts- lagen eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

ÄndamĂ„lsbestĂ€mning

3 § Myndighetschefen ska för varje projekt besluta om sÀrskilda Ànda- mÄl för behandlingen av personuppgifter och vilka kategorier av per- sonuppgifter som fÄr behandlas om vilka kategorier av personer. Utan ett sÄdant beslut fÄr personuppgifter inte behandlas.

För att personuppgifter som har samlats in för ett beslutat ÀndamÄl i ett projekt ska fÄ behandlas för ett annat ÀndamÄl, krÀvs att myndig- hetschefen beslutar om det.

Paragrafen stĂ€ller sĂ€rskilda krav pĂ„ Ă€ndamĂ„lsbestĂ€mning och begrĂ€ns- ning av behandling av personuppgifter. ÖvervĂ€gandena finns i av- snitt 14.2.5 och 14.3.

Enligt första stycket krÀvs att myndighetschefen fattar ett beslut för varje projekt om för vilka ÀndamÄl personuppgifter fÄr behand- las. Med projekt avses en tidsbegrÀnsad arbetsuppgift som ska genomföras inom bestÀmda ramar, exempelvis i frÄga om tid, arbets- insatser och ekonomi. Av artikel 5.1 b i dataskyddsförordningen framgÄr att personuppgifter ska samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Kravet enligt dataskyddsförord- ningen pÄ att faststÀlla ÀndamÄl utökas sÄledes enligt lagen med ett krav pÄ ett formellt beslut om ÀndamÄl av myndighetschefen. Innan beslut har fattats fÄr inga personuppgifter behandlas i projektet. Myndighetschefens beslut ska Àven gÀlla vilka kategorier av person- uppgifter som fÄr behandlas om vilka kategorier av personer. Beslu- tet behöver inte ange exakt vilka personuppgifter eller personer som fÄr behandlas utan det rÀcker med en angivelse pÄ kategorinivÄ, t.ex. uppgifter om födelseÄr, kön och utbildningsnivÄ rörande personer med en viss diagnos, bosatta inom ett visst lÀn.

För att personuppgifter som har samlats in för ett beslutat ÀndamÄl i ett projekt ska fÄ behandlas för ett annat ÀndamÄl krÀvs enligt andra stycket att myndighetschefen fattar ett beslut om det. Personuppgifter som har samlats in för ett visst ÀndamÄl i ett projekt

274

SOU 2018:52

Författningskommentar

fĂ„r anvĂ€ndas för andra Ă€ndamĂ„l bara om det Ă€r förenligt med tillĂ€mp- liga regler. Behandlingen av personuppgifterna för det nya Ă€ndamĂ„let fĂ„r t.ex. inte vara oförenlig med det ursprungliga Ă€ndamĂ„let i enlighet med finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen. Bedömningen av förenligheten ska göras i enlighet med vad som framgĂ„r av artikel 6.4 i dataskyddsförordningen. Innan personupp- gifterna kan anvĂ€ndas för ett nytt syfte mĂ„ste alla registrerade infor- meras enligt artikel 13.3 och 14.4 i dataskyddsförordningen. Om det nya Ă€ndamĂ„let innebĂ€r behandling av personuppgifter i ett nytt projekt eller om ett tidigare beslutat Ă€ndamĂ„l i ett befintligt projekt förĂ€ndras vĂ€sentligt mĂ„ste dessutom en prövning av Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning alterna- tivt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor göras enligt 4, 5 och 7 §§ nĂ€r det inte finns samtycke till den nya behandlingen och det rör sig om kĂ€nsliga personuppgifter, uppgifter om lagöver- trĂ€delser eller en sĂ„ stor omfattning av personuppgifter att behand- lingen medför en kartlĂ€ggning av de registrerade och ett betydande intrĂ„ng i deras personliga integritet. Av 4 § andra stycket och 5 § andra stycket framgĂ„r att det dock finns vissa undantag frĂ„n kravet pĂ„ etikprövning. Om de rĂ€ttsliga förutsĂ€ttningarna för att behandla personuppgifter för ett nytt Ă€ndamĂ„l Ă€r uppfyllda, kan myndighets- chefen besluta om att sĂ„ ska ske. Innan beslut har fattats fĂ„r inga personuppgifter behandlas för nya Ă€ndamĂ„l.

Enligt 10 § förordningen med instruktion för Myndigheten för vÄrd- och omsorgsanalys Àr generaldirektören myndighetschef. Gene- raldirektören fÄr inte delegera beslutanderÀtten enligt denna paragraf. Enligt 24 § första stycket myndighetsförordningen (2007:515) kan dock myndighetschefens stÀllföretrÀdare tjÀnstgöra i myndighets- chefens stÀlle nÀr myndighetschefen inte Àr i tjÀnst och dÄ fatta be- slut enligt paragrafen.

KĂ€nsliga personuppgifter

4 § SÄdana sÀrskilda kategorier av personuppgifter som avses i arti- kel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr be- handlas i ett projekt bara

1.med de registrerades uttryckliga samtycken, med stöd av arti- kel 9.2 a i samma förordning, eller

275

Författningskommentar

SOU 2018:52

2.sÄvitt avser uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ursprung, om projektet har prövats och godkÀnts enligt 8 §, med stöd av artikel 9.2 g, h eller j i samma förordning.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om hÀlsa eller personuppgifter som avslöjar etniskt ursprung om fÀrre Àn 100 personer inte prövas och godkÀnnas enligt 8 §.

Paragrafen reglerar uttömmande under vilka förutsĂ€ttningar Myn- digheten för vĂ„rd- och omsorgsanalys fĂ„r behandla kĂ€nsliga person- uppgifter i ett projekt. ÖvervĂ€gandena finns i kapitel 11.

Med kÀnsliga personuppgifter avses detsamma som med uttrycket sÀrskilda kategorier av personuppgifter i artikel 9.1 i dataskydds- förordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning. UtgÄngspunkten enligt dataskyddsförord- ningen Àr att behandling av kÀnsliga personuppgifter Àr förbjuden. Vad som avses med projekt framgÄr av författningskommentaren till 3 §.

Punkten 1 i första stycket upplyser om att Myndigheten för vĂ„rd- och omsorgsanalys fĂ„r behandla samtliga kategorier av kĂ€nsliga per- sonuppgifter om den registrerade uttryckligen har samtyckt till behandlingen. Detta följer direkt av artikel 9.2 a i dataskyddsförord- ningen. Samtycket mĂ„ste uppfylla kraven enligt dataskyddsförord- ningens definition av samtycke i artikel 4 punkt 11. Även kraven enligt artikel 7 i dataskyddsförordningen mĂ„ste beaktas. Det innebĂ€r bl.a. att samtycket mĂ„ste vara frivilligt. Som utredningen konstaterat i avsnitt 6.2.2 kan samtycke i de allra flesta fall lĂ€mnas frivilligt och dĂ€rmed utgöra grund för behandling av personuppgifter i myndig- hetens verksamhet. En bedömning av om kravet pĂ„ frivillighet Ă€r uppfyllt mĂ„ste dock göras i varje enskilt fall. Myndigheten kan, till följd av bestĂ€mmelsen, exempelvis vĂ€nda sig till en slumpvis utvald del av befolkningen och frĂ„ga om personerna vill medverka i en studie och samtycka till nödvĂ€ndig behandling av personuppgifter. SĂ„dan behandling av personuppgifter som sker i syfte att ta fram kontaktuppgifter till personer med t.ex. en viss hĂ€lsoegenskap kan

276

SOU 2018:52

Författningskommentar

dock inte ske med samtycke, eftersom samtycke kan lÀmnas först efter att kontakt har tagits.

Enligt punkten 2 i första stycket krĂ€vs en prövning och ett god- kĂ€nnande enligt 8 § för att myndigheten ska fĂ„ behandla kĂ€nsliga personuppgifter i ett projekt utan den registrerades uttryckliga sam- tycke. Det Ă€r endast uppgifter om hĂ€lsa eller personuppgifter som avslöjar etniskt ursprung som fĂ„r behandlas med stöd av bestĂ€m- melsen. Övriga kategorier av kĂ€nsliga personuppgifter fĂ„r alltsĂ„, i den mĂ„n det Ă€r nödvĂ€ndigt, endast behandlas med stöd av ett ut- tryckligt samtycke och i det fall som anges i andra stycket.

Myndigheten för vÄrd- och omsorgsanalys har möjlighet att be- handla personuppgifter med stöd av artikel 9.2 g, h eller j i data- skyddsförordningen. För behandling med stöd av artikel 9.2 g eller j krÀvs dock att de krav pÄ skyddsÄtgÀrder, nödvÀndighet och propor- tionalitet som uppstÀlls i dataskyddsförordningen för sÄdan behand- ling av personuppgifter Àr uppfyllda. BestÀmmelsen i punkten 2 utgör sÄledes ett förtydligande av vilka bestÀmmelser i artikel 9 i för- ordningen som kan utgöra grund för behandling av kÀnsliga person- uppgifter hos Myndigheten för vÄrd- och omsorgsanalys. Det Àr tillrÀckligt att en av de nÀmnda bestÀmmelserna i dataskyddsför- ordningen Àr tillÀmplig för att behandlingen ska vara tillÄten. Arti- kel 9.2 g i dataskyddsförordningen, som avser behandling av kÀnsliga personuppgifter som Àr nödvÀndig för ett viktigt allmÀnt intresse, har det vidaste tillÀmpningsomrÄdet och Àr troligtvis den bestÀm- melse som kommer att vara tillÀmplig i de flesta fall myndigheten behöver behandla uppgifter om hÀlsa eller personuppgifter som av- slöjar etniskt ursprung. NÄgon analys av vilken av de angivna grund- erna som Àr tillÀmplig i ett visst fall Àr emellertid inte nödvÀndig. Det Àr tillrÀckligt att det finns stöd för behandlingen av personupp- gifterna i lagbestÀmmelsen, som i sin tur har stöd i förordningen.

Enligt andra stycket behöver, trots första stycket punkten 2, pro- jekt som innefattar behandling av uppgifter om hÀlsa eller person- uppgifter som avslöjar etniskt ursprung om fÀrre Àn 100 personer inte prövas och godkÀnnas enligt 8 §. Genom bestÀmmelsen ges myndigheten sÄledes möjlighet, men inte skyldighet, att avstÄ frÄn att ansöka om etisk prövning, om det aktuella projektet avser behand- ling av sÄdana personuppgifter om fÀrre Àn 100 personer. Behand- lingen fÄr i sÄdant fall stödjas direkt pÄ dataskyddslagen och arti- kel 9.2 h eller j i dataskyddsförordningen och fÄr inte innebÀra ett

277

Författningskommentar

SOU 2018:52

sÄdant betydande intrÄng i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen.

Uppgifter om lagövertrÀdelser

5 § Personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihets- berövanden (uppgifter om lagövertrÀdelser) fÄr behandlas i ett projekt bara

1.med de registrerades samtycken, eller

2.om projektet har prövats och godkÀnts enligt 8 §.

Trots första stycket behöver projekt som innefattar behandling av uppgifter om lagövertrÀdelser om fÀrre Àn 100 personer inte prövas och godkÀnnas enligt 8 §.

