Ds 2018:2

Reglering av mikrosimuleringsmodellen Fasit

Finansdepartementet

6

Ds 2018:2

7

skyddslag som regeringen föreslagit i lagrådsremissen Ny dataskyddslag ska dock gälla om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.

Författningsförslagen föreslås träda i kraft den 1 januari 2019.

10

lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.

Personuppgiftsansvar

3 § Statistiska centralbyrån är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till den.

Ändamål

4 § Personuppgifter får behandlas i Fasit om det är nödvändigt för att

1.simulera och beräkna effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna, och

2.ta fram statistik för analys av information inom skatte-, avgifts- och bidragssystemen och de offentliga välfärdstjänsterna.

5 § Statistiska centralbyrån får utöver ändamålen i 4 § behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna förvalta och utveckla Fasit.

Särskilda kategorier av personuppgifter

6 § Personuppgifter som avses i artiklarna 9.1 och 10 i EU:s dataskyddsförordning får inte behandlas i Fasit eller i det urval som lämnas ut enligt 9 §.

Trots första stycket får uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening och uppgifter om hälsa behandlas, om uppgifterna är nödvändiga för ändamålet med behandlingen.

7 § Statistiska centralbyrån får behandla personnummer eller motsvarande identitetsbeteckningar i Fasit.

12

Tillhandahållande av personuppgifter

8 § Statistiska centralbyrån ska ta fram ett särskilt urval av personuppgifter i Fasit som inte direkt kan hänföras till en enskild för utlämnande enligt 9 §.

9 § Urvalet enligt 8 § får på begäran lämnas ut till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen.

Regeringen får meddela föreskrifter om att urvalet enligt 8 § får lämnas ut till andra än dem som anges i första stycket.

Personuppgifter som lämnats ut enligt första eller andra stycket får endast behandlas för de ändamål som anges i 4 §.

10 § När personuppgifter lämnas ut enligt 9 § får de förses med en beteckning (löpnummer) som hos Statistiska centralbyrån kan kopplas till personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för ändamålet med mottagarens behandling.

En förteckning (kodnyckel) över löpnummer och personnummer eller motsvarande identitetsbeteckning får bevaras hos Statistiska centralbyrån i högst ett år.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en kodnyckel får bevaras för längre tid om det finns särskilda skäl.

Särskilda skyddsåtgärder

11 § Uppgifterna i Fasit får inte sammanföras med andra uppgifter i syfte att utröna en enskilds identitet. Detta gäller även uppgifter i ett sådant urval som har lämnats ut enligt 9 §.

Den som bryter mot bestämmelsen i första stycket ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms det inte till ansvar.

13

Begränsningar av vissa rättigheter och skyldigheter

12 § Artiklarna 16 och 18 i EU:s dataskyddsförordning ska inte tillämpas vid Statistiska centralbyråns behandling av personuppgifter som omfattas av denna lag.

Bevarande och gallring

13 § Personuppgifter i Fasit ska gallras när de inte längre behövs för något av de ändamål som avses i 4 och 5 §§.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om eller i ett enskilt fall besluta att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål.

Denna lag träder i kraft den 1 januari 2019.

14

2.2 Förslag till

förordning om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar

Härigenom föreskrivs följande.

Uppgiftsskyldighet

1 § En myndighet under regeringen ska till Statistiska centralbyrån på begäran lämna de uppgifter som Statistiska centralbyrån behöver för de ändamål som anges i 4 och 5 §§ lagen (2018:000) om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar.

Andra användare än myndigheter

2 § Utlämnande enligt 9 § lagen (2018:000) om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar får ske även till användare vid Sveriges Kommuner och Landsting och de centrala arbetstagar- och arbetsgivarorganisationerna.

Bevarande av kodnyckel

3 § Statistiska centralbyrån får föreskriva att en förteckning som avses i 10 § lagen (2018:000) om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar får bevaras om det behövs för longitudinella studier.

Bevarande och gallring

4 § Innan Statistiska centralbyrån gallrar uppgifter enligt 13 § lagen (2018:000) om behandling av personuppgifter i det fördelningsanalytiska statistiksystemet för inkomster och transfereringar ska myndigheten underrätta Riksarkivet.

15

Riksarkivet får meddela föreskrifter om undantag från gallring av personuppgifter om en gallring skulle äventyra arkivens roll som en del av det nationella kulturarvet eller strida mot forskningens behov.

Denna förordning träder i kraft den 1 januari 2019.

16

2.3 Förslag till

förordning om ändring i förordningen (2016:822) med instruktion för Statistiska centralbyrån

Härigenom föreskrivs att 2 § förordningen (2016:822) med instruktion för Statistiska centralbyrån ska ha följande lydelse.

2 §

Myndigheten ska

1.vara nationell statistikbyrå med den innebörd som anges i Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program, i lydelsen enligt Europaparlamentets och rådets förordning (EU) 2015/759,

2.utföra de uppgifter gällande årsrapporter som Sverige har enligt artikel 11.4 i Europaparlamentets och rådets förordning (EG) nr 223/2009,

3.göra långsiktiga prognoser inom arbetsmarknads-, befolknings- och utbildningsområdet,

4.vara nationell koordinator för Internationella valutafondens gemensamma datastandard i Sverige,

5.verka för samarbete mellan de statistikansvariga myndigheterna,

6.ge råd och stöd till statistikansvariga myndigheter i principiella frågor om den officiella statistikens kvalitet och i frågor om att underlätta uppgiftslämnandet,

7.senast den 31 mars varje år lämna en rapport till regeringen om systemet för den officiella statistiken, med en analys av de utvärderingar av kvaliteten som de statistikansvariga myndigheterna

17

ska göra enligt 13 a § förordningen (2001:100) om den officiella

Denna förordning träder i kraft den 1 januari 2019.

18

myndigheter. Första gången som Regeringskansliet använde modellen i en större omfattning var inför skattereformen 1991.

3.2 Ändamål och användningsområde

Syftet med Fasit är att kunna bedöma utfall och konsekvenser av reformer i det svenska välfärdssystemet. Modellen kan användas för att analysera såväl budgetsom fördelningseffekter avseende skatte-, avgifts- och bidragsregler och ger möjlighet att se hela bilden av olika gruppers ekonomiska betingelser och vilka effekter förändringar får på de offentliga finanserna. Fasit kan också användas för att göra framskrivningar av t.ex. disponibel inkomst. Dessutom ges möjligheter till skräddarsydda statistikuttag.

Fasit tas fram i en basversion per år och uppdateras fyra gånger under året. Modellen består av två delar, dels databaser med s.k. mikrodata, dvs. uppgifter om enskilda individer, dels en uppsättning modellprogram som är uppbyggda av ett antal moduler som omfattar olika områden.

I Fasits databaser finns uppgifter från olika datakällor om bl.a. hushållens inkomster, avdrag, förmögenhet, boendekostnader, pensioner, sysselsättning och utgifter. I modellens moduler finns skatte- och transfereringssystemets regler programmerade, t.ex. skatte-, bidrags-, pensions- och arbetslöshetsregler. Sammankopplingen mellan databaserna och modulerna möjliggör simuleringar. Modellprogrammen körs i en given ordning för att i slutet resultera i bl.a. en beräkning av den disponibla inkomsten.

Omfattningen av antalet moduler i Fasit har över tiden utökats och breddats för att mer fullständigt kunna beräkna den disponibla inkomsten. Det gäller även de ingående databaserna som i takt med nya modulers tillkomst krävt tillgång till nya data.

De nuvarande modulerna är indelade i individmoduler och hushållsmoduler enligt följande.

– Individmoduler: efterlevandepension, ålderspension, sjuk- och aktivitetsersättning, arbetslöshet, sjukpenning, barnbidrag, flerbarnstillägg, studiestöd/studiemedel, föräldrapenning, 3:12- regeln, skatter och arbetsgivaravgifter, underhållsstöd, offentliga välfärdstjänster, tandvård och inkomstbegrepp.

20

– Hushållsmoduler: bostadsbidrag, bostadstillägg, särskilt bostadstillägg, äldreförsörjningsstöd, ekonomiskt bistånd (socialbidrag), barnomsorgsavgifter, äldreomsorgsavgifter, indirekt beskattning och inkomstbegrepp.

För att utföra simuleringar av framtida förhållanden behövs även prognosinformation för olika områden som har påverkan på skatte-, avgifts- och bidragssystemen. Dessa prognoser utgör ingångsvärden för flera parametrar som styr de framskrivningar som beräknas i modellen.

Fasits moduler och mikrodata utgör en helhet. Det innebär bl.a. att utveckling i form av tillförsel av nya mikrodata eller nya moduler kommer samtliga användare till del. Detta gäller dock inte modulerna tandvård, indirekt beskattning och offentliga välfärdstjänster, med tillhörande mikrodata, som för närvarade endast är tillgängliga för Regeringskansliet.

Den version av Fasit som tillgängliggörs för användare innehåller avidentifierade individ- och hushållsuppgifter, främst från urvalsundersökningen Hushållens ekonomi (HEK) och från Statistiskt analysregister (STAR). Med avidentifierade uppgifter avses här uppgifter som inte direkt kan härledas till en enskild eller uppgifter som är att jämföra med sådana. Eftersom HEK inte längre genomförs kommer visst material framöver i stället att hämtas från den totalräknade inkomstfördelningsstatistiken (TRIF).

3.3 Urvalet

Databasen som programmen gör sina beräkningar på är ett urval av befolkningen (STAR-urvalet). Urvalet har hämtats från inkomst- och taxeringsregistret. Urvalet omfattar 700 000 bostadshushåll, sammanlagt ca 2 miljoner individer. Urvalet är uppdelat på två strata (delmängder), en OSU-del (Obundet Slumpmässigt Urval) och en totaldel. I totaldelen ingår samtliga individer med taxerad förvärv- och/eller kapitalinkomst över en viss nivå. Med hjälp av information från SCB:s register över totalbefolkningen (RTB) och folkbokföringsregistret bildas urvalspersonens hushåll och databasen kompletteras med dessa individer. Därefter kopplas individer och hushåll till administrativa register för att få information om inkomster,

21

ersättningar, bidrag, skatter, sysselsättning, tjänstgöringsomfattning, yrke, omsorg i förskola m.m. Uppgifterna lagras på såväl individnivå som hushållsnivå.

För att kunna simulera vissa delar av systemen behöver informationen lagras i olika hjälpregister där varje individ kan förekomma mer än en gång. Alla variabler används inte i befintliga simuleringar, men de kan behövas dels för att simulera regelförändringar, dels för att sammanställa en bakgrundsbeskrivning.

Även ett mindre urval, MSTAR, tas fram och används i modellen. Urvalet omfattar ca 31 000 bostadshushåll, sammanlagt ca 90 000 individer. På motsvarande sätt som STAR-urvalet är MSTAR uppdelat på olika strata. För MSTAR har uppdelningen gjorts på fem strata med hjälp av kapitalinkomster. I övrigt bildas MSTAR på motsvarande sätt som STAR och variabelinnehållet är detsamma.

3.4 Uppgiftskällor

En stor del av uppgifterna som ingår i databaserna i Fasit kommer från SCB:s statistikregister. Uppgifter hämtas även in från andra myndigheters statistik och administrativa register.

Från SCB hämtas uppgifter från RTB, inkomst- och taxeringsregistret, kontrolluppgiftsregistret, standardiserade räkenskapsutdrag, utbildningsregistret, företagsdatabasen, konjunkturstatistiken om sjuklöner, transfereringsstatistiken, fastighetstaxeringen, folkbokföringen, yrkesregistret och strukturlönestatistik. Uppgifterna används av SCB för att framställa officiell statistik. En del av variablerna klassas som känsliga variabler, t.ex. variabler om sjukersättning.

Från andra myndigheter hämtas uppgifter enligt följande.

– Skatteverket: uppgifter om taxeringsvärde m.m.

– Centrala studiestödsnämnden (CSN): uppgifter om studieskuld, återbetalningstid, studiernas omfattning m.m.

– Försäkringskassan: uppgifter om föräldrapenning, underhållsstöd, sjukpenning, sjuk- och aktivitetsersättning, bostadstillägg för personer med sjuk- och aktivitetsersättning, bostadsbidrag, aktivitetsstöd och tandvårdsbehandling.

22

– Pensionsmyndigheten: uppgifter om ålders- och efterlevandepension och bostadstillägg.

– Inspektionen för arbetslöshetsförsäkringen (IAF): uppgifter om arbetslöshetsersättning.

– Socialstyrelsen: uppgifter om ekonomiskt bistånd och äldreomsorg.

Ett flertal av uppgifterna som begärs in finns redan i dag i SCB:s databaser, men de behövs framför allt på en mer detaljerad nivå för att användas i Fasit. Det rör sig främst om antalet dagar eller perioder när bidrag eller ersättningar betalats ut samt omfattningen på transfereringen.

3.5 Användarna

Regeringskansliet, framför allt Finansdepartementet och Socialdepartementet, är den stora användaren av Fasit. Användare finns dock även hos Riksdagens utredningstjänst, Sveriges akademikers centralorganisation (Saco), Tjänstemännens centralorganisation (TCO), Landsorganisationen i Sverige (LO), Svenskt Näringsliv, Sveriges Kommuner och Landsting (SKL), Riksrevisionen, Försäkringskassan, Pensionsmyndigheten, Inspektionen för Socialförsäkringen, Konjunkturinstitutet, Riksgäldskontoret och Uppsala universitet. Vidare används Fasit ibland även av personer inom statliga utredningar och kommittéer samt universitet.

Hos SCB finns i dagsläget ca 50 personer registrerade som använder Fasit via det s.k. MONA-systemet (Microdata Online Acces), som är ett system för åtkomst till mikrodata på SCB som myndigheten använder sig av. Vid Regeringskansliet, som administrerar sin egen tilldelning av behörigheter till Fasit, finns ca 45 användare. Flertalet av dagens användare har haft tillgång till Fasit under lång tid.

SCB använder Fasit främst för att framställa statistik i myndighetens uppdragsverksamhet. Som exempel på sådana uppdrag kan nämnas simuleringar av effekter av förändrat uttag av tjänstepension, effekter av delat barnbidrag, tandvårdsprognoser, simuleringar av reformeffekter och beskrivning av funktionsnedsattas ekonomiska

23

situation. Myndigheten använder även Fasit för att simulera fram nya variabler för statistikframställning och för vissa beräkningar till konsumentprisindex (KPI).

3.6 Utlämnande och tillgängliggörande

En begäran om tillgång till simuleringsmodellen innebär ett utlämnande av mikrodata och föregås av en sekretessprövning. En sådan prövning görs för varje begäran. Flera användare har årliga s.k. prenumerationer, vilket innebär att det görs en ny prövning för varje ny årgång.