Paragrafen anger uttömmande under vilka förutsĂ€ttningar Myn- digheten för vĂ„rd- och omsorgsanalys fĂ„r behandla uppgifter om lagövertrĂ€delser i ett projekt. ÖvervĂ€gandena finns i avsnitt 12.2.

Definitionen av vad som utgör uppgifter om lagövertrÀdelser Àr nÄgot mer omfattande Àn den som framgÄr av artikel 10 i data- skyddsförordningen. I stÀllet motsvarar definitionen den som anges i 3 § 2 etikprövningslagen. Vad som avses med projekt framgÄr av författningskommentaren till 3 §.

Paragrafen upplyser i punkten 1 i första stycket om att uppgifter om lagövertrÀdelser fÄr behandlas av myndigheten med stöd av den registrerades samtycke. Detta följer direkt av dataskyddsförord- ningens bestÀmmelser. Samtycket mÄste uppfylla dataskyddsförord- ningens krav pÄ samtycke, se författningskommentaren till 4 §.

För att uppgifter om lagövertrÀdelser ska fÄ behandlas i ett pro- jekt utan den registrerades samtycke gÀller enligt punkten 2 i första stycket, pÄ samma sÀtt som för kÀnsliga personuppgifter enligt 4 § första stycket 2, ett krav pÄ prövning och godkÀnnande enligt 8 §. BestÀmmelsen inskrÀnker alltsÄ myndighetens möjligheter att be- handla uppgifter om lagövertrÀdelser i förhÄllande till vad som gÀller enligt dataskyddsförordningen och dataskyddslagen.

Enligt andra stycket behöver, trots första stycket punkten 2, pro- jekt som innefattar behandling av uppgifter om lagövertrÀdelser om fÀrre Àn 100 personer inte prövas och godkÀnnas enligt 8 §. Genom

278

SOU 2018:52

Författningskommentar

bestÀmmelsen ges myndigheten sÄledes möjlighet, men inte skyldig- het, att avstÄ frÄn att ansöka om etisk prövning, om det aktuella projektet avser behandling av sÄdana personuppgifter om fÀrre Àn 100 personer. Behandlingen fÄr i sÄdant fall stödjas direkt pÄ arti- kel 6.1 e i dataskyddsförordningen (se ocksÄ 3 kap. 8 § första stycket dataskyddslagen). BestÀmmelsen i andra stycket Àr inte ett sÄdant lagstöd som ger möjlighet till sÄdana betydande intrÄng i den per- sonliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen.

Övriga personuppgifter i godkĂ€nda projekt

6 § NÀr sÄdana personuppgifter som avses i 4 och 5 §§, efter prövning och godkÀnnande enligt 8 § fÄr behandlas i ett projekt, fÄr ocksÄ andra personuppgifter behandlas utan de registrerades samtycken i projektet.

Paragrafen anger vad som gĂ€ller för behandling av andra personupp- gifter Ă€n kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser i ett projekt som har godkĂ€nts av Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor enligt bestĂ€mmelserna i 4 och 5 §§. ÖvervĂ€gandena finns i avsnitt 13.2.

Vad som avses med projekt framgÄr av författningskommentaren till 3 §. Har bara ett delprojekt inom ett större projekt etikgodkÀnts, gÀller bestÀmmelsen bara för behandlingen av personuppgifter i det delprojektet, inte i hela projektet.

De projekt Myndigheten för vĂ„rd- och omsorgsanalys bedriver innefattar ofta, förutom kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser, Ă€ven andra personuppgifter. BestĂ€mmelsen innebĂ€r att Ă€ven sĂ„dana andra personuppgifter fĂ„r behandlas i projektet utan den registrerades samtycke om projektet har godkĂ€nts av Etikpröv- ningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor. Om myndigheten planerar att Ă€ven behandla andra personuppgifter Ă€n kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€delser, ska information om det naturligtvis lĂ€mnas till det organ som gör den etiska prövningen. Om det, efter att godkĂ€nnande lĂ€mnats, uppstĂ„r ett behov av att behandla ytterligare sĂ„dana personuppgifter fĂ„r

279

Författningskommentar

SOU 2018:52

myndigheten, liksom vid andra förÀndringar av förutsÀttningarna för ett projekt, övervÀga om en ny prövning behöver göras.

Prövning av projekt som inte innefattar kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser

7 § Om myndigheten bedömer att ett projekt, som endast innefattar behandling av andra personuppgifter Àn sÄdana som avses i 4 och 5 §§, inte kan genomföras pÄ grund av 2 kap. 6 § andra stycket regerings- formen, fÄr personuppgifterna behandlas om projektet har prövats och godkÀnts enligt 8 §.

Paragrafen anger vad som gĂ€ller för projekt, som endast innefattar behandling utan samtycke av andra personuppgifter Ă€n kĂ€nsliga per- sonuppgifter och uppgifter om lagövertrĂ€delser, dĂ€r behandlingen Ă€r av sĂ„dan omfattning att den innebĂ€r en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett sĂ„dant betydande intrĂ„ng i den per- sonliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen. ÖvervĂ€gandena finns i avsnitt 13.3.

Vad som avses med projekt framgÄr av författningskommentaren till 3 §.

Även om merparten av myndighetens projekt som medför be- handling av personuppgifter innefattar behandling av kĂ€nsliga per- sonuppgifter, förekommer det att myndigheten i ett projekt endast behöver behandla personuppgifter som varken Ă€r kĂ€nsliga eller utgör uppgifter om lagövertrĂ€delser. Det skulle t.ex. kunna röra sig om en undersökning som kartlĂ€gger privatekonomi och andra levnads- omstĂ€ndigheter för personer som beviljats ekonomiskt bistĂ„nd. Myndigheten har, som framgĂ„r av avsnitt 7.1.4, i mĂ„nga fall möj- lighet att behandla sĂ„dana personuppgifter med stöd av regleringen i dataskyddsförordningen. Även om myndigheten har stöd i data- skyddsförordningen för en behandling av personuppgifter, mĂ„ste dock myndigheten se till att behandlingen inte strider mot 2 kap. 6 § andra stycket regeringsformen. Analysarbetet i ett enskilt projekt kan medföra en sĂ„ omfattande behandling av personuppgifter att det med hĂ€nsyn till den stora mĂ€ngden personuppgifter, uppgifternas integritetskĂ€nsliga karaktĂ€r och ett behov av att koppla samman per- sonuppgifterna, fĂ„r anses innebĂ€ra en sĂ„dan kartlĂ€ggning av enskildas

280

SOU 2018:52

Författningskommentar

personliga förhÄllanden och ett sÄdant betydande intrÄng i den per- sonliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen. SÄdan behandling Àr tillÄten endast med stöd av samtycke eller med lagstöd enligt 20 § i samma kapitel.

Den föreslagna paragrafen utgör ett sÄdant lagstöd som avses i 2 kap. 20 § regeringsformen. Genom bestÀmmelsen ges myndig- heten möjlighet att ansöka om prövning av Etikprövningsmyndig- heten alternativt ett annat sÀrskilt organ för prövning av etiska frÄgor för projekt som i och för sig endast innefattar behandling av andra personuppgifter Àn kÀnsliga personuppgifter eller uppgifter om lag- övertrÀdelser, men som annars enligt myndighetens bedömning inte kan genomföras pÄ grund av 2 kap. 6 § andra stycket regeringsfor- men. Om projektet godkÀnns vid prövningen, Àr behandlingen tillÄten trots 2 kap. 6 § andra stycket regeringsformen.

Om ett projekt endast innefattar behandling av andra person- uppgifter Ă€n kĂ€nsliga personuppgifter och uppgifter om lagöver- trĂ€delser som inte Ă€r sĂ„ omfattande att den innebĂ€r en kartlĂ€ggning av enskildas personliga förhĂ„llanden och ett betydande intrĂ„ng i den personliga integriteten krĂ€vs dĂ€remot inte nĂ„gon prövning av Etik- prövningsmyndigheten eller ÖverklagandenĂ€mnden för etikpröv- ning alternativt ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor. För sĂ„dan behandling fĂ„r myndigheten sjĂ€lv göra en bedömning av om den Ă€r tillĂ„ten enligt dataskyddsförordningen. Övriga bestĂ€m- melser i lagen mĂ„ste dock iakttas Ă€ven vid sĂ„dan behandling.

Etikprövningsmyndigheten eller ÖverklagandenĂ€mnden för etik- prövning eller ett annat sĂ€rskilt organ för prövning av etiska frĂ„gor kan inte överpröva myndighetens bedömning att projektet inte kan genomföras pĂ„ grund av 2 kap. 6 § andra stycket regeringsformen.

Prövningen av etiska frÄgor

ALTERNATIV A

8 § Prövningen enligt 4 § 2, 5 § 2 och 7 § ska göras av Etikprövnings- myndigheten eller ÖverklagandenĂ€mnden för etikprövning. Vid pröv- ning och godkĂ€nnande ska bestĂ€mmelserna om forskning i 6–11 §§ i lagen (2003:460) om etikprövning av forskning som avser mĂ€nniskor tillĂ€mpas pĂ„ motsvarande sĂ€tt. I frĂ„ga om handlĂ€ggningsordningen för

281

Författningskommentar

SOU 2018:52

prövning och godkĂ€nnande samt om överklagande tillĂ€mpas bestĂ€m- melserna i 24–33 samt 36 och 37 §§ samma lag.

Paragrafen anger hur etikprövning enligt den föreslagna lagen ska gĂ„ till. ÖvervĂ€gandena finns i kapitel 10.3.2 och 10.4.1.

Etikprövningsmyndighetens eller ÖverklagandenĂ€mnden för etik- prövnings prövning och godkĂ€nnande av myndighetens projekt enligt 4, 5 och 7 §§ i den föreslagna lagen ska göras pĂ„ motsvarande sĂ€tt och enligt samma kriterier som vid bedömning av forsknings- projekt. Ett etikgodkĂ€nnande ska enligt 6 § etikprövningslagen, avse ett visst projekt eller en del av ett projekt eller en pĂ„ nĂ„got liknande sĂ€tt bestĂ€md analys eller uppföljning. Det Ă€r alltsĂ„ inte aktuellt med ett generellt godkĂ€nnande att under oöverskĂ„dlig framtid fĂ„ utföra vissa analyser. Även om Etikprövningsmyndigheten eller Överklag- andenĂ€mnden för etikprövning har godkĂ€nt ett projekt mĂ„ste myn- digheten, vid behandling av personuppgifter i projektet, följa regler- ingen i dataskyddsförordningen, dataskyddslagen och den föreslagna lagen om behandling av personuppgifter i myndighetens verksam- het. Behandling i etikgodkĂ€nda projekt fĂ„r dock med stöd av regleringen i den föreslagna lagen genomföras trots 2 kap. 6 § andra stycket regeringsformen. Myndigheten ska ocksĂ„ följa eventuella villkor som anges i beslutet om godkĂ€nnande.

Om ett projekt innefattar flera klart avgrĂ€nsade delprojekt, varav bara nĂ„got innefattar behandling av kĂ€nsliga personuppgifter eller uppgifter om lagövertrĂ€delser, behöver bara det delprojektet god- kĂ€nnas för att behandlingen av personuppgifter ska vara tillĂ„ten. Detta förutsĂ€tter att sjĂ€lva delprojektet uppfyller de krav som följer av 7–11 §§ etikprövningslagen. Delprojektet fĂ„r godkĂ€nnas bara om integritetsriskerna för de personer som omfattas av behandlingen uppvĂ€gs av det samhĂ€lleliga intresset av den kunskap som redan del- projektet kan förvĂ€ntas leda till. Om inte delprojektet i sig uppfyller de grav som följer av 7–11 §§ etikprövningslagen, kan hela projektet behöva prövas i ett sammanhang.

BestĂ€mmelserna i 7–11 §§ etikprövningslagen reglerar utgĂ„ngs- punkterna för vad som ska beaktas vid etikprövning av forsknings- projekt. Att bestĂ€mmelserna ska tillĂ€mpas pĂ„ motsvarande sĂ€tt vid den etiska prövningen av myndighetens analysprojekt innebĂ€r att myndighetens projekt bara fĂ„r godkĂ€nnas om det kan utföras med

282

SOU 2018:52

Författningskommentar

respekt för mĂ€nniskovĂ€rdet. Vid prövningen ska mĂ€nskliga rĂ€ttig- heter och grundlĂ€ggande friheter beaktas. Samtidigt ska hĂ€nsyn tas till intresset av att utveckla ny kunskap genom den aktuella studien. MĂ€nniskors vĂ€lfĂ€rd ska ges företrĂ€de framför samhĂ€llsbehovet av att analysen genomförs. Integritetsriskerna för de personer som med- verkar i studien mĂ„ste vĂ€gas upp av studiens vĂ€rde för samhĂ€llet. I stĂ€llet för att vĂ€ga riskerna mot det vetenskapliga vĂ€rdet, som görs nĂ€r det Ă€r frĂ„ga om forskning, fĂ„r alltsĂ„, pĂ„ motsvarande sĂ€tt som gĂ€ller enligt den avvĂ€gningsnorm som tillĂ€mpas vid behandling för statistikĂ€ndamĂ„l enligt 3 kap. 7 § dataskyddslagen, riskerna vĂ€gas mot det samhĂ€lleliga intresset av den kunskap som projektet kan förvĂ€ntas resultera i. Om det förvĂ€ntade resultatet kan uppnĂ„s pĂ„ ett annat sĂ€tt som medför mindre integritetsrisker för de personer som ingĂ„r i studien, fĂ„r projektet inte godkĂ€nnas. Behandling av kĂ€nsliga personuppgifter och uppgifter om lagövertrĂ€delser fĂ„r godkĂ€nnas bara om den Ă€r nödvĂ€ndig för att analysen ska kunna utföras. Det krĂ€vs ocksĂ„ att projektet utförs av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs för det aktuella projektet och de etiska frĂ„gestĂ€llningar som kan aktuali- seras. Det ska, pĂ„ samma sĂ€tt som vid prövningen av forsknings- projekt, göras en helhetsbedömning. Vid bedömningen bör beaktas bl.a. hur pass viktig den kunskap som projektet kan ge Ă€r och om den kunskapen kan erhĂ„llas utan att personuppgifter behandlas eller om integritetsintrĂ„nget kan begrĂ€nsas pĂ„ nĂ„got sĂ€tt. Även sĂ€ker- heten vid behandlingen och omstĂ€ndigheter vid ett eventuellt sam- tycke kan fĂ„ betydelse. Vid intresseavvĂ€gningen bör ocksĂ„ beaktas om information i nĂ„gon form lĂ€mnas till de berörda och i vilken utstrĂ€ckning den som begĂ€r det ska ha rĂ€tt att bli struken. I viss mĂ„n bör ocksĂ„ kunna beaktas hur pass svĂ„rt det Ă€r att pĂ„ grund av de behandlade uppgifterna identifiera enskilda personer.

I paragrafen anges ocksĂ„ att bestĂ€mmelserna i 24–33 samt 36 och

37 §§ etikprövningslagen ska gĂ€lla vid handlĂ€ggning hos Etikpröv- ningsmyndigheten eller ÖverklagandenĂ€mnden för etikprövning och vid överklagande av beslut.

283

Författningskommentar

SOU 2018:52

ALTERNATIV B

8 § Prövningen enligt 4 § 2, 5 § 2 och 7 § ska göras av ett sÀrskilt organ för prövning av etiska frÄgor som har företrÀdare för sÄvÀl det allmÀnna som forskningen och som Àr en statlig myndighet eller Àr knu- tet till en annan statlig myndighet Àn Myndigheten för vÄrd- och om- sorgsanalys.

Ett projekt fÄr godkÀnnas bara om behandlingen av personuppgifter i projektet Àr nödvÀndig och om samhÀllsintresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integ- ritet som behandlingen kan innebÀra. Ett godkÀnnande fÄr förenas med villkor.

Regeringen meddelar föreskrifter om organ som avses i första stycket.

Paragrafen anger vad som ska gĂ€lla i frĂ„ga om den etiska prövningen. ÖvervĂ€gandena finns i avsnitt 10.3.3 och 10.4.2.

Av första stycket framgÄr att prövningen av projekt som bedrivs av Myndigheten för vÄrd- och omsorgsanalys ska göras av ett sÀrskilt organ för prövning av etiska frÄgor. Organet ska ha företrÀdare för sÄvÀl det allmÀnna som forskningen och vara en statlig myndighet eller knuten till en annan statlig myndighet Àn Myndigheten för vÄrd- och omsorgsanalys. Vilket detta organ ska vara regleras i enlig- het med tredje stycket i förordning.

I andra stycket anges den avvÀgningsnorm som ska tillÀmpas vid prövningen av projekten. Ett projekt fÄr godkÀnnas bara om behand- lingen av personuppgifter i projektet Àr nödvÀndig och om samhÀlls- intresset av projektet klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. AvvÀgningsnormen motsvarar den som gÀller vid behandling för statistikÀndamÄl enligt 3 kap. 7 § dataskyddslagen. AvvÀgningsnormen ger uttryck för en restriktiv tillÀmpning och betonar att behand- lingen mÄste vara nödvÀndig samtidigt som en intresseavvÀgning ska göras.

Prövningen och godkÀnnandet ska avse ett visst projekt. Om ett projekt innefattar flera klart avgrÀnsade delprojekt, varav bara nÄgot innefattar behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser, behöver emellertid bara det delprojektet prövas och godkÀnnas för att behandlingen av personuppgifter ska vara tillÄten. Detta förutsÀtter att samhÀllsintresset av redan delprojektet klart

284

SOU 2018:52

Författningskommentar

vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. Om inte delprojektet i sig uppfyller detta, kan hela projektet behöva prövas i ett sammanhang.

Kravet pÄ nödvÀndighet Àr avsett att ha samma innebörd som kravet pÄ nödvÀndighet i dataskyddsförordningen. Kravet innebÀr inte att det mÄste vara omöjligt att utföra det aktuella uppdraget om inte kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser behandlas. Behandling av kÀnsliga personuppgifter eller uppgifter om lagövertrÀdelser kan anses nödvÀndig om den medför effektivi- tetsvinster, Àven om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas pÄ visst sÀtt. Om personuppgifter inte behövs i det aktuella projektet eller om en analys kan utföras nÀstan lika enkelt och till nÀstan samma kostnad utan att personuppgifter behandlas, Àr nödvÀndighetskravet dÀremot inte uppfyllt och behand- ling av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser inte tillÄten.

Den avvĂ€gningsnorm som regleras i paragrafen innebĂ€r att en helhetsbedömning ska göras dĂ€r hĂ€nsyn ska tas till bl.a. vikten av den kunskap det aktuella projektet kan förvĂ€ntas ge och behovet av per- sonuppgifter. Vidare ska hĂ€nsyn tas till omstĂ€ndigheter som sĂ€ker- heten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hĂ€mta in samtycke, i vad mĂ„n den enskilde skulle kun- na skadas om man begĂ€rde samtycke och om en kontakt med den enskilde skulle kunna störa undersökningsresultatet. Vid intresse- avvĂ€gningen bör ocksĂ„ beaktas om information i nĂ„gon form lĂ€mnas till de berörda. Även frĂ„gan om i vilken utstrĂ€ckning den som begĂ€r det ska ha rĂ€tt att bli struken kan övervĂ€gas.

Ett godkÀnnande av myndighetens projekt kan förenas med vill- kor som ska uppfyllas för att behandlingen av personuppgifter ska vara tillÄten. SÄdana villkor kan gÀlla t.ex. formerna för urvalet av deltagare i en studie, inhÀmtande av samtycke eller lÀmnande av information.

285

Författningskommentar

SOU 2018:52

SkyddsÄtgÀrder

9 § De personuppgifter som behandlas i ett projekt ska pseudonymi- seras.

Myndighetschefen fÄr för ett sÀrskilt fall besluta om undantag frÄn första stycket, i den utstrÀckning ÀndamÄlet med behandlingen inte kan uppnÄs med pseudonymiserade personuppgifter.

Myndighetschefen ska besluta om riktlinjer och villkor för nÀr och hur pseudonymiserade personuppgifter fÄr göras identifierbara och för- bud mot att i andra fall sammanföra sÄdana personuppgifter med personuppgifter som Àr direkt hÀnförliga till individer.

Paragrafen reglerar vad som gĂ€ller i frĂ„ga om pseudonymisering. ÖvervĂ€gandena finns i avsnitt 14.5.

Enligt huvudregeln i första stycket ska personuppgifter som be- handlas i ett projekt pseudonymiseras. Med pseudonymisering avses enligt definitionen i artikel 4 punkt 5 i dataskyddsförordningen be- handling av personuppgifter pÄ ett sÀtt som innebÀr att person- uppgifterna inte lÀngre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter anvÀnds. Detta gÀller under förutsÀttning att dessa kompletterande uppgifter förvaras separat och Àr föremÄl för tekniska och organisatoriska ÄtgÀrder som sÀkerstÀller att per- sonuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Pseudonymiserade uppgifter Àr alltsÄ uppgifter som inte direkt kan hÀnföras till en person. Det rör sig dock fortfarande om personuppgifter, eftersom man behÄller möjligheten att Äteridenti- fiera uppgifterna med hjÀlp av kompletterande uppgifter som förvaras separat. De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis Àr kopplade till löpnummer, och direkt identifierbara personuppgifter som namn och personnummer. Pseudonymiseringen ska ske i anslutning till att personuppgifterna kommer in till myn- digheten.

I andra stycket ges möjlighet till undantag frÄn huvudregeln. I den utstrÀckning ÀndamÄlet med behandlingen av personuppgifter i nÄgot fall inte kan uppnÄs med pseudonymiserade uppgifter, fÄr myndig- hetschefen för ett sÀrskilt fall besluta om att personuppgifter inte ska pseudonymiseras. Det kan t.ex. vara aktuellt om det i ett projekt

286

SOU 2018:52

Författningskommentar

behövs en sammanstÀllning av kontaktuppgifter avseende de perso- ner som ska fÄ del av ett frÄgeformulÀr. I ett sÄdant fall Àr det inte ÀndamÄlsenligt att pseudonymisera personuppgifterna, och det finns anledning att besluta om undantag frÄn kravet pÄ pseudonymisering i samband med beslut om ÀndamÄlet för behandlingen enligt 3 §.