Huvudregeln hos SCB är att endast uppgifter som inte är direkt hänförbara till en enskild lämnas ut, och att ett sådant utlämnande sker via MONA-systemet. Den version som lämnats ut utgör ett urval av uppgifter från Fasit. Systemet ger användarna möjlighet att genom fjärråtkomst ta del av den utlämnande modellen som användaren kan göra beräkningarna i. Regeringskansliet har tillgång till samma version som andra användare, dock via en separat server i enlighet med en överenskommelse mellan Regeringskansliet och SCB. Även dessa uppgifter är avidentifierade.

Ekonomistyrningsverket begär ut STAR-urvalet (endast mikrodata) som underlag till mikrosimulering i en egen simuleringsmodell. Även detta material levereras avidentifierat efter en sekretessprövning.

Vid ett utlämnande till enskilda har sekretessförbehåll upprättats. Genom ett sekretessförbehåll inskränks den enskilde individens rätt att lämna uppgifterna vidare och/eller att utnyttja dem till annat än vad förbehållet föreskriver. Vid behörighetstilldelningen i MONA upprättas dessutom en användarförbindelse med varje användare.

3.7 Uppdatering av Fasit

Varje årsversion av Fasit består av en uppsättning modellprogram som är framtagna efter det regelverk som är aktuellt det avsedda året och beslutade förändringar för de kommande åren samt mikrodata för det aktuella året.

De uppdateringar av modellen som sker under året utgörs främst av nya ekonomiska prognoser. Vid uppdateringarna förs också de

24

regeländringar som har beslutats av riksdagen eller regeringen in. Om regeländringarna kräver tillgång till nya uppgifter kompletteras STAR- och MSTAR-urvalen med dessa.

3.8 SCB:s uppdrag

SCB ansvarar enligt förordningen (2016:822) med instruktion för Statistiska centralbyrån för att bl.a. utveckla, framställa och sprida officiell statistik och annan statlig statistik samt för att samordna systemet för den officiella statistiken. Enligt instruktionen ska myndigheten även, inom ramen för sin statistikverksamhet och i den utsträckning som det finns resurser för det, utföra uppdrag åt andra myndigheter. Myndigheten ska prioritera uppdrag som rör officiell statistik. Myndigheten får inom ramen för sin statistikverksamhet även åta sig uppdrag från andra uppdragsgivare än myndigheter. Av lagen (2001:99) och förordningen (2001:100) om den officiella statistiken följer att SCB ansvarar framställning av officiell statistik inom ett antal uppräknande ämnes- och statistikområden.

För budgetåret 2017 har regeringen beslutat att målet för SCB:s anslagsfinansierade verksamhet bl.a. är att producera officiell statistik av god kvalitet som är lättillgänglig för användarna. Vidare ska möjligheterna att utnyttja det statistiska materialet och den statistiska kompetensen som finns inom myndigheten öka. Den statistiska informationen ska göras mer tillgänglig och användbar, och förståelsen och tolkningen av statistiska resultat och samband ska underlättas.

3.9 Utvecklingsbehov

Utvecklingen av Fasit har skett i samverkan mellan SCB och Regeringskansliet, oftast genom att SCB föreslagit en möjlig utvecklingsinsats som myndigheten därefter fått i uppdrag att genomföra.

Behoven av att utveckla Fasit är stora och under åren har ett antal insatser genomförts för att aktualisera och bredda modellen. Det sker också utvecklingsinsatser för verksamhet som kan komma att ha koppling till Fasit i framtiden.

25

År 2010 genomförde SCB en översyn av Fasit med fokus på metoder och teknik. I uppdraget ingick att se över modellprogrammen, att utvärdera bl.a. om de båda hushållsbegreppen kosthushåll och familjehushåll behövdes samt behovet av ytterligare innehåll.

På uppdrag av Regeringskansliet genomför SCB sedan flera år tillbaka ett årligt arbete kring offentliga välfärdstjänster. Uppdraget baseras på uppgifter om bl.a. individernas konsumtion av vissa välfärdstjänster samt kostnaderna för dessa. Detta medför att kostnaden för olika välfärdstjänster, som t.ex. barnomsorg, kan fördelas på individer och hushåll. Utifrån detta kan disponibel inkomst, inklusive värdet av de offentliga välfärdstjänsterna, beräknas.

Utöver den utveckling som angetts ovan har ett flertal förändringar gjorts för att uppnå ändamålet med Fasit. Även avgränsade uppdrag från enskilda departement och kommittéer har gjorts.

Behovet av att utveckla Fasit kommer att fortsatt att vara stort. Varje år sker mer eller mindre betydelsefulla förändringar i skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna. Reformernas genomförande föregås ofta av en debatt kring de ekonomiska effekterna för den enskilde och samhället. Systemen har blivit alltmer komplexa, varför debatten många gånger präglats av stor osäkerhet kring konsekvenserna av förändringar.

En reformering av skatte-, avgifts- och bidragssystemen kan också innefatta beskattning av konsumtion. För att Fasit ska vara ett bra redskap vid förändringar av systemen krävs därför en integrering av konsumtionssidan i modellen.

Ett annat område där det finns behov av att utveckla Fasit är beräkningen av barns ekonomiska standard i de fall barnen bor växelvis hos båda föräldrarna. En stor och växande andel barn bor på detta sätt. I den tillgängliga statistiken registreras dessa barn i det hushåll de är folkbokförda. Det innebär att boföräldern antas ha hela försörjningsbördan, trots att barnet endast bor halva tiden hos denne. Boförälderns ekonomiska situation underskattas till följd av detta, medan den förälder som inte har barnet folkbokfört hos sig antas ha en högre ekonomisk standard.

Vidare aktualiseras ofta frågor om finansiering av t.ex. hälso- och sjukvården. Även om de belopp som individer och hushåll själva betalar vid sjukvårdsbesök och för läkemedel är mindre betydande delar av finansieringen, är individers och hushålls faktiska konsumtion av den här typen av tjänster och produkter relevant information

26

för att kunna bedöma fördelningseffekter av planerade reformer på området. En modul för beräkning av värdet av offentligt subventionerade tjänster som i möjligaste mån beräknas på individnivå behöver utvecklas. Det behöver även vara möjligt att simulera konsekvenser av förändringar av avgifter för tjänsterna. Intresset för att analysera betydelsen av välfärdstjänster som en del av fördelningspolitiken har ökat kraftigt under senare år. Om Fasit tillfördes ytterligare uppgifter från Socialstyrelsen skulle det bli möjligt att analysera konsekvenser för t.ex. individer som använder personlig assistans.

Utöver de ovan nämnda behoven av utveckling av Fasit finns ytterligare ett stort antal områden där större eller mindre förändringar behövs.

Sammanfattningsvis kan konstateras att de förändringar som kommer att behöva genomföras utgörs av dels förändringar i modellprogrammen för att möjliggöra nya analyser utifrån befintlig mikrodata, dels införande av både ny mikrodata och nya program. För att möjliggöra gedigna simuleringar behöver Fasit innehålla uppgifter om alla de inkomster, skatter, transfereringar m.m. som ligger till grund för den disponibla inkomsten. Saknas några delar eller data blir resultatet av simuleringarna sämre och kanske t.o.m. utan värde.

27

Begränsningar av skyddet mot intrång i den personliga integriteten får enligt 2 kap. 20 § första stycket 2 RF, under vissa förutsättningar, göras genom lag. Regleringen i RF innebär att viss personuppgiftsbehandling måste regleras i lag.

Personuppgiftslagen

Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet, syftar till att garantera dels att en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter föreligger, dels att en likvärdig skyddsnivå finns i medlemsländerna.

Dataskyddsdirektivet har genomförts i svensk rätt bl.a. genom personuppgiftslagen (1998:204), förkortad PUL. Enligt 2 § PUL är lagen subsidiär i den meningen att avvikande bestämmelser i annan lag eller i förordning gäller i stället för bestämmelserna i PUL. Så- dana avvikande bestämmelser finns bl.a. i s.k. registerförfattningar, t.ex. lagen om den officiella statistiken.

PUL innehåller bl.a. bestämmelser om vissa grundläggande krav för behandling av personuppgifter. Av 9 § första stycket c och d PUL framgår att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt att de inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen och fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifterna som behandlas ska vara riktiga och, om det är nödvändigt, aktuella och alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Huvudprincipen för att behandling av personuppgifter ska vara tillåten enligt PUL är att det antingen ska finnas ett samtycke från

30

den registrerade eller ett uttryckligt stöd för behandlingen i PUL (10 § PUL). Enligt PUL är personuppgiftsbehandling tillåten bl.a. om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras eller om det finns ett berättigat intresse hos den personuppgiftsansvarige av att behandla personuppgifterna. Stödet för statistikansvariga myndigheter förtydligas i lagen om den officiella statistiken, som anger att dessa får behandla personuppgifter för framställning av såväl officiell som annan statistik.

PUL innehåller ett principiellt förbud mot att behandla s.k. känsliga personuppgifter. Med känsliga uppgifter avses i PUL uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, fackligt medlemskap och uppgifter som rör hälsa eller sexualliv. I PUL finns dock ett antal undantagsbestämmelser som medger behandling av känsliga personuppgifter.

PUL innehåller även flera bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår (23–27 §§ PUL). Lagen innehåller vidare bestämmelser om säkerheten vid behandling av personuppgifter (30–32 §§ PUL).

Dataskyddsförordningen

År 2016 antog Europaparlamentet och rådet förordningen (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EC (allmän dataskyddsförordning), i det följande förkortad dataskyddsförordningen. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer ersätta det nuvarande dataskyddsdirektivet den 25 maj 2018.

I dataskyddsförordningen anges de principer som ska styra behandlingen av personuppgifter (kapitel 2), de rättigheter som den registrerade ska ha (kapitel 3), de skyldigheter som den personuppgiftsansvarige och dennes eventuella biträde (det s.k. personuppgiftsbiträdet) ska ha (kapitel 4) samt vad som ska gälla vid överföring av personuppgifter till länder utanför EU eller internationella organisationer (kapitel 5). I förordningen finns också bestämmelser om oberoende nationella tillsynsmyndigheter (kapitel 6) samt om deras

31

samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas konsekvent (kapitel 7). Vidare finns bestämmelser om rättsmedel, ansvar och sanktioner (kapitel 8), särskilda behandlingssituationer (kapitel 9) och delegerade befogenheter (kapitel 10).

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad nyheter, bl.a. vissa utökade rättigheter för de registrerade.

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i alla medlemsstater, men den både möjliggör och förutsätter kompletterande nationella bestämmelser av olika slag. Det finns t.ex. ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt intresse (art. 6.2).

Närmare om dataskyddsförordningens reglering

Grundläggande principer

Med personuppgifter avses enligt artikel 4 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en s.k. identifierare, som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska, fysiologiska eller sociala identiteten.

De grundläggande principer för behandling av personuppgifter som anges i artikel 5 stämmer till den allra största delen överens med de principer som gäller enligt dataskyddsdirektivet och 9 § PUL. Principerna innebär bl.a. att uppgifter ska samlas in för särskilt uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål samt att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Vidare ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för dem, inbegripet skydd mot bl.a. obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder.

32

I artikel 6 i dataskyddsförordningen anges grunderna för när behandling av personuppgifter är laglig. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som genomförts i svensk rätt genom regleringen i 10 § PUL. Till skillnad från regleringen i dataskyddsdirektivet tillåter dock inte förordningen att myndigheter behandlar personuppgifter med stöd av en intresseavvägning till förmån för den personuppgiftsansvariges eller tredje parts berättigade intresse (art. 6.1 f). Myndigheter behöver således kunna stödja sin behandling på någon av förordningens övriga grunder (art. 6.1 a–e). De statliga myndigheternas personuppgiftsbehandling kan till stor del antas ske med stöd av den rättsliga grunden i artikel 6.1 c (rättslig förpliktelse) och e (allmänt intresse eller myndighetsutövning).

33

Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling som är nödvändig för att fullgöra en rättslig förpliktelse (art. 6.1 c) eller nödvändig för att utföra en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning (art. 6.1 e). Enligt artikel 6.3 kan den rättsliga grunden i en medlemsstats författning för en sådan behandling innehålla särskilda bestämmelser om bl.a. de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Denna typ av mer specifika nationella bestämmelser förekommer ofta i svenska registerförfattningar och utgörs framför allt av preciseringar av de grundläggande allmänna principerna för behandling som anges 9 § PUL.

Enligt artikel 6.3 första stycket i förordningen måste grunden för behandlingen som avses i artikel 6.1 c och e fastställas i unionsrätten eller den nationella rätten. Detta innebär att en rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning måste ha stöd i rättsordningen för att kunna läggas till grund för behandling av personuppgifter. Det kan tilläggas att kraven i dataskyddsförordningen vad gäller rättslig grund inte medför krav på en särskild reglering för varje enskild behandling av personuppgifterna. Däremot bör den rättsliga grunden vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den i enlighet med rättspraxis vid EU-domstolen och Europadomstolen (se skäl 41 i dataskyddsförordningen). Regeringen konstaterar också i lagrådsremissen Ny dataskyddslag att den rättsliga grunden inte nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt.

Av artikel 6.3 andra stycket framgår att syftet med en behandling ska vara fastställt i den rättsliga grunden för att behandlingen ska vara laglig enligt artikel 6.1 c i dataskyddsförordningen eller, i fråga om behandling enligt punkt 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse. Den specifika behandlingen ska således vara nödvändig för ett ändamål som i sin tur ska vara nödvändigt för att myndigheten ska kunna utföra sitt uppdrag.

34

Behandling för statistik och den registrerades rättigheter

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna, som kan vara både tekniska och organisatoriska, ska bl.a. säkerställa att principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa s.k. pseudonymisering, dvs. behandling av personuppgifter på sådant sätt att uppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. När ändamålen kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får föreskrivas enligt artikel 89.2 i dataskyddsförordningen undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för att sådana villkor och skyddsåtgärder som avses i artikel 89.1 uppställs eller vidtas, i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

I artikel 15 regleras den registrerades rätt att få bekräftelse på om personuppgifter rörande honom eller henne behandlas och i så fall få tillgång till personuppgifterna och viss information, bl.a. ett s.k. registerutdrag (rätten till tillgång). Artikel 16 reglerar den registrerades rätt att få felaktiga personuppgifter rättade och ofullständiga uppgifter kompletterade (rätten till rättelse och komplettering), medan artikel 18 ger den registrerade rätt att under vissa förutsättningar kräva att behandlingen begränsas (rätten till begränsning). I artikel 21 regleras rätten för den registrerade att göra invändningar mot behandlingen av personuppgifter (rätten till invändning).

Rätten att göra invändning enligt artikel 21.1 avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. För personuppgifter som behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning får invändningen göras när som helst. Görs en invändning, får den personuppgiftsansvarige fortsätta att behandla personuppgifterna bara om denne kan påvisa tvingande berättigade skäl som väger tyngre än

35

den registrerades intressen, rättigheter och friheter, eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. En intresseavvägning ska således göras i detta fall. Rätten att göra invändningar gäller enligt artikel 21.6 inte vid behandling av personuppgifter för statistiska ändamål om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

I sammanhanget bör även nämnas att det finns direkt tillämpliga undantag i artikel 14 i dataskyddsförordningen, som behandlar den personuppgiftsansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade, och i artikel 17, som behandlar den enskildes rätt till radering av uppgifter. Enligt artikel 14.5 b ska rätten till information inte tillämpas om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning särskilt vid statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen. På motsvarande sätt anges i artikel 17.3 d att rätten till radering inte gäller i den utsträckning som behandlingen är nödvändig för statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt skulle omöjliggöra eller avsevärt försvåra uppnåendet av syftet med behandlingen.

Utöver den särskilda regleringen för vissa ändamål i artikel 89 finns också en generell möjlighet i artikel 23 i dataskyddsförordningen att begränsa tillämpningsområdet för ett stort antal av förordningens stadgade skyldigheter och rättigheter. Sådana begränsningar får göras endast om de är förenliga med det väsentliga innehållet i de grundläggande fri- och rättigheterna samt är en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle till skydd för vissa angivna intressen. Vidare finns krav på vad nationella bestämmelser med denna typ av begränsningar ska innehålla.

Det finns en särskild reglering för behandling av personuppgifter utan identitetsuppgifter. Av artikel 11.1 följer att om det ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras av den personuppgiftsansvarige ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syftet att följa förordningen. Enligt artikel 11.2 ska den personuppgiftsansvarige, om den ansvarige i de

36

fall som avses i artikel 11.1 kan visa att denne inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

Känsliga personuppgifter och personnummer

Dataskyddsförordningen innehåller, i likhet med dataskyddsdirektivet och PUL, ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter (art. 9.1). De personuppgifter som avses är sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer, eller uppgifter om hälsa eller en fysisk persons sexualliv eller sexuella läggning. Förbudet är förenat med ett antal undantag (art. 9.2–5). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell lagstiftning.

Dataskyddsförordningen ger i likhet med dataskyddsdirektivet medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifieringsnummer eller liknande identifieringsuppgifter får behandlas (art. 80 b). Enligt förordningen ska sådana villkor innebära att identifieringsuppgifterna bara får användas om det vidtas lämpliga åtgärder till skydd för den registrerades fri- och rättigheter i enlighet med förordningen.

Generella nationella bestämmelser som kompletterar dataskyddsförordningen

Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Att det är en förordning innebär att reglerna kommer att vara direkt tillämpliga och gälla på samma sätt i alla EU:s medlemsstater. Detta innebär också att PUL och den tillhörande personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till denna reglering

37

måste upphävas. Dataskyddsförordningen lämnar dessutom utrymme för kompletterande nationella bestämmelser med ytterligare krav eller undantag i en rad andra frågor.

Regeringen beslutade mot denna bakgrund att tillkalla en särskild utredare med uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som den nya dataskyddsförordningen ger anledning till. Syftet med utredningen var att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling på plats när förordningen börjar tillämpas. Utredningen har lämnat sina förslag i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39).

Dataskyddsutredningen föreslår en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, med tillhörande förordning, som ska komplettera dataskyddsförordningen på ett generellt plan. Lagen föreslås träda i kraft den 25 maj 2018, samtidigt som PUL och personuppgiftsförordningen ska upphävas. Sektorsspecifika författningsbestämmelser om behandling av personuppgifter ska ha företräde framför den nya lagen. Regeringen har i lagrådsremissen Ny dataskyddslag lämnat förslag till en reglering som i huvudsak överensstämmer med betänkandets lagförslag.

4.2 Behandling av uppgifter för statistik

Bestämmelser om personuppgiftsbehandling i statistikverksamhet regleras i lagen och förordningen om den officiella statistiken och i PUL. En särskild reglering gäller för statistikansvariga myndigheters framställning av statistik, vilket förtydligar myndigheternas stöd för att behandla uppgifterna. Även behandlingen av känsliga personuppgifter är särskilt reglerad i lagen om den officiella statistiken. Enligt 15 § får känsliga personuppgifter och uppgifter om lagöverträdelser m.m. behandlas om det följer av föreskrifter som regeringen meddelar.

Enligt 9 § förordningen om den officiella statistiken får uppgifter som samlats in för officiell statistik användas för annan statistik och för forskning. Detta utgör stödet för att återanvända insamlade uppgifter i SCB:s statistikverksamhet.

38

Det finns en särskild skyldighet för statliga myndigheter att lämna uppgifter för officiell statistik. Dessutom innehåller förvaltningslagen (1986:223) en samverkansskyldighet för myndigheter som innebär att de ska bistå varandra inom ramen för sina respektive verksamhetsområden. För näringsidkare finns enligt lagen och förordningen om den officiella statistiken en skyldighet att lämna uppgifter för den officiella statistiken.

I 7 § förordningen om den officiella statistiken finns krav på den information som den statistikansvariga myndigheten ska lämna till dem som den samlar in uppgifterna från, om uppgifterna samlas in från någon annan än en statlig myndighet. Bland annat ska ändamålet med uppgiftsinsamlandet anges och på vilka bestämmelser skyldigheten att lämna uppgifterna grundas.

4.3 Offentlighet och sekretess

Enligt reglerna i 2 kap. TF har var och en rätt att ta del av myndigheternas allmänna handlingar. Den grundlagsreglerade offentlighetsprincipen är huvudregeln och de begränsningar som finns i handlingsoffentligheten ska noga anges i särskild lag (2 kap. 2 § andra stycket TF), eller i annan lag som den särskilda lagen hänvisar till. OSL utgör den särskilda lagen. Sekretessreglerna utgör således undantag från huvudregeln om offentlighet och endast om det är påkallat av hänsyn till vissa viktiga sekretessintressen kan rätten att ta del av allmänna handlingar begränsas.

Av 2 kap. 2–4 §§ OSL framgår att riksdagen, beslutade kommunala församlingar och sådana organ som avses i 2 kap. 3 och 4 §§ OSL ska jämställas med myndighet vid tillämpningen av OSL. Be- stämmelser om tystnadsplikt finns också utanför OSL:s tillämpningsområde, exempelvis för anställda inom den privata hälso- och sjukvården och för advokater.

Sekretess gäller mot enskilda och mot andra myndigheter. Sekretessen gäller också i förhållandet mellan olika verksamhetsgrenar inom samma myndighet när de är att betrakta som självständiga i förhållande till varandra. Vad som utgör en självständig verksamhetsgren får avgöras från fall till fall. Enbart en uppdelning i organisatoriska enheter inom en myndighet är i sig inte tillräckligt.

39

Sekretess i statistikverksamhet

Enligt 24 kap. 8 § OSL gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift om en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, riksdagsförvaltningen, Statskontoret, eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning som regeringen meddelar föreskrifter om det. Uppgift som behövs för forsknings- eller statistikändamål, och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355). För uppgift i en allmän handling gäller sekretessen i högst 70 år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst i 20 år. Statistiksekretessen gäller oavsett varifrån uppgiften kommer. Det innebär att en uppgift som är offentlig hos en annan myndighet blir sekretesskyddad när den överförs till SCB för framställning av statistik.

Den starka statistiksekretess som gäller enligt 24 kap. 8 § OSL har tillkommit efter en intresseavvägning mellan å ena sidan insynsintresset och å andra sidan sekretessintresset. Medan insynsintresset är obetydligt är sekretessintresset däremot påtagligt och detta väger avsevärt tyngre. Det starka sekretesskyddet är viktigt för allmänhetens förtroende för SCB och är också en förutsättning för statistikverksamheten. Ett minskat förtroende kan påverka viljan att lämna uppgifter negativt och försämra uppgifternas kvalitet.

Särskild verksamhet som avser framställning av statistik

Sekretess gäller inom sådan särskild verksamhet hos myndighet som avser framställning av statistik, dvs. sådan statistikframställning som sker utan anknytning till något särskilt ärende. Framställning av

40

statistik som underlag för ett beslut i ett visst ärende är inte att betrakta som någon sådan särskild verksamhet.

Det som är avgörande för om statistiksekretess gäller är om myndigheten har en särskild reglering, ordning eller organisation för framställning av statistik. Verksamheten ska vara avskild från annan verksamhet, t.ex. genom att den är organiserad som en egen enhet eller liknande. Avgörande är inte enhetens storlek eller det antal personer som sysselsätts där, utan hur statistiken och uppgifterna till denna hanteras i förhållande till myndighetens verksamhet i övrigt.

Uppgifter som i statistikverksamhet samlats in av en myndighet för en annan myndighets räkning skyddas av sekretess också hos den insamlande myndigheten.

Annan därmed jämförbar undersökning

Regeringen får föreskriva att sekretess enligt 24 kap. 8 § OSL ska gälla i annan jämförbar undersökning. Det är här fråga om olika utredningar och undersökningar som utförs utanför en särskild statistikverksamhet, men där man ansett att statistiksekretessen ändå bör gälla. Vilka undersökningar som omfattas anges i offentlighets- och sekretessförordningen (2009:641), förkortad OSF.

Utlämnande av uppgifter

För att SCB ska kunna lämna ut mikrodata krävs att det aktuella utlämnandet omfattas av något av undantagen i 24 kap. 8 § OSL samt att utlämnandet genomgått en skadeprövning. Ett utlämnande kan också aktualiseras om någon sekretessbrytande bestämmelse i OSL eller i annan författning som OSL hänvisar till är tillämplig.

Undantagsregeln för avidentifierade uppgifter i 24 kap. 8 § OSL gör det möjligt att lämna ut material även för andra ändamål än forskning och statistik. Utlämnande av avidentifierat material kan ske exempelvis till en utredningsenhet inom en myndighet för kvalificerat utrednings- och analysarbete.

Har den mottagande myndigheten själv en avskild statistikverksamhet skyddas uppgifterna av statistiksekretess även hos denna, vilket kan möjliggöra ett utlämnande eftersom det då i många fall kan anses stå klart att ett utlämnande kan ske utan att det leder till

41

skada eller men. Om det är en utredning som kräver uppgifter på en detaljerad nivå kan regeringen med stöd av 24 kap. 8 § OSL särskilt föreskriva att statistiksekretess ska gälla för utredningen.

Utlämnande av avidentifierade uppgifter för kvalificerat utrednings- eller analysarbete kan även ske till användare vid enskilda organisationer efter vederbörlig prövning, t.ex. till anställda vid de centrala fackliga organisationernas utredningsavdelningar. I sådana fall behöver myndigheten besluta om ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, och som undanröjer riskerna för skada eller men. Den enskilde omfattas därmed av en straffsanktionerad tystnadsplikt.

42

rättsliga förutsättningarna för Fasit aktualiserats. Den uppkomna situationen har medfört att SCB, i avvaktan på ett förtydligande regelverk, gjort uppehåll i utvecklingen av Fasit.

Det föreligger ett betydande behov i samhället av en mikrosimuleringsmodell som Fasit. Simuleringar i Fasit genererar kunskap och information om komplexa förhållanden beträffande effekterna av ändringar i befintliga och nya regelsystem. Samtidigt förutsätter simuleringen tillgång till och behandling av dataunderlag i form av personuppgifter. Samhällsintresset av denna behandling är generellt större än de risker för integritetsintrång som behandlingen av personuppgifterna kan innebära. Särskilda skyddsåtgärder bör dock vidtas för att så långt möjligt minimera de risker som behandlingen kan innebära. För att garantera att Fasit kan tillgodose de behov som modellen inrättats för är det väsentligt att regelverket ger stöd för behandlingen av uppgifter i de databaser som ingår i modellen och att det tillgodoser skyddet för den enskildes personliga integritet.

Eftersom den nuvarande regleringen inte är helt tydlig finns behov av att se över regleringen på området. Ett alternativ skulle kunna vara att ta in nödvändiga ytterligare bestämmelser i lagen och förordningen om den officiella statistiken. Det som talar för en sådan ordning är att olika regleringar för likartade behandlingar av personuppgifter bör undvikas. Statistiklagstiftningen gäller dock generellt för den statistik som framställs av statistikansvariga myndigheter. Dessutom innehåller databaserna i Fasit uppgifter som i dag inte används för framställning av officiell statistik. Övervägande skäl talar därför för att bestämmelser om behandling av personuppgifter i Fasit i stället bör regleras i en särskild författning. En särskild reglering bör inte innebära några problem för SCB eller övriga användare utan bidrar snarare till en ökad tydlighet. En sådan särskild reglering bör dock så långt som möjligt stämma överens med statistiklagstiftningen. Med hänsyn till att det är fråga om långvarig behandling av uppgifter som avser ett stort antal personer är det lämpligt att regleringen samlas i en särskild lag.

Syftet med den nya regleringen är att tydliggöra det rättsliga stödet för att behandla nödvändiga personuppgifter i Fasit och i det urval som lämnas ut till användarna, samtidigt som det skapas en ordning för vad som gäller vid behandlingen av uppgifterna. Även möjligheten att få tillgång till relevanta uppgifter måste tillförsäkras.

44

Den särskilda författningsregleringen måste även utformas så att intrånget i den personliga integriteten begränsas till vad som är nödvändigt. Det är framför allt ändamålen med behandlingen, behandlingen av särskilda kategorier av personuppgifter (känsliga personuppgifter), särskilda skyddsåtgärder, begränsningar av vissa rättigheter samt tillhandahållande, bevarande och gallring av uppgifter som behöver regleras.

5.2 SCB:s ansvar förtydligas

Förslag: SCB ska ansvara för att förvalta och utveckla Fasit.

Skälen för förslaget: Arbetet med att bearbeta, samla in och i övrigt behandla uppgifter i Fasit skiljer sig inte rent praktiskt från arbetet med att samla in och bearbeta uppgifter inom SCB:s övriga statistikverksamhet. Den kompetens, bl.a. vad gäller statistisk metodologi och statistiska material, och de statistiska metoder som krävs för insamlingen och bearbetningen av data är desamma. Fasit är av mycket stor vikt för framför allt regeringens reformarbete, men även för andra användare. Det föreligger, som ovan nämnts, ett betydande samhälleligt behov av en mikrosimuleringsmodell som Fasit. För att Fasit ska kunna tillgodose de behov som modellen inrättats för är det väsentligt att den håller hög kvalitet. Trots den stora betydelse som Fasit har för att effektivt kunna analysera effekterna av förändringar inom bl.a. skatte-, avgifts- och bidragsområdet, har SCB:s uppdrag att förvalta och utveckla Fasit inte varit reglerat. Utvecklingen av Fasit har i stället skett i samverkan mellan SCB och Regeringskansliet.