Enligt tredje stycket ska myndighetschefen besluta om riktlinjer och villkor för nÀr och hur pseudonymiserade personuppgifter fÄr göras identifierbara. Personuppgifterna ska göras identifierbara igen endast om det finns starka skÀl för detta. SÄdana skÀl kan t.ex. vara att det av omstÀndigheter hÀnförliga till arbetsmetodik, t.ex. behov av samkörning, finns tydliga behov av att hÀnföra uppgifterna till individer. Detta kan dÄ eventuellt ske under begrÀnsade och sÀker- stÀllda former. Riktlinjerna och villkoren mÄste förstÄs vara förenliga med gÀllande rÀtt. Av riktlinjerna och villkoren bör Àven framgÄ pÄ vilket sÀtt myndigheten sÀkerstÀller pseudonymiseringen, t.ex. genom att en kodnyckel förvaras separat frÄn övriga personuppgifter och med en begrÀnsad Ätkomst.

De pseudonymiserade uppgifterna fÄr inte i andra fall Àn de som noggrant övervÀgts och beslutats om av myndighetschefen samman- föras med direkt identifierbara personuppgifter som namn och per- sonnummer. Myndighetschefen ska dÀrför ocksÄ besluta om ett förbud mot att, i andra fall Àn de som uttryckligen framgÄr av de av myndighetschefen beslutade riktlinjerna och villkoren, sammanföra pseudonymiserade personuppgifter med personuppgifter som Àr direkt hÀnförliga till individer.

Enligt 10 § förordningen med instruktion för Myndigheten för vÄrd- och omsorgsanalys Àr generaldirektören myndighetschef. Generaldirektören fÄr inte delegera beslutanderÀtten enligt denna para- graf. Enligt 24 § första stycket myndighetsförordningen kan dock myndighetschefens stÀllföretrÀdare tjÀnstgöra i myndighetschefens stÀlle nÀr myndighetschefen inte Àr i tjÀnst och dÄ fatta beslut enligt paragrafen.

10 § Behörighet för Ätkomst till personuppgifter ska begrÀnsas till vad som behövs för att den enskilde tjÀnstemannen ska kunna fullgöra sina arbetsuppgifter.

Myndighetschefen ska bestĂ€mma villkoren för tilldelning av behö- righet för Ă„tkomst till personuppgifter. Åtkomsten till personuppgifter ska registreras och det ska finnas en funktion vid myndigheten som

287

Författningskommentar

SOU 2018:52

regelbundet kontrollerar registreringarna i syfte att upptÀcka och ÄtgÀr- da obehörig Ätkomst.

Paragrafen reglerar Ă„tkomst till personuppgifter. ÖvervĂ€gandena finns i avsnitt 14.6.

I första stycket anges att behörighet för Ätkomst till personupp- gifter ska begrÀnsas till vad som behövs för att den enskilde tjÀnste- mannen ska kunna fullgöra sina arbetsuppgifter. I vilken omfattning en enskild tjÀnsteman behöver ha tillgÄng till personuppgifter för att kunna fullgöra sina arbetsuppgifter och vilka enskilda personupp- gifter som han eller hon ska fÄ tillgÄng till fÄr avgöras frÄn fall till fall. Det krÀvs sÄledes att myndigheten aktivt tar stÀllning till vilket behov ett visst tjÀnsteÄliggande eller uppdrag innebÀr och att tjÀnste- mannen tilldelas behörighet till olika uppgiftssamlingar utifrÄn detta. Det kan finnas skÀl att förÀndra behörigheten över tid, beroende pÄ hur arbetet vid myndigheten Àr organiserat och beroende pÄ vilka projekt som bedrivs. Beslutet om tilldelning av behörigheter bör kompletteras med tekniska begrÀnsningar som förhindrar att tjÀnste- mannen elektroniskt kommer Ät personuppgifter som han eller hon inte har behov av i sitt arbete och följaktligen inte ska ha Ätkomst till. Den tekniska lösning som vÀljs ska garantera att tillrÀcklig sÀker- het uppnÄs utifrÄn de krav som artikel 32 i dataskyddsförordningen stÀller.

Enligt andra stycket ska myndighetschefen bestÀmma villkoren för tilldelning av behörighet för Ätkomst till personuppgifter.

Enligt 10 § förordningen med instruktion för Myndigheten för vÄrd- och omsorgsanalys Àr generaldirektören myndighetschef. Generaldirektören fÄr inte delegera beslutanderÀtten enligt denna paragraf. Enligt 24 § första stycket myndighetsförordningen kan dock myndighetschefens stÀllföretrÀdare tjÀnstgöra i myndighets- chefens stÀlle nÀr myndighetschefen inte Àr i tjÀnst och dÄ fatta beslut enligt andra stycket.

Myndighetschefen behöver inte besluta om tilldelningen av be- hörighet enligt de beslutade villkoren, utan de kan nÄgon annan be- hörig tjÀnsteman göra.

Beslut om tilldelning av behörigheter bör dokumenteras eftersom de kan fÄ betydelse vid tillÀmpningen av bestÀmmelser om straff- ansvar, bl.a. för dataintrÄng enligt 4 kap. 9 c § brottsbalken.

288

SOU 2018:52

Författningskommentar

Andra stycket stÀller ocksÄ krav pÄ att Ätkomsten till personupp- gifter registreras, lÀmpligen i en logg. Registreringen ska göras i syfte att kunna upptÀcka och ÄtgÀrda obehörig Ätkomst. Det ska ocksÄ finnas en funktion hos myndigheten, t.ex. en viss tjÀnsteman, som regelbundet kontrollerar om nÄgon obehörig Ätkomst till person- uppgifterna har förekommit. Det rÀcker alltsÄ inte att loggarna kon- trolleras bara nÀr myndigheten av nÄgon orsak har fÄtt anledning att misstÀnka att obehörig Ätkomst har förekommit, utan kontroller ska ske systematiskt och Äterkommande. Det Àr i första hand upp till myndigheten att bedöma nÀr och hur kontrollerna ska genomföras.

Gallring

11 § Personuppgifter som behandlas i ett projekt ska gallras senast sex mÄnader efter att projektet Àr slutfört, om inte regeringen eller den myndighet som regeringen bestÀmmer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter fÄr bevaras för arkivÀndamÄl av allmÀnt intresse, veten- skapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl.

Paragrafen anger de sĂ€rskilda bestĂ€mmelser om bevarande och gall- ring som ska gĂ€lla inom lagens tillĂ€mpningsomrĂ„de. ÖvervĂ€gandena finns i avsnitt 15.2.

Av bestÀmmelsen framgÄr att personuppgifter som huvudregel ska gallras senast sex mÄnader efter att projektet Àr slutfört. Med gallring avses utplÄnande av personuppgifterna eller avidentifiering av uppgifterna pÄ ett sÄdant sÀtt att alla identifieringsmöjligheter avlÀgsnas. Uppgifterna ska efter gallringen alltsÄ ha upphört att ut- göra personuppgifter enligt definitionen i artikel 4 punkt 1 i data- skyddsförordningen.

FrÄn huvudregeln görs undantag om regeringen eller den myn- dighet som regeringen bestÀmmer har meddelat föreskrifter eller i ett enskilt fall beslutat om att gallring ska ske senast vid en viss tidpunkt. Regeringen eller den myndighet regeringen bestÀmmer har dessutom möjlighet att besluta att personuppgifter som ingÄr i ett projekt som Àr slutfört ska kunna bevaras för arkivÀndamÄl av all- mÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl.

289

Författningskommentar

SOU 2018:52

20.2Förslaget till lag om Àndring i lagen (2003:460) om etikprövning av forskning som avser mÀnniskor

24 § Etikprövningsmyndigheten ska pröva

1.ansökningar som anges i 23 §,

2.vissa frÄgor i samband med inrÀttande av biobanker enligt lagen (2002:297) om biobanker i hÀlso- och sjukvÄrden m.m., och

3.vissa frÄgor enligt lagen (2019:xx) om behandling av personupp- gifter vid Myndigheten för vÄrd- och omsorgsanalys.

Paragrafen anger Etikprövningsmyndighetens arbetsuppgifter. Över- vĂ€gandena finns i kapitel 10.

Paragrafen har anpassats sÄ att arbetsuppgiften att etikpröva pro- jekt enligt den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys har lagts till. DÀrut- över har vissa redaktionella Àndringar gjorts.

31§ ÖverklagandenĂ€mnden för etikprövning ska pröva överklaganden av sĂ„dana beslut av etikprövningsmyndigheten som anges i 36 §.

NÀmnden ska Àven pröva Àrenden som Etikprövningsmyndigheten har lÀmnat över enligt 29 § och utöva tillsyn enligt 34 och 35 §§. NÀmnden har ocksÄ till uppgift att pröva vissa frÄgor i samband med inrÀttande av biobanker enligt lagen (2002:297) om biobanker i hÀlso- och sjukvÄrden m.m. och vissa frÄgor enligt lagen (2019:xx) om be- handling av personuppgifter vid Myndigheten för vÄrd- och omsorgs- analys.

Paragrafen anger ÖverklagandenĂ€mnden för etikprövnings arbets- uppgifter. ÖvervĂ€gandena finns i kapitel 10.

Paragrafen har anpassats sÄ att arbetsuppgiften att etikpröva pro- jekt enligt den föreslagna lagen om behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys har lagts till.

290

Referenser

Offentligt tryck

UtskottsbetÀnkanden

Konstitutionsutskottets betÀnkande KU 1973:26 med anledning av propositionen 1973:90 med förslag till ny regeringsform och ny riksdagsordning m. m. jÀmte motioner.

Konstitutionsutskottets betÀnkande 1990/91:KU11 Offentlighet, integritet och ADB.

Konstitutionsutskottets betÀnkande 1997/98:KU18 Personuppgiftslag.

Propositioner

Prop. 1975/76:209 om Àndring i regeringsformen. Prop. 1979/80:2 med förslag till sekretesslag m.m. Del A.

Prop. 1989/90:72 om arkiv m.m.

Prop. 1990/91:60 om offentlighet, integritet och ADB. Prop. 1991/92:118 om förenklad statistikreglering.

Prop. 1994/95:200 Lag om vissa personregister för officiell statistik m.m. Prop. 1997/98:44 Personuppgiftslag.

Prop. 1997/98:97 Polisens register.

Prop. 1998/99:72 RĂ€ttspsykiatriskt forskningsregister.

Prop. 1999/2000:39 Registrering av fastighetsrÀttsliga förhÄllanden, m.m. Prop. 2000/01:27 En ny statistiklagstiftning

Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution.

Prop. 2000/01:80 Ny socialtjÀnstlag m.m.

291

Referenser

SOU 2018:52

Prop. 2002/03:50 Etikprövning av forskning.

Prop. 2002/03:135 Behandling av personuppgifter inom socialförsÀk- ringens administration.

Prop. 2005/06:70 Ändringar i lĂ€kemedelslagstiftningen m.m. Prop. 2005/06:173 Översyn av personuppgiftslagen.

Prop. 2007/08:44 Vissa etikprövningsfrÄgor m.m. Prop. 2007/08:126 Patientdatalag m.m.