Mot bakgrund av den betydelse som Fasit har bör det vara en obligatorisk uppgift för SCB att förvalta och utveckla Fasit. Det föreslås därför att det i instruktionen för SCB förs in en bestämmelse om att SCB ska ansvara för att utveckla och förvalta det fördelningspolitiska statistiksystemet för inkomster och transfereringar. Därigenom blir det också tydligt att SCB ansvarar för att kvalitetssäkra arbetet med att framställa och utveckla den mikrodata och de mikrosimuleringsprogram som ingår i Fasit.

45

5.3 Förhållande till dataskyddsförordningen och den föreslagna kompletterande dataskyddslagen

Förslag: Den särskilda lagen ska innehålla en upplysning om att författningen kompletterar EU:s dataskyddsförordning. Lagen ska även upplysa om att dataskyddslagen och anslutande föreskrifter gäller, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.

Skälen för förslaget: Den föreslagna lagen kommer endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen när det är tillåtet. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en upplysningsbestämmelse om att dataskyddsförordningen gäller tas in i lagen.

Den föreslagna dataskyddslagen kommer, på samma sätt som PUL, att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Någon materiell bestämmelse för att uppnå detta krävs inte. Dagens registerförfattningar innehåller dock oftast en bestämmelse om förhållandet till PUL, normalt i form av en upplysning om att PUL gäller om inte annat följer av registerförfattningen eller förskrifter som har meddelats med stöd av författningen. Utgångspunkten är att den regleringsteknik som tidigare nationellt använts för registerförfattningar kan och bör följas då detta skapar förutsättningar för enhetlighet i rättstillämpningen. I lagen bör därför även tas in en bestämmelse om förhållandet till dataskyddslagen och föreskrifter som har meddelats i anslutning till den.

5.4 Rättslig grund för behandlingen av personuppgifterna

Förslag: Ett urval av uppgifter i Fasit ska få lämnas ut till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen. Regeringen ska få meddela föreskrifter om att urvalet får lämnas ut till andra än myndigheter.

46

Bedömning: Den behandling av personuppgifter som får utföras enligt den föreslagna författningen är tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen.

Skälen för förslaget och bedömningen: Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund (se avsnitt 4.1). De bestämmelser som aktualiseras vid behandling av uppgifter i Fasit är artikel 6.1 c (rättslig förpliktelse), e (allmänt intresse eller myndighetsutövning) och f (intresseavvägning).

Rättslig grund för SCB

Av SCB:s instruktion framgår att myndigheten har till uppgift att ansvara för att utveckla, framställa och sprida officiell statistik och annan statlig statistik. Utöver det som följer av förordningen om den officiella statistiken har myndigheten även till uppgift att åta sig uppdrag inom ramen för sin statistikverksamhet.

I avsnitt 5.2 föreslås att det av instruktionen för SCB ska framgå att myndigheten har till uppgift att utveckla och förvalta Fasit. Därigenom uppnås en sådan tydlig rättslig grund som kommer till uttryck i artikel 6.1 c i dataskyddsförordningen. Arbetsuppgiften är också av allmänt intresse i den mening som avses i artikel 6.1 e.

Rättslig grund för övriga användare

Fasit används framför allt av Regeringskansliet och Riksdagsförvaltningen, men även andra statliga myndigheter samt intresseorganisationer har stort behov av Fasit.

Regeringskansliet har enligt 7 kap. 1 § RF och 1 § förordningen (1996:1515) med instruktion för Regeringskansliet i uppdrag att bereda regeringsärenden och för att biträda regeringen och statsråden i deras verksamhet i övrigt. I det uppdraget ingår att ta fram underlag till regeringens beslut och utreda olika frågor. Merparten av arbetet i Regeringskansliet och dess departement kretsar kring lagstiftning och statens budget. Många gånger krävs utredningsunderlag med kort varsel. Fasit gör det möjligt att relativt snabbt beräkna ekonomiska utfall av gällande regler och att simulera alternativa

47

regler och på så sätt detaljerat beskriva bl.a. utgiftsförändringar och fördelningseffekter. Bearbetningarna i Fasit sker med gängse statistiska metoder och resulterar i tabeller, medelvärden, makrotal, spridningstal och andra ekonomiska parametrar. Regeringskansliets uppdrag får anses utgöra ett sådant nödvändigt författningsstöd som krävs för att kravet i artikel 6.1 e i dataskyddsförordningen för att behandla personuppgifter ska anses vara uppfyllt. Den rättsliga grunden måste även bedömas vara så tydlig och precis som krävs av dataskyddsförordningen.

Detsamma måste anses gälla för den behandling av personuppgifter som sker vid riksdagens utredningstjänst. Utredningstjänsten är en del av Riksdagsförvaltningen, som är det organ som har till uppgift att bl.a. tillhandahålla resurser och service till riksdagsledamöterna och partikanslierna (se 1 § lagen [2011:745] med instruktion för Riksdagsförvaltningen). Riksdagen utgör landets lagstiftande makt och riksdagsarbetet består bl.a. i att behandla förslag till nya lagar. I riksdagen debatteras, formuleras och beslutas bl.a. samtliga lagar och statens budget, vilket förutsätter att det finns möjlighet att med kort varsel snabbt beräkna ekonomiska utfall av gällande regler och att simulera alternativa regler.

Riksdagens utredningstjänst använder Fasit för att göra bl.a. beräkningar av finansiella och fördelningspolitiska effekter av politiska beslut. Dessa beräkningar görs på uppdrag av enskilda riksdagsledamöter eller av partikanslier. Användningen av Fasit är nödvändig för att Riksdagsförvaltningen ska kunna ge riksdagsledamöterna och partikanslierna sådana budgetberäkningar av förslag inom den ekonomiska politiken som de behöver.

Utöver Regeringskansliet och Riksdagsförvaltningen används Fasit av Riksrevisionen och andra statliga myndigheter. När det gäller dataskyddsförordningens krav på rättsligt stöd för behandling som enbart stödjer sig på artikel 6.1 c eller e kan konstateras att myndigheter är förhindrade att agera utanför sitt uppdrag, vilket ytterst regleras genom legalitetsprincipen i 1 kap. 1 § tredje stycket RF. All verksamhet hos statliga myndigheter ska således ha stöd i rättsordningen, oavsett om en uppgift regleras genom lag, förordning eller ett beslut. Vad gäller myndigheters tillgång till Fasit måste utgångspunkten därför vara att SCB hittills gett dessa tillgång till modellen för att respektive myndighet ska kunna fullgöra det upp-

48

drag man ålagts av sin uppdragsgivare. Sådant stöd för personuppgiftsbehandlingen torde i framtiden följa av artikel 6.1 c och/eller e, så länge handlingsutrymmet är reglerat med tillräcklig tydlighet.

I samband med att SCB har lämnat ut Fasit till SKL, arbetsmarknadens centrala parter och andra intresseorganisationer har en bedömning gjorts vad gäller nödvändigheten för dessa aktörer att behandla de aktuella uppgifterna. Bedömningen har gjorts utifrån en intresseavvägning enligt dataskyddsdirektivet så som det implementerats i PUL. Det finns inget som tyder på att den intresseavvägning som ligger till grund för dagens behandling ska bedömas på annat sätt enligt dataskyddsförordningen. Med det som utgångspunkt bedöms det finnas förutsättningar enligt artikel 6.1 f för privata aktörers och intresseorganisationers personuppgiftsbehandling vid användning av Fasit.

Artikel 6.1 f i dataskyddsförordningen kan emellertid inte utgöra rättslig grund för den personuppgiftsbehandling som sker när SCB lämnar ut uppgifterna till enskilda användare (jfr 6.1 andra stycket). Ändamålet med Fasit utgör emellertid i sig ett viktigt allmänt intresse. I detta ligger också att det finns ett intresse av att bl.a. användare vid vissa centrala intresseorganisationer får ta del av Fasit för granskning och åsiktsbildning. Det kan således finnas en rättslig grund för SCB:s utlämnande av uppgifterna till andra än myndigheter i den utsträckning som det är nödvändigt för att utföra en uppgift av allmänt intresse enligt 6.1 e i dataskyddsförordningen. I sammanhanget bör framhållas att det nedan föreslås att regeringen ska föreskriva vilka organisationers användare som ska få ta del av Fasit.

Det bör noteras att även om det föreskrivs att SCB får lämna ut urvalet i Fasit till en viss aktör, är det den som begär och får tillgång till urvalet i Fasit som är personuppgiftsansvarig för den behandling som denne utför i urvalet, se avsnitt 5.5. Det är därmed den myndigheten eller intresseorganisationen som ansvarar för att behandlingen har rättslig grund och även i övrigt sker i enlighet med dataskyddsförordningens och den föreslagna lagens bestämmelser.

49

Kretsen av användare

Regeringskansliet, Riksdagsförvaltningen, Riksrevisionen och vissa myndigheter under regeringen har redan i dag tillgång till ett urval av uppgifter i Fasit. Myndigheter som har stöd i sitt uppdrag bör kunna ha rätt att behandla uppgifterna enligt vad som anförts ovan. De myndigheter som använder Fasit i dag får alla anses ha ett stort behov av att kunna analysera effekterna av regeländringar och bör få möjlighet att använda modellen även i framtiden. Eftersom det kan förutsättas att användarna kan bli något fler än i dag går det inte att i detalj reglera vilka som ska ha rätt att få ta del av det urval som SCB ska lämna ut. Det bör därför av den föreslagna lagen framgå att urvalet ska få lämnas ut till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen.

Även de användare som finns inom de intresseorganisationer som har tillgång till Fasit i dag, som t.ex. SKL och de centrala arbetstagar- och arbetsgivarorganisationerna, bör mot bakgrund av det vad som ovan anförts få sådan rätt. Det bör vidare vara möjligt att under liknande förutsättningar lämna ut urvalet till andra än de som använder modellen i dag. Vilka andra än myndigheter som urvalet av modellen ska få lämnas ut till bör närmare föreskrivas av regeringen.

5.5 Personuppgiftsansvar

Förslag: SCB ska ha ett utpekat personuppgiftsansvar för myndighetens behandling av personuppgifter i Fasit.

Skälen för förslaget: Begreppet personuppgiftsansvarig är centralt i dataskyddsförordningen. I artikel 4 i förordningen definieras begreppet som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifterna. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller nationell rätt kan det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas vem som ska vara personuppgiftsansvarig.

50

Personuppgiftsansvaret innebär i korthet ett skadestånds- och avgiftssanktionerat ansvar för att dataskyddsförordningens bestämmelser uppfylls. Det innebär t.ex. ett ansvar för att se till att behandlingen av personuppgifter inte sker i strid med de principer som gäller för behandling av personuppgifter, att det finns ett lagligt stöd för behandlingen och att behandlingen inte sker i större utsträckning än vad som är nödvändigt med hänsyn till det lagliga stöd som gäller för behandlingen samt att de registrerades rättigheter uppfylls. Utöver dessa skyldigheter innehåller dataskyddsförordningen ett särskilt kapitel som reglerar en rad mer specifika skyldigheter som åligger den ansvarige.

Det är SCB som ska samla in och i övrigt behandla de uppgifter som behövs i Fasit och de databaser som ligger till grund för den del av modellen som görs tillgänglig för användare. Myndigheten ska också ansvara för att förvalta och utveckla Fasit. Det bör därför uttryckligen framgå av den nya lagen att ansvaret för behandlingen av personuppgifterna i Fasit ligger hos myndigheten.

I enlighet med dataskyddsförordningen är en användare av Fasit personuppgiftsansvarig för behandlingen av personuppgifterna efter att de lämnats ut till användaren. Någon särskild reglering behövs inte för att tydliggöra detta.

5.6 Ändamål

Förslag: Uppgifterna i Fasit ska få behandlas för simulering och beräkning av effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna samt för att ta fram statistik för analys av information inom dessa områden. Personuppgifter som har lämnats ut enligt den föreslagna lagen får behandlas endast för dessa ändamål.

SCB ska även ha rätt att utföra sådan behandling av personuppgifter som är nödvändig för att myndigheten ska kunna förvalta och utveckla Fasit.

Skälen för förslagen: Den omständigheten att behandlingen av personuppgifter har stöd i artikel 6.1 i dataskyddsförordningen, dvs. att den har en rättslig grund, innebär inte att behandlingen kan ske

51

av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste även uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna artikel 5 i förordningen. Ett av kraven som följer av artikel 5.1 är att personuppgifter endast ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål.

Förordningen ställer inte några absoluta krav på att särskilda ändamål ska vara fastställda i en författning, men det finns heller inget som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (art. 6.3 andra stycket). Det måste således alltid göras en avvägning mellan å ena sidan behovet av att uppgiften kan utföras på ett effektivt och rättssäkert sätt och å andra sidan den enskildes rätt till skydd för sina personuppgifter.

Ändamålsbestämmelser är en typ av sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en sådan laglig och rättvis behandling som krävs i artikel 6.2 och 6.3 i dataskyddsförordningen. Syftet med ändamålsbestämmelserna är att ange en yttersta ram inom vilken personuppgiftsbehandlingen får ske. När ändamålet bestäms är det tre kriterier som ska beaktas. Ändamålet måste vara specifikt och inte allt för allmänt hållet. Ändamålet ska också vara uttryckligt angivet. Detta innebär att ändamålet ska framgå tydligt, vilket underlättas av att det uttrycks i skrift. Vidare ska det gå att bedöma om uppgifter är adekvata och relevanta att behandla utifrån ändamålet.

En reglering av ändamål bör även göras i författningsregleringen för Fasit. Genom att specificera villkoren säkerställs en tydlig, laglig och rättvis behandling. En ändamålsspecificering torde även underlätta den utlämnandeprövning som SCB ska göra i samband med att Fasit lämnas ut till användare.

Fasits syfte har i huvudsak varit att tillgodose behovet av att ta fram statistik och simulera för att utvärdera effekterna av befintliga och föreslagna regelsystem inom området inkomster och transfereringar. Fasit används i dag också av Regeringskansliet för undersökningar om bl.a. fördelningseffekter av de offentliga välfärdssystemen. Begreppet offentliga välfärdstjänster, som det används i dessa sammanhang, omfattas inte av begreppet transferering utan

52

avser välfärdssubventioner (konsumtion). Dessa förekommer framför allt inom områdena hälso- och sjukvård, utbildning och socialt skydd. Inom ramen för dessa verksamheter behöver olika sammanställningar och analyser kunna göras för att på bästa sätt tillgodose exempelvis behovet av kunskap, rättssäkerhet och effektivitet i samband med regelgivning. Detta bör utgöra utgångspunkten för ändamålsbeskrivningen för Fasit.

Som ändamål bör anges att SCB och andra användare ska få behandla uppgifterna för simulering och beräkning av effekter av befintliga och nya regelverk samt andra förändringar inom skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna. I detta ingår både att samla in och tillhandahålla uppgifter för ändamålet.

De uppgifter som finns i Fasit används även utan modellprogrammen och då för att göra särskilt anpassade statistikuttag för analyser inom skatte-, avgifts- och bidragsområdet och av de offentliga välfärdstjänsterna. När Fasit nämns avses vanligtvis den simulering som görs genom att nyttja de två delar som modellen består av, dvs. mikrodata och modellprogrammen. För att tydliggöra att uppgifterna i Fasit får användas även för att ta fram särskilt anpassade statistikuttag bör det anges som ett särskilt ändamål att uppgifterna i Fasit får användas för framställning av statistik för analyser inom skatte-, avgifts- och bidragssystemen och av de offentliga välfärdstjänsterna. Med detta avses både framställning och tillhandahållande av statistik.

Den ändamålsreglering som föreslås syftar till att så långt som möjligt tillgodose dagens behandling av personuppgifter hos såväl SCB som användarna. Fasit används inte för någon enskild ärendehantering och ska inte heller göra det. De föreslagna ändamålen är ett sätt att klargöra att det handlar om översiktliga bilder av verksamhet och grupper samt om att möjliggöra analyser och värderingar av effekter av bl.a. regelförändringar och andra förändringar inom de ovan angivna områdena. Ändamålen bör vara tillräckligt omfattande för att kunna tillmötesgå de behov som andra användare än SCB har. Personuppgifter som har lämnats ut enligt den föreslagna lagen bör därför endast få behandlas för dessa ändamål.

För att SCB ska kunna fullgöra skyldigheten att förvalta och utveckla Fasit krävs en mer långtgående möjlighet för myndigheten än för övriga användare att hantera personuppgifter. Förvaltning och

53

utveckling av modellen kräver bl.a. behandling av uppgifter om identitet, men även populationens storlek och antalet uppgifter inom respektive område behöver vara mer omfattande än vad som krävs för de ändamål som föreslås ovan. Detta är bl.a. nödvändigt för att myndigheten ska kunna ta fram och skapa s.k. basår och för att få fram en korrekt urvalsram för den version av Fasit som ska göras tillgänglig för användarna. Stödet för en sådan behandling av personuppgifter bör regleras särskilt. En särskild ändamålsbestämmelse bör därför införas som ger SCB stöd för den behandling av personuppgifter som är nödvändig för förvaltning och utveckling av Fasit.

Den föreslagna regleringen bedöms ge SCB och övriga användare ändamålsenliga möjligheter att behandla nödvändiga personuppgifter, samtidigt som risken för obefogade intrång i den personliga integriteten minskas.

5.7 Vad ska Fasit innehålla?

5.7.1 Vilka uppgifter ska få behandlas?

Förslag: SCB ska ha rätt att behandla uppgifter om personnummer eller motsvarande identitetsbeteckning.

Fasit får endast innehålla de uppgifter som behövs för de ändamål som uppgifterna får behandlas för. För vissa särskilda kategorier av personuppgifter ska särskilda regler gälla.

Skälen för förslagen: När det gäller behandling som sker med stöd av någon av de rättsliga grunderna fullgörande av rättslig förpliktelse (art. 6.1 c) eller utförande av uppgift av allmänt intresse eller myndighetsutövning (art. 6.1 e), framgår det av artikel 6.2 och 6.3 i dataskyddsförordningen att en medlemsstat får ha särskilda bestämmelser om bl.a. vilken typ av uppgifter som ska få behandlas.

Utgångspunkten bör vara att endast sådana uppgifter som faktiskt behövs ska behandlas i Fasit. För att skapa det aktuella basåret av Fasit och för att därefter kunna förvalta och utveckla modellen behöver SCB behandla och ha tillgång till uppgifter om totalbefolkningen med identitet. Uppgifter om totalbefolkningen är även en förutsättning för att ta fram ett relevant och väl avvägt urval av befolkningen som kan göras tillgängligt för användare. SCB:s rätt

54

att behandla personuppgifter behöver därför avse personnummer och samordningsnummer eller motsvarande identitetsbeteckning. Rätten att behandla personnummer och samordningsnummer är en direkt och nödvändig förutsättning för att myndigheten ska kunna kvalitetssäkra arbetet med att framställa och utveckla de modellprogram och mikrodata som ingår i modellen. Det bör finnas ett uttryckligt stöd för detta i lagen. En sådan reglering skapar även en tydlighet för den enskilde. I detta sammanhang kan även konstateras att det inte är möjligt att inhämta samtycke från den enskilde till behandling av uppgifter, på grund av dels de försämringar i kvalitet som bortfall skulle leda till, dels det mycket stora antal samtycken som skulle behöva inhämtas.

Även användarnas mikrosimulering i Fasit förutsätter stora datamängder för att kunna fungera väl, dock krävs inte uppgifter med identitet eller liknande. Det är just omfattningen av datamängden som bestämmer kvaliteten på den variationsanalys som kan göras. Detta gäller såväl storleken på populationen som antalet uppgifter inom området. Användarna bör dock på samma sätt som i dag endast att ha tillgång till ett urval av uppgifter som inte direkt kan hänföras till någon enskild (se avsnitt 5.8).

Antalet personer som berörs av en viss behandling av personuppgifter är en faktor som påverkar bedömningen av integritetsriskerna med behandlingen. Detta gäller särskilt personuppgifter där den enskilde saknar eller har liten möjlighet att avstå från behandlingen. Integritetsriskerna kan vara stora, även om det handlar om uppgifter som var för sig uppfattas som harmlösa, om det finns risk för att de sammanställs och används på ett sätt som inte är avsett och som inte heller kan förutses. Antalet uppgifter om de registrerade personerna påverkar också integritetsriskerna.

Ändamålsregleringen begränsar, tillsammans med den särskilda regleringen av känsliga personuppgifter och att endast SCB har rätt att behandla personnummer och samordningsnummer, vilka personuppgifter som kan komma att behandlas och av vem. I sammanhanget bör nämnas att de aktuella uppgifterna när de lämnas ut är pseudonymiserade, inte möjliggör kartläggning av någon enskild persons liv, att de redan finns insamlade hos myndigheter och att flertalet av uppgifterna redan används för statistik och analys. Vidare saknas möjlighet till sökningar som avslöjar personuppgifter hos

55

användarna. Dessutom är spridningen och åtkomsten till uppgifterna begränsad genom reglerna om sekretess och kraven på att endast ett urval kan komma ifråga för ett utlämnande och då bara till vissa angivna mottagare (se vidare avsnitt 5.8 och 5.9). För vissa kategorier av uppgifter behövs inte heller uppgifter på detaljnivå, vilket medför att de kan aggregeras för att därigenom minska risken för integritetsintrång. I Regeringskansliet, som är den tveklöst största användaren av Fasit, styrs tillgången till Fasit av ett behörighetssystem, vilket innebär att endast den som har behov av uppgifter i sin verksamhet får ta del av dem. Dessa användare måste också genomgå en utbildning om bl.a. de säkerhetskrav som ställs vid hantering av mikromaterial innan de får tillgång till Fasit.

Trots mängden och typen av personuppgifter som behöver behandlas i Fasit bedöms den aktuella behandlingen vara proportionerlig i förhållande till ändamålet med Fasit.

5.7.2 Behandling av särskilda kategorier av personuppgifter

Förslag: Känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa ska få behandlas i Fasit och i det urval som lämnas ut till användarna. Andra personuppgifter som avses i artikel 9.1 och 10 i dataskyddsförordningen ska inte få behandlas.

Bedömning: Modulerna indirekt beskattning, offentliga välfärdstjänster och tandvård bör ingå i den version av Fasit som lämnas ut till samtliga användare.

Skälen för förslagen och bedömningen

Särskilda kategorier av personuppgifter

Av artikel 9.2 g i dataskyddsförordningen framgår att undantag från förbudet att behandla känsliga personuppgifter gäller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av medlemsstatens nationella rätt. Vidare framgår att den nationella rätten ska stå i proportion till det eftersträvade syftet, vara

56

förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

I artikel 9.2 j regleras undantag från förbudet vid behandling som är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Där anges att förbudet inte gäller om behandlingen är nödvändig för något av dessa ändamål i enlighet med artikel 89.1, på grundval av medlemsstaternas nationella rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Med statistik avses vanligtvis metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns också statistik. I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162).

Båda undantagsbestämmelserna gör således hänvisningar till nationell rätt och uppställer samtidigt krav på denna. I skäl 10 i dataskyddsförordningen anges att förordningen är avsedd att ge medlemsstaterna handlingsutrymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs närmare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder.

I lagrådsremissen Ny dataskyddslag anför regeringen det är uppenbart att det vid behandling av känsliga personuppgifter i de situationer som beskrivs i artikel 9.2 krävs ett annat stöd i rättsordningen, utöver det som dataskyddsförordningen ger. De särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste nämligen vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen.

57

Regeringen har i lagrådsremissen föreslagit en bestämmelse som möjliggör behandling av känsliga personuppgifter för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Ändamålet med Fasit utgör i sig ett viktigt allmänt intresse som kan berättiga behandlingen av vissa typer av känsliga personuppgifter. Flertalet användare torde kunna behandla uppgifterna i Fasit med stöd av den av regeringen förslagna bestämmelsen. Det är dock väsentligt att det inte finns någon tveksamhet om att de som använder Fasit har rätt att behandla känsliga personuppgifter. Med hänsyn härtill, och till den stora mängden data, finns det för att tillgodose användarnas behov och ur integritetssynpunkt skäl att det framgår att vissa känsliga personuppgifter får behandlas, såväl av SCB som av användarna. Därigenom skapas också en tydlighet för användarna och enskilda. Det underlättar också i stor utsträckning den utlämnandeprövning som ska göras av SCB.

Behandlingen av de känsliga personuppgifterna i Fasit måste regleras på ett sätt som beaktar dataskyddsförordningens krav på proportionalitet och vara förenlig med det väsentliga innehållet i rätten till data samt innehålla skyddsåtgärder.

Det är i princip omöjligt att på detaljnivå slå fast det framtida behovet av att i Fasit behandla känsliga personuppgifter. Behovet kan komma att förändras över tid och med kort varsel. Emellertid finns skäl och anledning att så långt det är möjligt exemplifiera vilka typer av känsliga personuppgifter som kan komma ifråga.

För att kunna göra nödvändiga beräkningar av effekter av förändringar i skatte-, avgifts- och bidragssystemen behövs känsliga personuppgifter inom områden som kan påverka systemen och som är en del av de offentliga välfärdstjänsterna. Hittills har personuppgifter som rör information som kan relateras till den registrerades hälsa haft störst relevans för modellen, exempelvis uppgifter om utbetalningar från socialförsäkrings- och välfärdssystemen. Det kan t.ex. handla om uppgifter om sjukpenning, sjuk- och aktivitetsersättning samt om tandvård- och läkemedelskostnader, dvs. uppgifter som direkt eller indirekt rör hälsa. Det är i huvudsak fråga om uppgifter beträffande avgifter och transfereringar kopplade till de angivna förmånerna. Däremot behövs inte uppgifter om t.ex. diagnoser och liknande uppgifter om sjukdomar. Även uppgifter om

58

avgifter för medlemskap i arbetstagarorganisationer kan behöva behandlas, eftersom behandling av dessa är nödvändig för att bl.a. beräkna den disponibla inkomsten och statens kostnader för skattereduktioner.

Som annat exempel på fall då känsliga uppgifter kan behöva behandlas kan nämnas uppföljningar och utvärderingar av exempelvis etableringsreformer och övriga riktade insatser för personer som har invandrat till Sverige. En uppgift som avslöjar en persons etniska ursprung är en känslig personuppgift enligt dataskyddsförordningen. Etniskt ursprung kan komma att avslöjas genom att flera uppgifter om en person behandlas i ett sammanhang, t.ex. uppgifter om födelseland och medborgarskap. Om uppgifterna sammantaget i ett enskilt fall avslöjar personens etniska ursprung utgör de känsliga personuppgifter, även om de inte är känsliga personuppgifter behandlade var för sig (jfr prop. 2009/10:85 s. 325). Det finns ett stort behov av att simulera etableringsreformer och andra riktade insatser till exempelvis personer som invandrat till landet. Behandling av personuppgifter som tillsammans med andra uppgifter riskerar att avslöja en persons etniska ursprung är nödvändig för att åstadkomma detta. Även i detta sammanhang handlar det om uppgifter som ger information om kostnader, avgifter och transfereringar.

Fasit ska inte innefatta fler kategorier känsliga personuppgifter än vad det faktiskt finns behov av. Endast sådana känsliga personuppgifter som avslöjar etniskt ursprung, facklig tillhörighet eller uppgifter som rör hälsa bör därför vara tillåtna att behandla. Utan dessa uppgifter omöjliggörs simuleringar inom centrala områden för skatte-, avgifts- och bidragssystemen. Andra känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen och uppgifter om fällande domar i brottmål och sådana överträdelser som avses i artikel 10 bör inte få behandlas.

För att ta fram och utveckla Fasit behöver SCB, som ovan angetts, behandla relevanta personuppgifter om hela befolkningen med identitet. Detta är centralt för att få till rätt urvalsram för de skattningar som ska kunna göras i Fasit, men det är även nödvändigt för att förvalta och utveckla systemet. Det som därefter kan komma ifråga för utlämnande till användarna, efter det att de direkt hänförbara uppgifterna tagits bort, är endast det särskilda urvalet (se avsnitt 5.8).

59

Mot bakgrund av att personuppgifterna som behandlas hos en användare inte är direkt hänförbara till en enskild, att det, bortsett från behandlingen hos SCB, endast är fråga om en behandling som avser ett urval, att den krets som behandlar dem är liten, att uppgifterna inte får sammanföras med andra uppgifter i syfte att utröna identitet och att stark sekretess gäller för verksamheten får riskerna för oacceptabla intrång i den personliga integriteten anses vara förhållandevis små (se även avsnitt 5.9).