Prop. 2008/09:145 Omreglering av apoteksmarknaden. Prop. 2008/09:150 Offentlighets- och sekretesslag. Prop. 2009/10:80 En reformerad grundlag.

Prop. 2009/10:83 Etisk bedömning av nya metoder i vÄrden.

Prop. 2009/10:85 Integritet och effektivitet i polisens brottsbekÀmpande verksamhet.

Prop. 2011/12:45 Kustbevakningsdatalag.

Prop. 2011/12:176 Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering.

Prop. 2013/14:162 Ändringar av statistiksekretessen.

Prop. 2015/16:156 Ändringar i lagen om tillĂ€mpning av Europeiska unionens statsstödsregler.

Prop. 2016/17:180 En modern och rĂ€ttssĂ€ker förvaltning – ny förvalt- ningslag.

Prop. 2017/18:45 En ny organisation för etikprövning av forskning som avser mÀnniskor.

Prop. 2017/18:95 Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.

Prop. 2017/18:105 Ny dataskyddslag.

Prop. 2017/18:107 Ändringar i vissa författningar inom Finansdeparte- mentets ansvarsomrĂ„de med anledning av EU:s dataskyddsreform.

Prop. 2017/18:112 Anpassningar av registerförfattningar pÄ arbets- marknadsomrÄdet till EU:s dataskyddsförordning.

Prop. 2017/18:171 Dataskydd inom Socialdepartementets verksam- hetsomrĂ„de– en anpassning till EU:s dataskyddsförordning.

Prop. 2017/18:232 Brottsdatalag.

292

SOU 2018:52

Referenser

Statens offentliga utredningar

SOU 1987:31 Integritetsskyddet i informationssamhÀllet 4.

SOU 1997:39 Integritet ∙ Offentlighet ∙ Informationsteknik.

SOU 1997:65 Polisens register.

SOU 1999:109 Behandling av personuppgifter inom socialtjÀnsten. SOU 2003:99 Ny sekretesslag.

SOU 2006:82 Patientdatalag.

SOU 2008:3 Skyddet för den personliga integriteten. Bedömningar och förslag.

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsÀk- ringen.

SOU 2015:39 Myndighetsdatalag. SOU 2017:29 Brottsdatalag.

SOU 2017:39 Ny dataskyddslag. Kompletterande bestÀmmelser till EU:s dataskyddsförordning.

SOU 2017:50 Personuppgiftsbehandling för forskningsÀndamÄl.

SOU 2017:66 Dataskydd inom Socialdepartementets verksamhets- omrĂ„de – en anpassning till EU:s dataskyddsförordning.

SOU 2017:74 Brottsdatalag – kompletterande lagstiftning.

SOU 2017:104 Etikprövning – en översyn av reglerna om forskning och hĂ€lso- och sjukvĂ„rd.

Departementsserien

Ds 2016:46 En ny organisation för etikprövning av forskning.

Ds 2017:28 En anpassning till dataskyddsförordningen av dataskydds- bestÀmmelser inom NÀringsdepartementets verksamhetsomrÄde.

Ds 2017:33 Anpassningar till dataskyddsförordningen av registerför-

fattningar inom Arbetsmarknadsdepartementets ansvarsomrÄde.

293

Referenser

SOU 2018:52

Promemorior

Promemoria av Utredningen om inrÀttande av en ny oberoende gransk- ningsmyndighet med ansvar för uppföljning och utvÀrdering av hÀlso- och sjukvÄrden (S 2010:05).

Finansdepartementets promemoria, EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution, dnr Fi2017/02899/S3.

Kommittédirektiv

Dir. 2010:58 InrÀttande av en ny oberoende granskningsmyndighet med ansvar för uppföljning och utvÀrdering av hÀlso- och sjukvÄrden.

Dir. 2016:45 Översyn av regelverken för forskningsetik och grĂ€ns- omrĂ„det mellan klinisk forskning och hĂ€lso- och sjukvĂ„rd.

Dir. 2017:52 TillÀggsdirektiv till Utredningen om översyn av etikpröv- ningen (U 2016:02).

Dir. 2017:67 TillÀggsdirektiv till Socialdataskyddsutredningen (S 2016:05).

Dir. 2018:1 TillÀggsdirektiv till Socialdataskyddsutredningen (S 2016:05).

Regeringsbeslut

Ändring av uppdrag att följa upp och utvĂ€rdera handlingsplanen PRIO psykisk ohĂ€lsa 2012–2016, dnr S2012/4529/FS.

Regleringsbrev för budgetÄret 2016 avseende Myndigheten för vÄrd- och omsorgsanalys, dnr S2015/04519/RS och S2015/08135/RS (delvis).

Uppdrag att följa och utvÀrdera nyttan med arbetet som syftar till ett ordnat nationellt införande av nya lÀkemedel,

dnr S2016/01693/FS (delvis).

Uppdrag att följa upp regeringens satsning pĂ„ förlossningsvĂ„rden och andra insatser för kvinnors hĂ€lsa 2015–2019,

dnr S2016/06723/FS.

294

SOU 2018:52

Referenser

Regleringsbrev för budgetÄret 2017 avseende Myndigheten för vÄrd- och omsorgsanalys, dnr S2016/07779/RS (delvis).

Uppdrag att ta fram ett kunskapsunderlag kring införande, anvÀnd- ning och uppföljning av cancerlÀkemedel, dnr S2017/00359/FS (delvis).

Litteratur

Berggren m.fl., Brottsbalken – En kommentar (1 juni 2017, Zeteo).

Öman & Lindblom, Personuppgiftslagen – En kommentar (15 september 2016, Zeteo).

Domar

EU-domstolens dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724.

RÅ 1992 not 456. RÅ 2005 ref 9.

Övrigt

Ansökan om etikprövning, http://www.epn.se/start/

Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

Brottsförebyggande rÄdets Ärsredovisning 2016.

Brottsförebyggande rĂ„dets rapport 2016:21 Skolundersökningen om brott 2015 – Om utsatthet och delaktighet i brott.

Brottsförebyggande rĂ„dets rapport 2017:1 Nationella trygghetsunder- sökningen 2016 – Om utsatthet, otrygghet och förtroende.

Centrala EtikprövningsnĂ€mndens beslut, Dnr Ö 12-2014. Datainspektionens rapport 2002:1 Nationella kvalitetsregister. Datainspektionens yttrande, dnr 2529-2014. Datainspektionens yttrande, dnr 1125-2015.

295

Referenser

SOU 2018:52

Myndigheten för vÄrd- och omsorgsanalys analysplan för 2017. Myndigheten för vÄrd- och omsorgsanalys analysplan för 2018.

296

Bilaga 1

Kommittédirektiv 2016:52

Dataskyddsförordningen

–behandling av personuppgifter och anpassningar av författningar

inom Socialdepartementets verksamhetsomrÄde

Beslut vid regeringssammantrÀde den 16 juni 2016

Sammanfattning

EU har beslutat om en förordning som utgör en ny generell regler- ing för personuppgiftsbehandling inom EU.

En sÀrskild utredare ska analysera vilka konsekvenser förordning (EU) 2016/679 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn data- skyddsförordning), nedan kallad dataskyddsförordningen, medför i frÄga om personuppgiftsbehandling inom Socialdepartementets verksamhetsomrÄde samt föreslÄ behövliga och lÀmpliga anpass- ningar av författningar inom verksamhetsomrÄdet till följd av den nya förordningen.

Utredaren ska bl.a.

–undersöka vilka konsekvenser dataskyddsförordningen medför i frĂ„ga om personuppgiftsbehandling inom Socialdepartementets verksamhetsomrĂ„de,

–undersöka vilka anpassningar som Ă€r behövliga eller lĂ€mpliga med anledning av den nya förordningen,

297

Bilaga 1

SOU 2018:52

–övervĂ€ga behovet av anpassningar av bestĂ€mmelser om undantag frĂ„n förbudet att behandla sĂ€rskilda kategorier av personuppgifter,

–undersöka om det behövs nationella anpassningar avseende skyldig- heter och rĂ€ttigheter enligt dataskyddsförordningen, t.ex. rĂ€tten för den registrerade att göra invĂ€ndningar mot behandling av personuppgifter,

–undersöka om det behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar sĂ€rskilda register- författningar.

Om utredaren bedömer att författningar behöver Àndras, ska utre- daren lÀmna förslag till författningsÀndringar. Uppdraget ska redo- visas senast den 31 augusti 2017.

Den nuvarande och den nya regleringen

Dataskyddsdirektivet – den nuvarande EU-regleringen

Den allmÀnna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende pÄ behandling av personuppgifter och om behandling av det fria flödet av sÄdana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvÀrdig skyddsnivÄ nÀr det gÀller enskilda personers fri- och rÀttigheter med avseende pÄ behandling av personuppgifter, samt att frÀmja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gÀller inte för behandling av personuppgifter pÄ omrÄden som faller utanför unionsrÀtten, t.ex. allmÀn sÀkerhet och försvar samt statens verksamhet pÄ straffrÀttens omrÄde.

Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rÄdets förordning (EU) 2016/679 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana

298

SOU 2018:52

Bilaga 1

uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn data- skyddsförordning). Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersÀtter det nuvarande dataskyddsdirektivet nÀr den börjar tillÀmpas den 25 maj 2018. Det huvudsakliga syftet med förordningen Àr att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbÀttra den inre marknadens funktion och öka enskildas kontroll över sina per- sonuppgifter.

Dataskyddsförordningen baseras till stor del pÄ dataskydds- direktivets struktur och innehÄll men innebÀr Àven en rad nyheter sÄsom en utökad informationsskyldighet, administrativa sanktions- avgifter och inrÀttandet av Europeiska dataskyddsstyrelsen. Data- skyddsförordningen Àr direkt tillÀmplig i medlemsstaterna men bÄde förutsÀtter och möjliggör kompletterande nationella bestÀmmelser av olika slag.

Av artikel 6.2 framgÄr exempelvis att medlemsstaterna fÄr behÄlla eller införa mer specifika bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen för sÄdan personuppgiftsbehand- ling som Àr nödvÀndig för att fullgöra en rÀttslig förpliktelse eller utföra en uppgift av allmÀnt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning. Medlemsstaterna fÄr i frÄga om sÄdan behandling nÀrmare faststÀlla specifika krav och andra ÄtgÀrder för att sÀkerstÀlla en laglig och rÀttvis behandling av upp- gifterna. Enligt artikel 6.3 i förordningen ska i dessa fall grunden för behandlingen faststÀllas i enlighet med unionsrÀtten eller nationell rÀtt.

Personuppgiftslagen – den nuvarande svenska regleringen

Dataskyddsdirektivet har genomförts i svensk rÀtt huvudsakligen genom personuppgiftslagen (1998:204). BestÀmmelserna i person- uppgiftslagen har till syfte att skydda mÀnniskor mot att deras per- sonliga integritet krÀnks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehÄller liksom direktivet bestÀmmelser om bl.a. personupp- giftsansvar, grundlÀggande krav för behandling av personuppgifter och information till den registrerade.