I och med den begränsning till vissa kategorier av känsliga personuppgifter som föreslås tillgodoses dataskyddsförordningens krav på proportionalitet och förenlighet med det väsentliga innehållet i rätten till dataskydd. Det finns vidare, som tidigare nämnts, ofta inte behov av detaljerade uppgifter om t.ex. kostnader för sjukvård eller tandvård utan det är fullt tillräckligt med aggregerade uppgifter. Det kan t.ex. vara så att endast en persons totala kostnader per år behövs för att modellen ska tillgodose de behov som finns. Även uppgifter om medborgarskap eller födelseland bör vara möjliga att aggregera till kategorier av länder. Därigenom minskar risken för integritetsintrång och användarna får inte tillgång till fler känsliga uppgifter än de behöver.

Samtliga moduler ska ingå i modellen

Fasits moduler och mikrodata utgör en helhet, vilket innebär bl.a. att utveckling i form av nya mikrodata och nya moduler kommer samtliga användare till del. Det är också väsentligt att alla användare har samma data vid analyser av t.ex. effekter av ändringar av befintlig lagstiftning inom välfärdsystemen. Har användarna olika data kommer resultaten att skilja sig åt. Ur demokratisynpunkt är det också nödvändigt att regeringens reformarbete kan granskas av myndigheter och andra.

På grund av framför allt det osäkra rättsläget när det gäller behandlingen av känsliga uppgifter i Fasit lämnas för närvarande inte modulerna offentliga välfärdstjänster och tandvård ut till andra användare än Regeringskansliet. Vidare lämnas enbart modulen indirekt beskattning ut till Regeringskansliet som beställare. Detta är inte en tillfredsställande ordning. De uppgifter som ingår i dessa

60

moduler bör därför ingå i den version av Fasit som lämnas ut till användarna.

5.8 Vissa frågor om utlämnanden

Förslag: Uppgifterna i Fasit ska endast lämnas ut utan direkt hänförbara uppgifter till den enskilde.

Utlämnandet av uppgifter som ingår i Fasit får endast avse ett särskilt urval av uppgifter som tas fram av SCB för användare.

Vid tillgängliggörandet av Fasit får de personuppgifter som ingår förses med en beteckning, ett s.k. löpnummer, som hos SCB kan kopplas till personnummer eller motsvarande. En koppling mellan identitet och löpnummer, en s.k. kodnyckel, får bevaras hos myndigheten under högst ett år.

Regeringen eller den myndighet som regeringen bestämmer får, om särskilda skäl föreligger, föreskriva om en längre bevarandetid än ett år om särskilda skäl föreligger.

Skälen för förslagen: Av artikel 5.1 e i dataskyddsförordningen framgår att personuppgifter i samband behandling inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Uppgifter får lagras under en längre period i den mån som de uteslutande behandlas för arkiveringsändamål i allmänhetens intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen vidtas för att garantera den registrerades fri- och rättigheter.

Dataskyddsförordningen utgår från att när en identifiering inte längre behövs för den i och för sig berättigade behandling för historiska eller vetenskapliga forskningsändamål eller statistikändamål, ska identifieringsmöjligheterna tas bort. Av artikel 89.1 framgår att lämpliga skyddsåtgärder för en registrerads fri- och rättigheter ska vidtas, vilka får inbegripa pseudonymisering, om ändamålet med den aktuella personuppgiftsbehandlingen kan uppfyllas efter en sådan åtgärd.

61

En allmän utgångspunkt för behandlingen av uppgifterna i Fasit är att resultaten eller uppgifterna inte ska användas till stöd för åtgärder eller beslut som avser en enskild särskild fysisk person. Det finns i och med det inte skäl för att det urval som lämnas ut till användare ska innehålla uppgifter om identitet, utan i likhet med vad som redan gäller i dag bör endast uppgifter som inte är direkt hänförbara till en enskild komma ifråga. En bestämmelse om detta bör tas in i lagen. Därigenom tillgodoses även principen om uppgiftsminimering i artikel 5.1 c, eftersom det innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierbara personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. I skäl 28 anges också att behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad, utan att kompletterande uppgifter används, kan minska riskerna för de registrerade som berörs och hjälpa den personuppgiftsansvarige att fullgöra sina skyldigheter i fråga om dataskydd. Kravet uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f, som är en viktig del i skyddet av den personliga integriteten.

För mikrosimulering och statistikframställning hos användarna är det tillräckligt med ett statistiskt väl avvägt urval av uppgifter. Att fler uppgifter behandlas medför inte nödvändigtvis att resultatet blir bättre. En alltför stor population kan t.o.m. försvåra vid simuleringar i systemet. För att så långt det är möjligt minska integritetsriskerna bör därför föreskrivas att endast ett urval av uppgifterna som ligger till grund för Fasit lämnas ut. Detta innebär inte någon skillnad mot vad som redan tillämpas i dag.

För att under året kunna uppdatera den urvalsmodell av Fasit som lämnas ut tar SCB årligen fram en kodnyckel. En sådan kodnyckel är nödvändig för att tillgodose behovet av att uppdatera och kvalitetssäkra modellen. Denna kodnyckel bör inte bevaras under längre tid än nödvändigt.

Eftersom ett nytt basår tas fram varje år finns endast behov av att bevara kodnyckeln under ett års tid. Att en kodnyckel bevaras under en kort tid minskar i stor utsträckning risken för integritetsintrång. Därigenom förhindras bl.a. möjligheten att lägga till nya data till de uppgifter som lämnats ut och möjligheten att identifiera en enskild

62

blir i princip omöjlig efter det att kodnyckeln gallrats. En bestämmelse om att kodnyckeln endast får bevaras under högst ett år ska därför tas in i lagen.

Det kan i särskilda fall finnas behov av att bevara kodnyckeln under längre tid för longitudinella statistiska studier. Regeringen eller den myndighet som regeringen bestämmer bör därför få föreskriva att en kodnyckel får bevaras för längre tid om det föreligger särskilda skäl.

5.9 Särskilda skyddsåtgärder

Förslag: Uppgifterna i Fasit och i det urval som SCB lämnar ut till användarna ska inte få sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet.

Den som bryter mot detta ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall ska inte dömas till ansvar.

Skälen för förslagen: För att en behandling av känsliga personuppgifter ska vara tillåten för ett viktigt allmänt intresse och statistiska ändamål krävs, enligt artikel 9.2 g och j i dataskyddsförordningen, att unionsrätten eller den nationella rätten innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Be- handling av personuppgifter för statistiska ändamål ska även enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.

Den i avsnitt 5.7.2 föreslagna begränsningen vid behandling av känsliga personuppgifter och villkoren för att få behandla uppgifter i Fasit kan i sig sägas utgöra skyddsåtgärder i dataskyddsförordningens mening. En väsentlig skyddsåtgärd som också framhålls i dataskyddsförordningen är att uppgifterna som lämnas ut inte är direkt hänförbara till en enskild person. För Fasit kommer det efter en kortare tid inte att finnas någon kodnyckel som gör det möjligt att tillföra ytterligare uppgifter. Personuppgifterna omgärdas även

63

av särskilda skyddsåtgärder i form av bestämmelser om absolut sekretess och reglerna om gallring och bevarande (se avsnitt 5.13).

För att ytterligare tillförsäkra skyddet för den enskildes integritet bör även s.k. bakvägsidentifiering vara förbjuden. Det bör därför i lagen föreskrivas att uppgifterna i Fasit inte får sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet. I dag finns en sådan reglering i 6 och 26 §§ lagen om den officiella statistiken. Eftersom lagen om den officiella statistiken inte kommer att gälla vid behandling av personuppgifter i Fasit behövs, för att befästa skyddet av enskildas integritet, en särskild straffbestämmelse i likhet med vad som gäller enligt lagen om den officiella statistiken. För att säkerställa att ansvar utdöms endast för klart straffvärda förfaranden bör straff inte utdömas i ringa fall.

Genom det skydd som redogjorts för ovan bedöms den föreslagna regleringen väl uppfylla de krav på särskilda skyddsåtgärder som dataskyddsförordningen ställer upp. Skyddsåtgärderna säkerställer även så långt det är möjligt kravet på tekniska och organisatoriska åtgärder för att se till att principen om uppgiftsminimering följs.

5.10 Undantag från vissa av den registrerades rättigheter

Förslag: Rätten till rättelse och rätten till begränsning av behandlingen av personuppgifter enligt artikel 16 resp. 18 i dataskyddsförordningen ska inte gälla vid SCB:s behandling av personuppgifter i Fasit.

Bedömning: Det finns inte något skäl för att införa undantag från rätten att få tillgång till personuppgifter och information enligt artikel 15 eller från rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen.

64

Skälen för förslaget och bedömningen

Rättigheter vid SCB:s behandling av uppgifter

För att kunna förvalta och utveckla och utveckla Fasit behöver SCB behandla personuppgifter med identitet. Uppgifter som inte är direkt hänförbara till den enskilde kommer, i enlighet med vad som anförts i avsnitt 5.8, att återfinnas i den del av Fasit som kan tillgängliggöras för användare. Det är således SCB som kan och behöver kunna behandla identifierbara personuppgifter för att fullgöra sina skyldigheter. Övriga användare kommer inte att ha tillgång till personuppgifterna i form av identiteter. Detta får betydelse för de föreskrivna rättigheter som den registrerade har enligt dataskyddsförordningen.

SCB hanterar personuppgifterna i Fasit för statistiska ändamål. Även om bedömningen har gjorts att det finns skäl att särskilt reglera den personuppgiftsbehandling som Fasit innebär, bör så långt det är möjligt olika regleringar undvikas för likartade behandlingar. I och med det finns det skäl för att låta den lagstiftning som gäller för framställning av officiell statistik vara vägledande vid bedömningen av om och i sådana fall vilka undantag som det kan finnas anledning att införa för behandlingen av personuppgifter i Fasit. En annan utgångspunkt är att de registrerades rättigheter inte bör inskränkas i större utsträckning än vad som är absolut nödvändigt för att fullgöra verksamheten.

I Finansdepartementets promemoria Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform bedömdes det inte finnas någon anledning att införa ett undantag från den registrerades rätt i artikel 15 i dataskyddsförordning att få tillgång till personuppgifter som behandlas. De överväganden som låg till grund för bedömningen är relevanta även för Fasit. Registerutdrag över behandlade uppgifter har tagits fram och lämnats ut under många år av SCB, vilket i sig talar emot att det skulle påverka statistikframställningen eller Fasit i sådan omfattning som avses i dataskyddsförordningen. Rätten att få tillgång till uppgifterna är vidare i praktiken en förutsättning för att den enskilde ska kunna få insyn och kunna tillvarata sina övriga rättigheter (Ds 2017:40 s. 50 f.). Något undantag från rättigheten i artikel 15 bör därför inte införas.

65

I promemorian förslås emellertid att undantag ska införas för SCB från rätten i artikel 16 att få personuppgifter rättade eller kompletterade och rätten i artikel 18 föras att kräva begräsning av behandlingen av vissa uppgifter (Ds 2017:40 s. 50 ff.). De överväganden som ligger till grund för de förslagen gör sig gällande även vid SCB:s behandling av uppgifter i Fasit. Eftersom uppgifterna behandlas för statistikändamål får de inte behandlas i syfte att kartlägga eller vidta åtgärder i fråga om enskilda individer. Den registrerades intresse av att begränsa behandlingen av vissa uppgifter eller att rätta en felaktig uppgift borde vara högst begränsat. En sådan ordning skulle vidare riskera att göra det omöjligt eller mycket svårare för SCB att förvalta och utveckla Fasit med god kvalitet. Undantag från rättigheterna i artikel 16 och 18 i dataskyddsförordningen bör med stöd av artikel 89.2 därför föras in i den föreslagna lagen.

Eftersom SCB ska vara skyldig att föra Fasit utför myndigheten en nödvändig personuppgiftsbehandling för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c. I de fallen gäller inte rätten att göra invändningar i artikel 21 i dataskyddsförordningen. Något undantag från artikel 21 behöver därför inte införas.

Rättigheter vid användarnas behandling

Användare av Fasit kommer till skillnad från SCB inte att ha möjlighet att vidta någon åtgärd för att identifiera den registrerade eftersom uppgifterna lämnas ut i avidentifierat skick. En mottagare av Fasit kommer således att sakna möjlighet att rätta, komplettera, begränsa eller tillgodose rätten att göra invändningar mot behandlingen av de personuppgifter som ingår i modellen. Användaren kommer inte heller att kunna ge en registrerad tillgång till de personuppgifter som behandlas.

I artikel 11 i dataskyddsförordningen finns bestämmelser som gäller vid behandling som inte kräver identifiering. Av artikel 11.1 följer att om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syftet att följa

66

förordningen. Enligt artikel 11.2 ska den personuppgiftsansvarige, i de fall som avses i punkt 1, om det kan visas att denne inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

Eftersom artikel 11 är direkt tillämplig behövs inte någon särskild reglering för att göra undantag från artiklarna 15–20. Inte heller behöver något undantag göras från den personuppgiftsansvariges informationsplikt (art. 14), då rätten till information inte ska tillämpas om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning särskilt vid statistiska ändamål i enlighet med artikel 89.1.

Rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen omfattas inte av det direkt tillämpliga undantaget i artikel 11.2. Rätten gäller, som nämnts i avsnitt 4.1, vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, vilket alltså inkluderar behandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse. Rätten gäller dock inte vid behandling av statistiska ändamål i enlighet med art. 89.1, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, dvs. med rättslig grund i artikel 6.1 e. I avsnitt 5.4 görs bedömningen att artikel 6.1 e i stor utsträckning kommer utgöra den rättsliga grunden för användarna vid behandling av personuppgifter i Fasit. Något undantag från artikel 21 behöver därför inte föreskrivas.

5.11 Sekretess

Bedömningar: Regleringen i offentlighets- och sekretesslagen är tillräcklig för att uppfylla kraven på sekretess, tystnadsplikt och utlämnanden för uppgifterna i Fasit.

Det behövs inga särskilda regler om elektroniskt tillgängliggörande av Fasit.

67

Skälen för bedömningarna

Sekretesskyddet hos användare

Undersökningar med hjälp av statistiska metoder genomförs inom en rad verksamheter. Enligt 24 kap. 8 § OSL gäller sekretess i särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift om en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Motsvarande sekretess gäller i annan jämförbar undersökning som utförs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning som regeringen meddelar föreskrifter om det. Regeringen har meddelat föreskrifter av det senare slaget i 7 § OSF. Uppgift som behövs för forsknings- eller statistikändamål, och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Uppgifterna i Fasit omfattas hos SCB av sekretess enligt 24 kap. 8 § OSL. Ett urval av Fasit lämnas dock ut för behandling av andra än SCB. I viss utsträckning används Fasit för statistikändamål, men till större del används simuleringsmodellen för andra jämförbara undersökningar i OSL:s mening. Användandet av modellen förutsätter inte uppgifter om identitet och den ska inte heller lämnas ut med uppgifter som är direkt hänförbara till en enskild. Det är således fråga om situationer där det finns möjlighet att lämna ut uppgifter efter en prövning av om det står klart att ett röjande av uppgifterna inte medför att de enskilda eller någon närstående lider skada eller men. Vid den bedömningen har sekretesskyddet hos den användare som tar emot uppgifterna stor betydelse. I dagsläget lämnas Fasit ut till myndigheter som har en verksamhet som omfattas av 24 kap. 8 § OSL och 7 § OSF samt till andra användare med förbehåll enligt 10 kap. 14 § OSL.

En sekretessbrytande bestämmelse skulle kunna underlätta ett utlämnande av Fasit. En sådan sekretessbrytande bestämmelse skulle emellertid innebära ett nytt undantag från den sekretess som uppgifterna omfattas av. Det är också svårt att formulera en generell regel som skiljer ut de undersökningar som lämpligen skulle kunna

68

omfattas. Det befintliga regelverket bedöms vidare möjliggöra för SCB att lämna ut Fasit till de aktörer som har behov av att använda modellen.

Mot denna bakgrund bedöms det inte finnas behov av att ändra den befintliga regleringen.

Formen för utlämnande

I särskilda registerförfattningar finns ofta bestämmelser som reglerar om, i vilka fall och på vilket sätt personuppgifter får lämnas ut elektroniskt. Syftet med sådana bestämmelser är att inskränka möjligheterna för utomstående att genom överföringar av uppgifter i personregister förfoga över uppgifterna på ett sätt som innebär risker i integritetshänseende. I lagstiftningen görs i detta sammanhang ofta åtskillnad mellan utlämnande av uppgifter genom direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.

Med direktåtkomst kan den som använder databasen via en dator på egen hand kan söka i denna och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet i databasen. Direktåtkomst kan även innebära att användaren ges möjlighet att hämta hem information till sitt eget system och bearbeta den där. Direktåtkomst har vidare ansetts innebära att uppgifter ur databasen lämnats ut utan att den utlämnande myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut. Direktåtkomst innebär också ofta att mottagaren rent tekniskt ges tillgång till fler uppgifter än som faktiskt behövs för att uppnå ändamålen. För att detta ska vara tillåtet enligt OSL fordras normalt att det finns sekretessbrytande bestämmelser med ett relativt omfattande tillämpningsområde, som inte endast reglerar vilka uppgifter som får behandlas, utan som även bryter sekretessen för sådana uppgifter som endast gjorts tekniskt tillgängliga.

För annat elektroniskt utlämnande än genom direktåtkomst används ofta uttrycket ”utlämnande av uppgifter på medium för automatiserad behandling”. Sådant utlämnande kan exempelvis innebära att elektronisk information överförs via e-post, genom

69

utlämnande av uppgifter på ett flyttbart lagringsmedium, t.ex. flashminne (s.k. USB-minne), eller genom direkt överföring från ett datorsystem till ett annat.

Även om det görs en rättslig åtskillnad mellan olika former av elektroniskt utlämnande i registerförfattningar har den tekniska utvecklingen medfört att skillnaden mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg har blivit så små att det numera kan vara svårt att dra en skarp gräns mellan olika former av utlämnanden (prop. 2007/08:160 s. 58, 61 f. och 150). Begreppet direktåtkomst har också fått lite olika innebörd i olika författningar.

I princip samtliga uppgifter som finns i Fasit behandlas elektroniskt av SCB. Om ett utlämnande av urvalet av uppgifter blir aktuellt sker detta normalt genom fjärranslutning till myndighetens MONA-system (se avsnitt 3.5). Ett utlämnande på annat sätt kräver enligt den ordning som gäller vid myndigheten ett beslut av myndighetens generaldirektör.

Det bör i detta sammanhang framhållas att mottagaren av uppgifterna i MONA-systemet inte har någon möjlighet att påverka innehållet i databasen. Innan varje utlämnande sker en noggrann prövning av om uppgifterna kan lämnas ut och varje utlämnande kräver ett godkännande av ansvarig avdelningschef vid SCB. Eftersom urvalet måste vara komplett för att modellen ska fungera kan användarna inte anses ha tillgång till fler uppgifter än nödvändigt. Rent tekniskt går utlämnandet till på det sättet att det skapas en kopia av det urval av databasen som ska lämnas ut och det är till den kopian som fjärranslutningen sker. Anslutningen sker således inte till själva grunddatabasen. Vidare kan konstateras att SCB har väl utvecklade rutiner för utlämnandet av uppgifter och att utlämnandet sker på ett datatekniskt säkert sätt.

Mot denna bakgrund bedöms det inte finnas något behov av särskilda bestämmelser om elektroniskt tillgängliggörande av Fasit.

5.12 Uppgiftsskyldighet

Förslag: Myndigheter under regeringen ska vara skyldiga att till SCB lämna ut de uppgifter som behövs för att tillgodose ändamålen med Fasit

70

Skälen för förslaget: I 10 kap. OSL finns vissa sekretessbrytande bestämmelser. Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Regeringen har bedömt att det ofta inte är lämpligt att omfattande utlämnande av sekretessbelagda uppgifter sker enbart med stöd av den sekretessbrytande generalklausulen (se t.ex. prop. 2015/16:65 s. 94).

Av 10 kap. 28 § OSL följer att sekretess inte hindrar att uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Rutinmässiga informationsöverföringar mellan myndigheter bör i regel vara författningsreglerade, eftersom det annars krävs en sekretessprövning i varje enskilt fall. En uppgiftsskyldighet innebär att utlämnandet av uppgifter kan ske utan hinder av sekretess när det görs till en myndighet. I stället räcker det med en prövning av vilka uppgifter som kan lämnas ut med stöd av uppgiftsskyldigheten. En uppgiftsskyldighet är som regel utformad så att den endast anger skyldigheten att lämna ut uppgifter och inte på vilket sätt uppgifterna ska lämnas eller varifrån uppgifterna ska hämtas.

Ett utlämnande av personuppgifter ur ett elektroniskt system medför en automatiserad behandling av personuppgifter i och med att personuppgifterna tas ut ur systemet, oavsett om överföringen av personuppgifter till mottagaren är automatiserad eller manuell. I de fall då den uppgiftsskyldiges behandling av uppgifterna omfattas av dataskyddsförordningen måste förstås förordningens bestämmelser följas även vid uppgiftslämnandet. Utlämnandet måste t.ex. vara förenligt med finalitetsprincipen, om inte ett undantag har föreskrivits, och det måste även ha en rättslig grund.

En stor del av uppgifterna som i dag återfinns i Fasit är primärt insamlade för att framställa officiell statistik. Flertalet av uppgifterna finns således redan hos SCB och rättsligt stöd för att återanvända dem för annan statistik än officiell statistik och forskning finns i förordningen om den officiella statistiken. Detsamma gäller flertalet av de uppgifter som behövs för att utveckla Fasit på ett ändamålsenligt sätt.

Emellanåt finns även behov av uppgifter som först i ett senare skede är av betydelse för den officiella statistiken. Det kan t.ex. bli aktuellt vid förändringar inom skatteområdet. Informationen om

71

detta kommer i normalfallet till SCB ett par år efter införandet på grund av eftersläpningen i taxeringen. För att uppnå ändamålet med Fasit finns dock behov av att få tillgång till informationen tidigare än så.

Gemensamt för de uppgifter som behövs och som inte finns hos SCB är ofta att de omfattas av sekretess hos uppgiftsinnehavarna. Eftersom SCB inte kan kräva in uppgifterna med författningsstöd i det primära syftet att använda dem i Fasit finns en överhängande risk för att Fasit inte kan uppdateras med den kvalitet i uppgifterna som är önskvärd och nödvändig för att modellen ska kunna fylla sitt syfte. Som tidigare nämnts innebär det oklara rättsläget att begärda uppgifter inte har kunnat lämnas ut till SCB för användning i Fasit (se avsnitt 5.1).

För att SCB ska kunna hålla Fasit uppdaterat, aktuellt och ändamålsenligt ur ett användarperspektiv krävs relevanta uppgifter med tillräcklig kvalitet. En författningsreglerad uppgiftsskyldighet skulle bidra till att säkerställa detta. Det bedöms inte finnas några lämpliga alternativ till en sådan bestämmelse. En bestämmelse om uppgiftsskyldighet torde också underlätta för uppgiftslämnarna och bidra till en smidig hantering.

Med hänsyn till ovanstående bör en bestämmelse om uppgiftsskyldighet i förhållande till SCB införas för att myndigheten ska kunna förvalta och utveckla mikrosimuleringsmodellen Fasit. En sådan uppgiftsskyldighet behöver riktas till samtliga statliga myndigheter som lämnar uppgifter för Fasit och bör omfatta de uppgifter som SCB behöver för modellen. De myndigheter som i första hand berörs är Socialstyrelsen, Försäkringskassan, IAF, CSN, Pensionsmyndigheten och Skatteverket. Då uppgiftsskyldigheten enbart riktar sig till myndigheter under regeringen bör den föreskrivas i en förordning.

Allmänt gäller att behov av uppgifterna ska finnas för de specifikt angivna ändamålen för Fasit. Det är dock inte möjligt att på detaljerad nivå ange vilka uppgifter som ska ges in.

5.13 Gallring och bevarande

Förslag: Personuppgifter i Fasit ska gallras när de inte längre behövs för sitt ändamål.

72

Regeringen eller den myndighet som regeringen bestämmer ska få föreskriva om undantag från skyldigheten att gallra uppgifter, om gallringen skulle äventyra arkivens roll som en del av det nationella kulturarvet eller strida mot forskningens behov.

Skälen för förslagen: För närvarande gallras inte några av de personuppgifter som finns i Fasit, utan uppgifterna finns kvar i systemet under obegränsad tid. SCB har samtliga basår bevarade sedan 1991. Varje årgång innehåller en stor mängd personuppgifter som är direkt hänförliga till en enskild person.

Det är av central betydelse att myndigheternas bevarande av allmänna handlingar inte hindras av dataskyddsregleringen och att myndigheternas möjlighet att använda uppgifter i dessa handlingar säkerställs. På samma sätt behöver en ändamålsenlig behandling av personuppgifter för forskningsändamål eller statistiska ändamål garanteras, samtidigt som skyddet för den registrerades fri- och rättigheter beaktas. Mot bakgrund av de nya reglerna i dataskyddsförordningen finns skäl att ta ställning till hur länge personuppgifterna i Fasit ska få bevaras i identifierbart skick.

I arkivlagen (1990:782) och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras, vilket framgår av 3 § tredje stycket. Det anges också i 3 § att myndigheternas arkiv är en del av det nationella kulturarvet och att en myndighets arkiv ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättsskipning och förvaltning och forskningens behov. Av 10 § arkivlagen framgår att allmänna handlingar får gallras; samtidigt framhålls att hänsyn då ska tas till att arkiven utgör en del av det nationella kulturarvet. Av 10 § andra stycket arkivlagen framgår att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser i stället.

Av 14 § arkivförordningen framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.

I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål

73

eller för statistiska ändamål. Enligt artikel 5.1 b gäller exempelvis att vidarebehandling av personuppgifter för sådana ändamål i enlighet med artikel 89.1 inte ska anses oförenligt med de ursprungliga ändamålen och i artikel 9.2 j regleras utrymmet för undantag från förbudet att behandla känsliga personuppgifter. Enligt 5.1 e får sådana uppgifter också lagras under längre perioder under vissa förutsättningar.

I 19 § lagen om den officiella statistiken anges att personuppgifter ska gallras när de inte längre behövs för sitt ändamål och regeringen eller den myndighet som regeringen bestämmer får föreskriva om undantag från den skyldigheten om gallring skulle äventyra arkivens roll som en del av det nationella kulturarvet eller strida mot forskningens behov. I samband med detta ska behovet av skydd för den enskildes personliga integritet särskilt beaktas. I förordningen om den officiella statistiken anges att innan en statistikansvarig myndighet gallrar uppgifter enligt 19 § lagen om den officiella statistiken ska regeringen underrätta Riksarkivet. Den senare myndigheten får meddela föreskrifter om undantag från gallring enligt samma lag.

I förarbetena till den tidigare gällande lagen (1995:606) om vissa personregister för officiell statistik anförde regeringen angående frågan om gallring att utgångspunkten för integritetskänsliga statistikregister borde vara att personuppgifterna gallras när ändamålet är uppfyllt, dvs. när uppgifterna inte längre behövs för att framställa officiell statistik. Vidare anfördes att det är svårt för någon annan än den statistikansvariga myndigheten att bedöma den aktuella frågan och att det är svårt att sätta en generell längsta tid för bevarande. Samtidigt framhölls att en bortre gräns som huvudregel borde finnas. Regeringen anförde också att intresset av att bevara uppgifterna även för forskning och för det nationella kulturarvet är stort, samt att integritetsaspekten behöver vägas mot bevarandeintressen, vilket är en svår uppgift. För att få till väl avvägda beslut ansågs insikt och kunskap om ämnesområdena och en överblick över arkivbildningen i landet krävas (prop. 1994/95:200 s. 33 f.). Bestämmelsen fördes i huvudsak oförändrad över till lagen om den officiella statistiken (jfr prop. 2000/01:27 s. 58 f.).

Om ingen reglering förs in i den särskilda lag som nu föreslås för behandling av personuppgifter i Fasit kommer arkivlagen och arkivförordningens bestämmelser om bevarande av uppgifter att gälla.

74

Personuppgiftsbehandlingen i Fasit har stora likheter med statistikproduktion och databaserna i Fasit är att jämföra med statistikregister. Fasit är även, om än i blygsam omfattning, av intresse i forskningssammanhang, exempelvis samhällsvetenskaplig forskning.

De gallringsbestämmelser som behövs för de personuppgifter som ingår i Fasit får inte lägga hinder i vägen för ändamålen med modellen. Samtidigt ska integritetsaspekterna för de registrerade beaktas vid bestämmelsernas utformning. Till saken hör att personuppgifter enligt dataskyddsförordningen inte behöver bevaras i identifierbart skick enbart för att den personuppgiftsansvarige ska kunna svara på frågor om uppgifter om den registrerade behandlas eller inte.

De skäl som ligger till grund för utformningen av gallringsbestämmelserna i lagen om den officiella statistiken gör sig gällande även vid SCB:s personuppgiftsbehandling i Fasit. Den ordning för gallring som följer av lagen om den officiella statistiken får anses lämplig även för Fasit.