299

Bilaga 1

SOU 2018:52

Personuppgiftslagen Àr tillÀmplig Àven utanför EU-rÀttens om- rÄde och gÀller bÄde för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen Àr samtidigt subsidiÀr vilken innebÀr att lagens bestÀmmelser inte ska tillÀmpas om det finns avvikande bestÀmmelser i en annan lag eller förordning. Det finns en stor mÀngd sÄdana bestÀmmelser i s.k. sÀrskilda registerförfattningar som frÀmst reglerar hur olika myndigheter fÄr behandla personupp- gifter.

Regeringsformen och kravet pÄ lagreglering för viss personuppgiftsbehandling

I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmÀnna Àr skyddad mot betydande intrÄng i den per- sonliga integriteten, om det sker utan samtycke och innebÀr över- vakning eller kartlÀggning av den enskildes personliga förhÄllanden. BegrÀnsningar av denna fri- och rÀttighet fÄr enligt 2 kap. 20 § reger- ingsformen under vissa förutsÀttningar göras genom lag. Regleringen i regeringsformen innebÀr att viss personuppgiftsbehandling mÄste regleras i lag.

SÀrskilda registerförfattningar inom Socialdepartementets verksamhetsomrÄde

Inom Socialdepartementets verksamhetsomrÄde finns ett stort antal författningar som innehÄller bestÀmmelser om personuppgiftsbehand- ling av olika slag. Exempelvis kan följande författningar nÀmnas: lagen (1996:1156) om receptregister, lagen (1998:543) om hÀlsodata- register med flera tillhörande s.k. hÀlsodataförordningar, lagen (2001:454) om behandling av personuppgifter inom socialtjÀnsten, lagen (2002:297) om biobanker i hÀlso- och sjukvÄrden m.m., lagen (2005:258) om lÀkemedelsförteckning, lagen (2006:496) om blod- sÀkerhet, lagen (2006:1570) om internationella hot mot mÀnniskors hÀlsa, lagen (2008:286) om kvalitets- och sÀkerhetnormer vid han- tering av mÀnskliga vÀvnader och celler, patientdatalagen (2008:355), apoteksdatalagen (2009:367), socialförsÀkringsbalken, lagen (2012:263) om kvalitets- och sÀkerhetsnormer vid hantering av mÀnskliga organ, lagen (2012:453) om register över nationella vaccinationsprogram samt lÀkemedelslagen (2015:315).

300

SOU 2018:52

Bilaga 1

Regeringen har vidare föreslagit en ny lag om behandling av person- uppgifter i Àrenden om licens för lÀkemedel, se prop. 2015/16:143.

I författningar tillhörande Socialdepartementets verksamhets- omrÄde finns dessutom hÀnvisningar till personuppgiftslagen exem- pelvis i lagen (2006:351) om genetisk integritet m.m. och alkohol- lagen (2010:1622).

Uppdraget

AllmÀnna riktlinjer för uppdraget

Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. I egenskap av förordning har den allmÀn giltighet och Àr bindande och direkt tillÀmplig i med- lemsstaterna. UtgÄngspunkten Àr att en EU-förordning inte ska genomföras nationellt, men förordningen kan innebÀra behov av att anpassa nationella författningar och t.ex. upphÀva nationella bestÀm- melser som stÄr i strid med förordningen. Den nya dataskydds- förordningen medför bl.a. att personuppgiftslagen och person- uppgiftsförordningen samt Datainspektionens föreskrifter i anslut- ning till denna reglering mÄste upphÀvas.

Regeringen har bedömt att det finns ett behov av att ta fram en nationell reglering som pÄ ett generellt plan kompletterar förord- ningen och har dÀrför tillsatt en utredning som ska lÀmna sÄdana förslag (Ju 2016:04). Utredningen ska bl.a. undersöka vilka kom- pletterande nationella föreskrifter, exempelvis processuella bestÀm- melser, som förordningen krÀver och övervÀga vilka kompletterande bestÀmmelser om t.ex. behandling av kÀnsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen. Det nÀmnda uppdraget omfattar dÀremot inte att se över eller lÀmna förslag till förÀndringar av sÄdan sektorsspecifik reglering om be- handling av personuppgifter som bl.a. finns i de sÀrskilda register- författningarna.

Inom Socialdepartementets verksamhetsomrÄde finns som redo- visats tidigare flera sÀrskilda registerförfattningar och andra författ- ningar som reglerar departementets myndigheters personuppgifts- behandling eller personuppgiftsbehandling i övrigt inom departe- mentets verksamhetsomrÄden.

301

Bilaga 1

SOU 2018:52

Regeringen anser att det finns behov av att samlat undersöka vilka konsekvenser dataskyddsförordningen medför i frÄga om person- uppgiftsbehandling inom Socialdepartementets verksamhetsomrÄde samt analysera vilka anpassningar av författningar som krÀvs eller bör göras med anledning av den nya EU-regleringen och person- uppgiftslagens upphÀvande. Inom ramen för en sÄdan undersökning behöver bl.a. förutsÀttningarna för att behÄlla eller införa nationell reglering i enlighet med artikel 6.2 i dataskyddsförordningen analyseras. Om utredaren bedömer att författningar mÄste eller bör Àndras, ska utredaren lÀmna förslag till författningsÀndringar.

UtifrÄn den utredningstid som finns tillgÀnglig för att hinna ut- reda och ta fram förslag till Àndringar i författningar som Àr behöv- liga för att det ska finns rÀttsligt stöd för befintlig personuppgifts- behandling och anpassa de befintliga registerförfattningarna till dataskyddsförordningen sÄ bedöms det att utredningens arbete be- höver inrikta sig pÄ sÄdana Àndringar. Möjligheter att utreda och föreslÄ andra materiella Àndringar, dvs. mer allmÀnna översyner, Àr dÀrmed begrÀnsad.

Det Àr viktigt att den nationella regleringen Àr sÄ enhetlig som möjligt i sin utformning, vilket t.ex. innebÀr att termer, uttryck och struktur samt hÀnvisningar till dataskyddsförordningen Àr enhetliga. Detta ska utredaren beakta i sitt uppdrag.

Vid utförandet av uppdraget Ă€r det ocksĂ„ viktigt att – i den mĂ„n utrymme finns pĂ„ nationell nivĂ„ – hitta lĂ€mpliga avvĂ€gningar mellan skyddet för den personliga integriteten och myndigheters, företags och enskildas behov av att kunna behandla personuppgifter eller att anvĂ€nda informations- och kommunikationsteknik inom olika om- rĂ„den.

Den enskilde har exempelvis intresse av att fÄ sina Àrenden hos myndigheter handlagda effektivt och att fÄ tillgÄng till olika sam- hÀlleliga verksamheter, t.ex. inom hÀlso- och sjukvÄrden, pÄ ett för denne lÀmpligt sÀtt. För nÀringslivet finns det intresse av att undvika onödiga hinder som försvÄrar sÄdan personuppgiftsbehandling som behövs för att kunna erbjuda befintliga och utveckla nya innovativa tjÀnster och produkter av god kvalitet genom att anvÀnda informa- tions- och kommunikationsteknik.

302

SOU 2018:52

Bilaga 1

I mÄnga av verksamheterna inom Socialdepartementets verksam- hetsomrÄde hanteras barns personuppgifter i stor utstrÀckning. Mot bakgrund av Ätaganden i FN:s konvention om barnets rÀttigheter bör utredaren i möjligaste mÄn och dÀr det Àr relevant ocksÄ upp- mÀrksamma barns rÀttigheter inom ramarna för utredningsuppdraget.

Utredaren fÄr inte avvika frÄn generellt och direkt tillÀmplig unionsrÀtt eller pÄ annat sÀtt lÀmna förslag som medför en konflikt med unionsrÀtten, dvs. utredarens förslag ska överensstÀmma med unionsrÀtten.

Utredaren ska

–undersöka vilka konsekvenser dataskyddsförordningen medför i frĂ„ga om personuppgiftsbehandling inom Socialdepartementets verksamhetsomrĂ„de,

–undersöka vilka anpassningar av de författningar som hör till Socialdepartementets verksamhetsomrĂ„de som krĂ€vs eller bör göras med anledning av dataskyddsförordningen, och

–lĂ€mna behövliga och lĂ€mpliga författningsförslag.

Behov av anpassningar av författningar som reglerar behandling av sÀrskilda kategorier av personuppgifter

Dataskyddsförordningen innehÄller i likhet med dataskyddsdirek- tivet och personuppgiftslagen ett principiellt förbud mot att be- handla vissa sÀrskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening och behandling av genetiska uppgifter, biometriska uppgif- ter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning ska vara förbjuden (artikel 9.1). I dataskyddsförordningen finns ocksÄ definitioner av vad som exempelvis avses med genetiska uppgifter, biometriska uppgifter och uppgifter om hÀlsa (artikel 4). Av dessa kategorier Àr genetiska uppgifter, biometriska uppgifter och uppgifter om en persons sexuella lÀggning nya i förhÄllande till dataskyddsdirektivet.

303

Bilaga 1

SOU 2018:52

FrÄn förbudet finns ett antal viktiga undantag (artikel 9.2). För att vissa av undantagen ska vara tillÀmpliga krÀvs att grunden för sÄdana behandlingar pÄ olika sÀtt kommer till uttryck i unionsrÀtten eller i nationell rÀtt.

I dag finns vissa undantagsbestĂ€mmelser i 15–19 §§ personupp- giftslagen och det ingĂ„r i uppdraget för den utredning som ska ta fram en kompletterande generell nationell reglering till förordningen att övervĂ€ga vilka kompletterande bestĂ€mmelser om undantag frĂ„n förbudet som ocksĂ„ bör finnas i en sĂ„dan reglering, se dir. 2016:15 s. 16 och 17.

Inom Socialdepartementets verksamhetsomrÄde förekommer omfattande personuppgiftsbehandling som förutsÀtter att myndig- heter eller privata utförare fÄr behandla sÀrskilda kategorier av per- sonuppgifter. Det gÀller exempelvis inom hÀlso- och sjukvÄrden och socialtjÀnsten. Behandlingen av sÄdana personuppgifter behövs t.ex. i Àrendehantering och för att faktiskt tillhandahÄlla hÀlso- och sjukvÄrd eller insatser inom socialtjÀnsten. Vidare finns olika former av register som innehÄller sÀrskilda kategorier av personuppgifter för att en eller flera myndigheter ska kunna bedriva sin verksamhet eller för att andra aktörer ska kunna fÄ del av uppgifterna för t.ex. forskning eller epidemiologiska undersökningar. I uppdraget som rör Socialdepartementets verksamhetsomrÄde Àr det dÀrför sÀrskilt viktigt att övervÀga behov av anpassningar av bestÀmmelser om undantag frÄn förbudet att behandla vissa sÀrskilda kategorier av personuppgifter, t.ex. med anledning av de nytillförda kategorierna.

En utgÄngspunkt för uppdraget i denna del Àr att de befintliga förutsÀttningarna för ÀndamÄlsenlig behandling av personuppgifter inom Socialdepartementets verksamhetsomrÄde inte försÀmras.

Utredaren ska

–övervĂ€ga behov av anpassningar av bestĂ€mmelser om undantag frĂ„n förbudet att behandla sĂ€rskilda kategorier av personupp- gifter i de författningar som hör till Socialdepartementets verk- samhetsomrĂ„de, och

–lĂ€mna behövliga och lĂ€mpliga författningsförslag.