Vid bedömningen av regelgivningen om bevarandefrågan i statistiksammanhang lade regeringen stor tyngd vid integritetsaspekterna. Inget har framkommit som ger anledning till att i dag göra en annan bedömning. Det innebär att personuppgifterna i Fasit bör gallras hos SCB när de inte längre behövs. SCB, som är den som har personuppgiftsansvaret för de direkt identifierbara uppgifterna, är den myndighet som får anses ha bäst förutsättningarna att göra den bedömningen. Detta måste myndigheten givetvis göra med beaktande av de integritetsaspekter som följer av dataskyddsförordningens allmänna principer.

Till bestämmelsen om gallring bör kopplas ett bemyndigande som innebär att regeringen eller den myndigheten som regeringen bestämmer får meddela föreskrifter om bevarande, om gallringen skulle äventyra de intressen som arkivlagstiftningen syftar till att tillgodose. Även detta är i linje med vad som gäller för övrig statistik enligt lagen och förordningen om den officiella statistiken. På detta sätt tillförsäkras även möjligheten att använda sig av Fasit i forskningssammanhang. Riksarkivet bör bemyndigas att meddela föreskrifter av detta slag.

75

modellen på en ny nivå är mer begränsade. Ett mer realistiskt alternativ är ett genomförande på sikt där önskemålen prioriteras och avverkas efter hand. Storleken på anslaget skulle i så fall styra takten av implementeringen, men även sätta restriktioner för utvecklingen av Fasit.

I den mån utvecklingsåtgärder bedöms nödvändiga, men inte kan finansieras genom anslagna medel, bör sådan utveckling, i vart fall inledningsvis, genomföras genom separata avgiftsfinansierade uppdrag. Vid utvecklingen av nya moduler bör ställning tas till om finansiering ska ske genom anslag eller avgifter i SCB:s uppdragsverksamhet. Om modulerna ska ingå i det Fasit som tillgängliggörs för samtliga användare bör utgångspunkten vara att de ska finansieras via anslag.

Direkta kostnader för tillgängliggörandet av Fasit, t.ex. kostnaderna för MONA-systemet, ska i likhet med vad som gäller i dag, finansieras genom avgifter.

78

Särskild hänsyn har tagits till integritetsaspekterna. Skyddet för den personliga integriteten bedöms stärkas genom att personuppgiftshanteringen genom regleringen blir avgränsad och transparent. I de fall som undantag från dataskyddsförordningens bestämmelser föreslagits har andra berättigade intressen ansetts väga tyngre än skyddet för den personliga integriteten. De bedöms inte utgöra otillbörliga intrång i den personliga integriteten. I de fall som den personliga integriteten teoretiskt sett skulle kunna försvagas, bedöms försvagningarna inte innebära otillbörliga intrång i den personliga integriteten.

Förslagen ger SCB förutsättningar att förvalta och utveckla Fasit på ett effektivt och rättssäkert sätt.

Vid utformningen av förslagen har dataskyddsförordningens bestämmelser beaktats och förslagen syftar till att komplettera och precisera personuppgiftsbehandlingen på det sätt som är möjligt enligt dataskyddsförordningen, med utgångspunkt i de allmänna principerna i artikel 5. Förslagen bedöms inte gå utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen.

Ekonomiska konsekvenser

Samtliga moduler i Fasit föreslås finansieras via anslag (se avsnitt 6). För att möjliggöra att även kostnaderna för modulerna offentliga välfärdstjänster, indirekt beskattning och tandvård finansieras via anslag föreslås att ett belopp motsvarande kostnaderna för de separata uppdragen som finansierar de nämnda modulerna överförs från Regeringskansliets förvaltningsanslag till SCB:s motsvarande anslag. Av uppgifter från SCB framgår bl.a. att de löpande kostnaderna för modulen offentliga välfärdstjänster kan uppskattas till 100 000– 300 000 kronor och för modulen indirekt beskattning till 300 000– 350 000 kronor.

Förslagen medför i övrigt inte behov av ytterligare medel för de myndigheter som ska tillämpa den nya regleringen.

Konsekvenser för användare och uppgiftslämnare

Av övriga förslag är det främst regleringen om uppgiftsskyldighet som innebär förändringar för andra myndigheter. Detta handlar

82

dock om uppgifter som till stor del redan i dag samlas in från myndigheterna. Genom en uppgiftsskyldighet tillförsäkras att Fasit kommer att kunna uppdateras med uppgifter av den kvalitet som är önskvärd och nödvändig för modellens användbarhet. Regleringen av uppgiftsskyldigheten innebär även positiva konsekvenser för uppgiftslämnare till SCB genom att en sekretessprövning inte behöver föregå ett överlämnande av uppgifter.

Konsekvenser för företag

Förslagen innebär inte några åtaganden eller kostnader för företag.

Konsekvenser för jämställdhet

Fasit gör det möjligt att bedöma utfall och konsekvenser av reformer i det svenska offentliga välfärdssystemet för kvinnor och män. Att förtydliga stödet för Fasit och förbättra modellen bidrar till bättre förutsättningar för ökad ekonomisk jämställdhet.

83

statistiken tillämplig. När SCB inom ramen för sin statistikverksamhet utför uppdrag som innefattar behandling av personuppgifter i Fasit, och som inte utgör framställning av officiell statistik, är det däremot denna lag som ska tillämpas.

I paragrafens andra stycke anges att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning, som är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Den föreslagna lagen innehåller de kompletterande bestämmelser som gäller inom den verksamhet som anges i 1 §.

Tredje stycket upplyser om hur lagen förhåller sig till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den senare lagen kommer också att gälla vid sådan behandling av personuppgifter som följer av 1 §. Detta gäller dock endast om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.

3 §

Paragrafen behandlas i avsnitt 5.5.

Enligt bestämmelsen är SCB personuppgiftsansvarig för den behandlingen av personuppgifter som myndigheten utför i Fasit. Med personuppgiftsansvaret följer skyldigheter enligt dataskyddsförordningen. De myndigheter och andra som får del av det urval av Fasit som kan tillgängliggöras är personuppgiftsansvariga för den behandling av personuppgifter som de utför.

4 §

Paragrafen behandlas i avsnitt 5.6.

Paragrafen anger de ändamål för vilka personuppgifter i Fasit får behandlas. Bestämmelsen gäller både för SCB:s behandling i Fasit och, enligt 1 §, för den behandling som användarna utför i det datamaterial som lämnats ut enligt 9 §. Genom ändamålen anges den yttre ramen för behandlingen (jfr art. 5.1 b i dataskyddsförordningen). Ändamålen är utformade utifrån Fasits användningsområde

86

och avser att täcka in den personuppgiftsbehandling som sker i dag. Av 9 § framgår att personuppgifterna i det urval som lämnas ut inte får behandlas för andra ändamål. Att SCB även får behandla personuppgifterna i Fasit för att bl.a. förvalta systemet, skapa ett urval av pseudonymiserade uppgifter och lämna ut detta urval framgår av 5, 8 och 9 §§.

Av punkt 1 framgår att uppgifterna i Fasit får behandlas för att simulera och beräkna effekter av planerade politiska åtgärder inom det regelverk som avser skatte-, avgifts- och bidragssystemen, dvs. inom området inkomster och transfereringar. Även effekter av förändringar av de offentliga välfärdstjänsterna, som inte avser inkomster och transfereringar, omfattas av ändamålet. Med simulering avses bl.a. att med beräkningar och prognoser utifrån givna eller fiktiva förhållanden skapa ett resultat som inte nödvändigtvis stämmer överens med verkligheten. Avsikten är att möjliggöra analyser av budgetar och fördelningseffekter inom de angivna områdena.

Ändamålen i punkt 2 avser framtagande och tillhandahållande av all form av statistik, förutom officiell statistik, inom de angivna områdena. Bestämmelsen ger möjlighet till att ta fram mer skräddarsydda statistikuttag inom det angivna området.

5 §

Paragrafen behandlas i avsnitt 5.6.

Paragrafen reglerar SCB:s möjlighet att behandla och inneha samlingar av personuppgifter i databaser som inte alltid är avgränsade till den version av Fasit som lämnas ut till användare. Denna möjlighet är bl.a. nödvändig för att myndigheten ska kunna ta fram och skapa basår och för att få fram en korrekt urvalsram för den version av Fasit som ska göras tillgänglig för användare. Förvaltning och utveckling av modellen kräver bl.a. behandling av uppgifter om identitet. Det krävs även att populationens storlek och antalet uppgifter inom respektive område omfattar fler uppgifter än vad som krävs för de ändamål som återges i 4 §. Detaljerade uppgifter är också en förutsättning för att kunna aggregera känsliga uppgifter, t.ex. genom att lägga samman enskilda länder till en region. Även i detta fall gäller att behandlingen måste vara nödvändig för att förvalta och utveckla Fasit.

87

6 §

Paragrafen behandlas i avsnitt 5.7.2.

I paragrafen regleras förutsättningarna för behandling av s.k. känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser.

I första stycket anges att sådan behandling är förbjuden. Begränsningen gäller för all behandling av personuppgifter inom ramen för lagens tillämpningsområde.

Av andra stycket framgår dock att tre kategorier av sådana personuppgifter får behandlas, om uppgifterna är nödvändiga för ändamålet med behandlingen. Det är fråga om uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa. Dessa uppgifter förekommer i såväl Fasit som det urval som SCB lämnar ut till användarna enligt 9 §.

7 §

Paragrafen behandlas i avsnitt 5.7.1.

Paragrafen reglerar förutsättningarna för behandling av personnummer eller motsvarande identitetsbeteckning. Med motsvarande identitetsbeteckning avser samordningsnummer och andra direkt identifierande uppgifter. Endast SCB får behandla uppgifter av detta slag.

8 §

Paragrafen behandlas i avsnitt 5.8.

Paragrafen reglerar SCB:s skyldighet att skapa ett särskilt underlag av uppgifter, ett s.k. urval, för ändamålen som följer av 4 §. Ur- valet får endast avse de uppgifter som är nödvändiga för de angivna ändamålen ska kunna uppnås och får endast innefatta uppgifter som inte är direkt hänförbara till en enskild. Uppgifterna får dock vara försedda med en beteckning som hos SCB kan kopplas samman med personnummer eller motsvarande, ett s.k. löpnummer (se 10 §). Det är det framtagna urvalet som efter sekretessprövning kan lämnas ut till användarna enligt 9 §.

88

9 §

Paragrafen behandlas i avsnitt 5.4 och 5.6.

Enligt första stycket får det urval av personuppgifter som SCB ska ta fram enligt 8 § lämnas ut till Riksdagsförvaltningen och Riksrevisionen samt Regeringskansliet och andra myndigheter under regeringen. Bestämmelsen utgör inte en begränsning av myndighetens skyldigheter enligt t.ex. tryckfrihetsförordningen.

I andra stycket finns ett bemyndigande för regeringen att föreskriva att urvalet även får lämnas ut till andra än myndigheter. Som exempel på organisationer som i dag använder Fasit, och som bedöms behöva använda modellen och därmed behandla uppgifterna även i framtiden, kan nämnas SKL och de centrala arbetstagar- och arbetsgivarorganisationerna. Genom bemyndigandet finns också stöd för att under liknande förutsättningar föreskriva att urvalet kan lämnas ut till andra än de som använder modellen i dag.

Av tredje stycket följer att användarna enbart får behandla personuppgifterna i det utlämnade urvalet för de ändamål som anges i 4 §. Det är således inte möjligt att behandla uppgifterna för andra ändamål, även om dessa inte skulle vara oförenliga med det ändamål som uppgifterna samlats in för.

10 §

Paragrafen behandlas i avsnitt 5.8.

Enligt första stycket får SCB förse de uppgifter som lämnas ut enligt 9 § med s.k. löpnummer, om det är nödvändigt för ändamålet med mottagarens behandling. Genom att uppgifterna löpnummersatts kan SCB uppdatera uppgifterna under året med hjälp av den kodnyckel som myndigheten använt för att skapa nummerserien.

Enligt andra stycket får kodnyckeln bevaras i ett år.

I tredje stycket finns ett bemyndigande för att regeringen eller den myndighet som regeringen bestämmer ska kunna meddela bestämmelser om en längre bevarandetid än ett år för kodnyckeln. Sådana föreskrifter får meddelas om det finns särskilda skäl, exempelvis om ett bevarande är nödvändigt för att genomföra en longitudinell statistisk studie.

89

11 §

Paragrafen behandlas i avsnitt 5.9.

Enligt paragrafens första stycke får uppgifter i Fasit inte sammanföras med andra uppgifter i syfte att utröna enskilds identitet. Detsamma gäller de uppgifter som finns i det urval som har lämnats ut till användarna enligt 9 §.

Enligt andra stycket är förbudet straffsanktionerat. Enligt bestämmelsen ska den som bryter mot första stycket dömas för olovlig identifiering till böter eller fängelse i högst ett år. Den som brutit mot förbudet ska dock inte dömas till ansvar enligt bestämmelsen om gärningen är ringa eller straffsanktionerad enligt brottsbalken.

Bestämmelsen motsvarar vad som gäller enligt lagen om den officiella statistiken. Bestämmelsen hänvisar dock enbart till brottsbalkens konkurrerande straffbestämmelser, eftersom personuppgiftslagen kommer att upphöra att gälla den 25 maj 2018 och något nytt straffstadgande inte införs genom dataskyddsförordningen (jfr regeringens lagrådsremiss Ny dataskyddslag s. 141 f.).

12 §

Paragrafen behandlas i avsnitt 5.10.

Paragrafen innehåller undantag från vissa av de rättigheter som den registrerade har enligt EU:s dataskyddsförordning.

Genom bestämmelsen undantas den registrerades rätt att få personuppgifter rättade eller kompletterade enligt artikel 16 i dataskyddsförordningen och rätten att kräva att behandlingen begränsas enligt artikel 18 i dataskyddsförordningen.

13 §

Paragrafen behandlas i avsnitt 5.13.

Paragrafen innehåller de särskilda bestämmelser om bevarande och gallring som ska gälla inom lagens tillämpningsområde.

Som huvudregel gäller enligt första stycket att personuppgifterna ska gallras när de inte längre behövs för de ändamål som anges i 4 och 5 §§. Kravet på gallring är uppfyllt om personuppgifterna avidentifieras så att de inte längre kan knytas till den enskilde. Handlar

90

det om uppgifter som fått ett löpnummer kan det räcka med att kodnyckeln förstörs. Det får dock inte vara möjligt att genom s.k. bakvägsidentifiering identifiera den registrerade.

I andra stycket finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifter får bevaras för arkivändamål eller för vetenskapliga eller historiska forskningsändamål.

Ikraftträdandebestämmelsen

Bestämmelsen behandlas i avsnitt 7.

Lagen föreslås träda i kraft den 1 januari 2019.

91