304

SOU 2018:52

Bilaga 1

Nationella begrÀnsningar av vissa skyldigheter och rÀttigheter

Den registrerade har enligt artikel 21 i dataskyddsförordningen i vissa fall rÀtt att göra invÀndningar mot behandling av personupp- gifter som grundar sig pÄ t.ex. artikel 6.1 e behandling som Àr nöd- vÀndig för att utföra en uppgift av allmÀnt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Den personuppgiftsansvarige fÄr i dessa fall inte lÀngre behandla personuppgifter sÄvida denne inte kan pÄvisa tvingande berÀttigade skÀl för behandlingen som vÀger tyngre Àn den registrerades intressen, rÀttigheter och friheter eller om det som sker för faststÀllande, utöv- ande eller försvar av rÀttsliga ansprÄk. Senast vid den första kom- munikationen med den registrerade ska den rÀtt till invÀndning uttryckligen meddelas den registrerade och redovisas tydligt, klart och Ätskilt frÄn eventuell annan information. Om personuppgifter behandlas för vetenskapliga och historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1, ska den registrerade pÄ motsvarande sÀtt ha rÀtt att göra invÀndningar mot behandling avseende honom eller henne om inte behandlingen Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse.

I vissa författningar inom Socialdepartementets verksamhets- omrÄden finns bestÀmmelser som innebÀr att den enskilde har rÀtt att motsÀtta sig behandling av personuppgifter (opt-out), se exem- pelvis 6 kap. 2 § och 7 kap. 2 § patientdatalagen. Men det förekom- mer ocksÄ bestÀmmelser som innebÀr att personuppgiftsbehandling Àr tillÄten Àven om den enskilde motsÀtter sig det, se exempelvis

2kap. 2 § patientdatalagen. FörutsÀttningarna för att behÄlla eller in- föra sÄdana bestÀmmelser regleras av bl.a. artikel 23 i dataskydds- förordningen och det behöver analyseras om detta föranleder behov av att anpassa lagstiftningen pÄ det aktuella omrÄdet.

Den registrerade ska vidare enligt artikel 22 dataskyddsförord- ningen ha rÀtt att inte bli föremÄl för ett beslut som enbart grundas pÄ automatiserad behandling, inbegripet profilering, vilket har rÀttsliga följder för honom eller henne eller pÄ liknande sÀtt i bety- dande grad pÄverkar honom eller henne. Detta ska dock inte tillÀm- pas t.ex. om beslutet tillÄts enligt unionsrÀtten eller en medlemsstats nationella rÀtt som faststÀller lÀmpliga ÄtgÀrder till skydd för den registrerades rÀttigheter, friheter och berÀttigade intressen eller grundar sig pÄ den registrerades uttryckliga samtycke.

305

Bilaga 1

SOU 2018:52

I 112 kap. 7 § socialförsÀkringsbalken (SFB) föreskrivs att beslut om allmÀn Älderspension fÄr fattas genom automatiserad behandling av Pensionsmyndigheten nÀr skÀlen för beslutet fÄr utelÀmnas enligt 20 § förvaltningslagen (1986:223). Detsamma gÀller i tillÀmpliga delar för Pensionsmyndighetens beslut om efterlevandepension och efterlevandestöd.

Skatteverkets beslut om pensionsgrundande inkomst fÄr fattas genom automatiserad behandling nÀr skÀlen för beslutet fÄr ute- lÀmnas enligt 20 § förvaltningslagen (112 kap. 6 § SFB). Mot bak- grund av förekomsten av automatiserat beslutsfattande i verksam- heter som omfattas av Socialdepartementets verksamhetsomrÄde behöver det analyseras om bestÀmmelserna i dataskyddsförord- ningen innebÀr behov av att anpassa eller införa nationell reglering.

Genom artikel 23.1 i dataskyddsförordningen ges medlemsstaterna möjlighet att under vissa förhĂ„llanden begrĂ€nsa omfattningen av vissa av de andra skyldigheter och rĂ€ttigheter som förordningen föreskriver. Utöver de rĂ€ttigheter som berörts ovan gĂ€ller detta bl.a. rĂ€tten till information och tillgĂ„ng till personuppgifter (artikel 12–

15)samt rĂ€ttelse, radering och begrĂ€nsning av behandling (artikel 16–19).

I det nuvarande dataskyddsdirektivet finns motsvarande regler- ing om undantag i artikel 13. Undantag med stöd av den bestÀm- melsen tas ofta in i sektorsspecifik lagstiftning, Dataskyddsförord- ningens bestÀmmelser Àr dock mer omfattande Àn direktivets bl.a. nÀr det gÀller tillÀmpningsomrÄden för de skyldigheter och rÀttig- heter som kan begrÀnsas.

Utredaren ska

–undersöka om det behövs anpassningar i nuvarande författningar avseende de rĂ€ttigheter som dataskyddsförordningen ger den registrerade vad gĂ€ller dennes rĂ€tt att göra invĂ€ndningar mot behandling av personuppgifter och att inte bli föremĂ„l för auto- matiserat individuellt beslutsfattande,

–analysera om det finns behov av att anpassa eller införa nationella begrĂ€nsningar av vissa andra skyldigheter och rĂ€ttigheter, och

–lĂ€mna behövliga och lĂ€mpliga författningsförslag.

306

SOU 2018:52

Bilaga 1

Behov av kompletterande regler om behandling av personuppgifter hos vissa myndigheter och verksamheter som saknar sÀrskilda registerförfattningar?

För nÄgra av de myndigheter och verksamheter som hör till Social- departementet saknas i dag sÀrskilda registerförfattningar med be- stÀmmelser för den personuppgiftsbehandling som dessa utför. Detta gÀller exempelvis Myndigheten för vÄrd- och omsorgsanalys, Inspektionen för socialförsÀkringen (ISF), Myndigheten för familje- rÀtt och förÀldraskapsstöd och FolkhÀlsomyndigheten som dÀrmed tillÀmpar personuppgiftslagen vid sin personuppgiftsbehandling.

I frÄga om ISF:s personuppgiftsbehandling har Utredningen om personuppgiftsbehandling vid ISF i betÀnkandet Inbyggd integritet inom Inspektionen för socialförsÀkringen (SOU 2014:67) bl.a. lÀmnat ett förslag till ny lag om behandling av personuppgifter inom ISF:s verksamhet. BetÀnkandet bereds inom Regeringskansliet. Ut- redaren bör övervÀga vilka anpassningar som till följd av dataskydds- förordningen kan behöva göras av de förslag som lÀmnats i betÀnk- andet SOU 2014:67.

Utredaren ska

–undersöka om det till följd av personuppgiftslagens upphĂ€vande och regleringen i dataskyddsförordningen behövs komplette- rande föreskrifter för vissa myndigheter och verksamheter som i dag saknar sĂ€rskilda registerförfattningar, och

–lĂ€mna behövliga och lĂ€mpliga författningsförslag.

Övriga frĂ„gor

Utredaren Àr oförhindrad att inom de ramar som anges i de allmÀnna riktlinjerna belysa Àven andra frÄgestÀllningar och lÀmna förslag som Àr relevanta för uppdraget.

Om utredaren kommer fram till att det krÀvs eller Àr lÀmpligt med kompletterande bestÀmmelser i andra delar Àn de som ska utredas sÀrskilt, fÄr sÄdana föreslÄs.

307

Bilaga 1

SOU 2018:52

Konsekvensbeskrivningar

Ekonomiska och andra konsekvenser för enskilda personer, för före- tag och för det allmĂ€nna av de förslag som lĂ€mnas ska redovisas. Förslagens konsekvenser ska redovisas enligt 14–15 a §§ kom- mittĂ©förordningen (1998:1474). Om förslagen kan förvĂ€ntas leda till kostnadsökningar för det allmĂ€nna, ska utredaren föreslĂ„ hur dessa ska finansieras. Utredaren ska ocksĂ„ redovisa förslagens kon- sekvenser för den personliga integriteten.

SamrÄd och redovisning av uppdraget

Vid anpassningen av svensk rÀtt till den nya EU-regleringen bör en enhetlig tolkning efterstrÀvas. Utredaren ska dÀrför hÄlla sig infor- merad om och beakta relevant arbete som bedrivs inom Regerings- kansliet, utredningsvÀsendet och inom EU. Detta innebÀr bl.a. att utredaren ska följa och i lÀmplig omfattning samrÄda med övriga utredningar som har i uppdrag att anpassa svensk rÀtt till reformen av EU:s dataskyddsregelverk.

Under genomförandet av uppdraget ska utredaren, i den utstrÀck- ning som bedöms lÀmplig, ocksÄ inhÀmta synpunkter och upplys- ningar frÄn de myndigheter och andra organisationer som kan vara berörda av aktuella frÄgor.

Uppdraget ska redovisas senast den 31 augusti 2017.

(Socialdepartementet)

308

Bilaga 2

Kommittédirektiv 2017:67

TillÀggsdirektiv till

Socialdataskyddsutredningen (S 2016:05)

Beslut vid regeringssammantrÀde den 15 juni 2017

TillÀggsuppdrag

Regeringen beslutade den 16 juni 2016 kommittĂ©direktiv om Data- skyddsförordningen – behandling av personuppgifter och anpass- ningar av författningar inom Socialdepartementets verksamhets- omrĂ„de (dir 2016:52). Utredningen har antagit namnet Socialdata- skyddsutredningen. Enligt direktiven ska uppdraget redovisas senast den 31 augusti 2017.

Av direktiven framgÄr att utredaren bl.a. ska analysera vilka konsekvenser förordning (EU) 2016/679 om skydd för enskilda per- soner med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning) medför i frÄga om person- uppgiftsbehandling inom Socialdepartementets verksamhetsomrÄde samt föreslÄ behövliga och lÀmpliga anpassningar av författningar inom verksamhetsomrÄdet till följd av att den nya förordningen.

Utredaren fĂ„r i tillĂ€ggsuppdrag att utreda behovet av en sĂ€rskild författning med bestĂ€mmelser om personuppgiftsbehandling för Myndigheten för vĂ„rd- och omsorgsanalys. Om sĂ„dana behov finns, ska utredaren lĂ€mna behövliga författningsförslag. Utredningstiden förlĂ€ngs nu t.o.m. den 15 januari 2018 nĂ€r det gĂ€ller tillĂ€ggsupp- draget. Övriga frĂ„gor i ursprungsdirektiven ska alltjĂ€mt redovisas i ett betĂ€nkande senast den 31 augusti 2017.

(Socialdepartementet)

309

Bilaga 3

Kommittédirektiv 2018:1

TillÀggsdirektiv till

Socialdataskyddsutredningen (S 2016:05)

Beslut vid regeringssammantrÀde den 11 januari 2018

FörlÀngd tid och tillÀggsuppdrag

Regeringen beslutade den 16 juni 2016 kommittĂ©direktiv om Data- skyddsförordningen – behandling av personuppgifter och anpass- ningar av författningar inom Socialdepartementets verksamhets- omrĂ„de (dir. 2016:52). Enligt direktiven ska uppdraget redovisas senast den 31 augusti 2017.

Av direktiven framgĂ„r att utredaren bl.a. ska analysera vilka konsekvenser förordning (EU) 2016/679 om skydd för enskilda personer med avseende pĂ„ behandling av personuppgifter och om det fria flödet av sĂ„dana uppgifter och om upphĂ€vande av direk- tiv 95/46/EG (allmĂ€n dataskyddsförordning) medför i frĂ„ga om personuppgiftsbehandling inom Socialdepartementets verksamhets- omrĂ„de och föreslĂ„ behövliga och lĂ€mpliga anpassningar av författ- ningar inom verksamhetsomrĂ„det till följd av den nya förordningen. Detta uppdrag redovisades i betĂ€nkandet Dataskydd inom Social- departementets verksamhetsomrĂ„de – en anpassning till EU:s data- skyddsförordning (SOU 2017:66).

Utredaren fick den 15 juni 2017 i tillÀggsuppdrag att utreda behovet av en sÀrskild författning med bestÀmmelser om person- uppgiftsbehandling för Myndigheten för vÄrd- och omsorgsanalys (dir. 2017:67). Om utredaren ser att sÄdana behov finns, ska behöv- liga författningsförslag lÀmnas. Utredaren ska Àven analysera de rÀttsliga möjligheterna för Socialstyrelsen och Statistiska central- byrÄn att lÀmna ut personuppgifter till Myndigheten för vÄrd- och

311

Bilaga 3

SOU 2018:52

omsorgsanalys för anvÀndning i myndighetens analysprojekt och vid behov lÀmna författningsförslag som möjliggör nödvÀndigt uppgifts- utlÀmnande. TillÀggsuppdraget skulle redovisas senast den 15 janu- ari 2018. Tiden för uppdraget förlÀngs nu t.o.m. den 30 juni 2018.

(Socialdepartementet)

312

Statens offentliga utredningar 2018

Kronologisk förteckning

1.Ett reklamlandskap i förÀndring

–konsumentskydd och tillsyn i en digitaliserad vĂ€rld. Fi.

2.StÀrkt straffrÀttsligt skydd

för blÄljusverksamhet och andra samhÀllsnyttiga funktioner. Ju.

3.En strategisk agenda

för internationalisering. U.

4.Framtidens biobanker. S.

5.Vissa processuella frÄgor pÄ socialförsÀkringsomrÄdet. S.

6.Grovt upphovsrÀttsbrott och grovt varumÀrkesbrott. Ju.

7.Försvarsmaktens lÄngsiktiga materielbehov. Fö.

8.KunskapslÀget pÄ kÀrnavfallsomrÄdet­ 2018. Beslut under osÀkerhet. M.

9.Ökad trygghet för studerande som blir sjuka. U.

10.Myndighetsgemensam indelning – samverkan pĂ„ regional nivĂ„. Volym 1. Myndighetsgemensam indelning – författningsĂ€ndringar till följd av ny landstingsbeteckning. Volym 2. Fi.

11.VĂ„rt gemensamma ansvar

–för unga som varken arbetar eller studerar. U.

12.Uppdrag: Samverkan 2018. MÄnga utmaningar ÄterstÄr. A.

13.Finansiering av infrastruktur med skatt eller avgift? Fi.

14.Bidragsbrott och underrĂ€ttelseskyl- dighet vid felaktiga utbetalningar frĂ„n vĂ€lfĂ€rdssystemen – en utvĂ€rdering. Fi.

15.Mindre aktörer i energilandskapet

–genomgĂ„ng av nulĂ€get. M.

16.VĂ€gen till sjĂ€lvkörande fordon – introduktion. Del 1 + 2. N.

17.Med undervisningsskicklighet

icentrum – ett ramverk för lĂ€rares och rektorers professionella utveckling. U.

18.Statens stöd till trossamfund i ett mÄngreligiöst Sverige. Ku.

19.Forska tillsammans – samverkan för lĂ€rande och förbĂ€ttring. U.

20.GrÀsrotsfinansiering. Fi.

21.Flexibel rehabilitering. A.

22.Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller Ă„tervĂ€ndande. A.

23.KonstnĂ€r – oavsett villkor? Ku.

24.Tid för utveckling. A.

25.Juridik som stöd för förvaltningens digitalisering. Fi.

26.NÄgra frÄgor i skyddslagstiftningen. Fö.

27.Ekonomiska sanktioner mot terrorism. UD.

28.En nationell alarmeringstjÀnst

–för snabba, sĂ€kra och effektiva hjĂ€lpinsatser. Ju.

29.Validering i högskolan – för tillgodorĂ€knande och livslĂ„ngt lĂ€rande. U.

30.Förenklat förfarande vid vissa beslut om hemlig avlyssning. Ju.

31.En lag om operativt militÀrt stöd mellan Sverige och Finland. Fö.

32.Ju förr desto bĂ€ttre – vĂ€gar till en förebyggande socialtjĂ€nst. S.

33.Aggressionsbrottet och Àndringar

iRomstadgan. Ju.

34.VÀgar till hÄllbara vattentjÀnster. M.

35.Ett gemensamt bostadsförsörjningsansvar. N.

36.RĂ€tt att forska. LĂ„ngsiktig reglering av forskningsdatabaser. U.

37.Att bryta ett vÄldsamt beteende

–Äterfallsförebyggande insatser

för mÀn som utsÀtter nÀrstÄende för vÄld. S.

38.Styra och leda med tillit. Forskning och praktik. Fi.

39.God och nÀra vÄrd.

En primÀrvÄrdsreform­. S.

40.Vissa fredspliktsfrÄgor. A.

41.Statliga skolmyndigheter.

–för elever och barn i en bĂ€ttre skola. U.

42.Tryggad tillgÄng till kontanter. Fi.

43.Statliga servicekontor

–mer service pĂ„ fler platser. Fi.

44.Möjligt, tillÄtet och tillgÀngligt

–förslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmĂ„l. Fi.

45.Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. A.

46.En utvecklad översiktsplanering. Del 1: Att underlÀtta efterföljande planering. Del 2: Kommunal reglering av upplÄtelseformen. N.

47.Med tillit vÀxer handlingsutrymmet.

–tillitsbaserad styrning och ledning av vĂ€lfĂ€rdssektorn. Fi.

48.En lÀrande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vÄrd, skola och omsorg. Fi.

49.F-skattesystemet

–nĂ„gra sĂ€rskilt utpekade frĂ„gor. Fi.

50.Ett oberoende public service för alla

–nya möjligheter och ökat ansvar. Ku.

51.Resurseffektiv anvÀndning av byggmaterial. N.

52.Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys. S.

Statens offentliga utredningar 2018

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan 2018.

MÄnga utmaningar ÄterstÄr. [12] Flexibel rehabilitering. [21]

Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller Ă„tervĂ€ndande. [22]

Tid för utveckling. [24] Vissa fredspliktsfrÄgor. [40]

Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. [45]

Finansdepartementet

Ett reklamlandskap i förÀndring

–konsumentskydd och tillsyn i en digitaliserad vĂ€rld. [1]

Myndighetsgemensam indelning – sam- verkan pĂ„ regional nivĂ„. Volym 1. Myndighetsgemensam indelning – författningsĂ€ndringar till följd av ny landstingsbeteckning. Volym 2. [10]

Finansiering av infrastruktur med skatt eller avgift? [13]

Bidragsbrott och underrĂ€ttelseskyldig- het vid felaktiga utbetalningar frĂ„n vĂ€lfĂ€rdssystemen – en utvĂ€rdering. [14]

GrÀsrotsfinansiering. [20]

Juridik som stöd för förvaltningens digitalisering. [25]

Styra och leda med tillit. Forskning och praktik. [38]

Tryggad tillgÄng till kontanter. [42]

Statliga servicekontor

– mer service pĂ„ fler platser. [43] Möjligt, tillĂ„tet och tillgĂ€ngligt

–förslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmĂ„l. [44]

Med tillit vÀxer handlingsutrymmet.

–tillitsbaserad styrning och ledning av vĂ€lfĂ€rdssektorn. [47]

En lÀrande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vÄrd, skola och omsorg. [48]

F-skattesystemet

– nĂ„gra sĂ€rskilt utpekade frĂ„gor. [49]

Försvarsdepartementet

Försvarsmaktens lÄngsiktiga materielbehov. [7]

NÄgra frÄgor i skyddslagstiftningen. [26]

En lag om operativt militÀrt stöd mellan Sverige och Finland. [31]

Justitiedepartementet

StÀrkt straffrÀttsligt skydd

för blÄljusverksamhet och andra samhÀllsnyttiga funktioner. [2]

Grovt upphovsrÀttsbrott och grovt varumÀrkesbrott. [6]

En nationell alarmeringstjÀnst

–för snabba, sĂ€kra och effektiva hjĂ€lpinsatser. [28]

Förenklat förfarande vid vissa beslut om hemlig avlyssning. [30]

Aggressionsbrottet och Àndringar i Romstadgan. [33]

Kulturdepartementet

Statens stöd till trossamfund i ett mÄngreligiöst Sverige. [18]

KonstnĂ€r – oavsett villkor? [23] Ett oberoende public service för alla

–nya möjligheter och ökat ansvar. [50]

Miljö- och energidepartementet

KunskapslÀget pÄ kÀrnavfallsomrÄdet­ 2018. Beslut under osÀkerhet. [8]

Mindre aktörer i energilandskapet

–genomgĂ„ng av nulĂ€get. [15] VĂ€gar till hĂ„llbara vattentjĂ€nster. [34]

NĂ€ringsdepartementet

VĂ€gen till sjĂ€lvkörande fordon – introduktion. Del 1 + 2. [16]

Ett gemensamt bostadsförsörjningsansvar. [35]

En utvecklad översiktsplanering.

Del 1: Att underlÀtta efterföljande

planering. Del 2: Kommunal reglering av upplÄtelseformen. [46]

Resurseffektiv anvÀndning av byggmaterial. [51]

Socialdepartementet

Framtidens biobanker. [4]

Vissa processuella frÄgor pÄ social- försÀkringsomrÄdet. [5]

Ju förr desto bĂ€ttre – vĂ€gar till

en förebyggande socialtjÀnst. [32] Att bryta ett vÄldsamt beteende

–Äterfallsförebyggande insatser för mĂ€n som utsĂ€tter nĂ€rstĂ„ende för vĂ„ld. [37]

God och nÀra vÄrd. En primÀrvÄrdsreform­. [39]

Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys. [52]

Utbildningsdepartementet

En strategisk agenda

för internationalisering. [3]

Ökad trygghet för studerande som blir sjuka. [9]

VĂ„rt gemensamma ansvar

–för unga som varken arbetar eller studerar. [11]

Med undervisningsskicklighet

i centrum – ett ramverk för lĂ€rares och rektorers professionella utveckling. [17]

Forska tillsammans – samverkan för lĂ€rande och förbĂ€ttring. [19]

Validering i högskolan – för tillgodo- rĂ€knande och livslĂ„ngt lĂ€rande. [29]

RĂ€tt att forska. LĂ„ngsiktig reglering av forskningsdatabaser. [36]

Statliga skolmyndigheter.

–för elever och barn i en bĂ€ttre skola. [41]

Utrikesdepartementet

Ekonomiska sanktioner mot terrorism. [27]