Regeringens proposition 2019/20:7

Behandling av personuppgifter vid hantering av Prop.
oredlighet i forskning 2019/20:7

Regeringen överlÀmnar denna proposition till riksdagen.

Jönköping den 12 september 2019

Stefan Löfven

Anna Ekström (Utbildningsdepartementet)

Propositionens huvudsakliga innehÄll

I propositionen föreslÄs Àndringar i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning som syftar till att möjliggöra behandling av personuppgifter vid hantering av oredlighet i forskning. Det föreslÄs bestÀmmelser om behandling av kÀnsliga personuppgifter, skyddsÄtgÀrder och undantag frÄn den registrerades rÀttigheter i EU:s dataskyddsförordning.

LagÀndringarna föreslÄs trÀda i kraft samma dag som lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, dvs. den 1 januari 2020.

1

Prop. 2019/20:7

2

InnehÄllsförteckning

1 Förslag till riksdagsbeslut ................................................................. 4
2 Lagtext .............................................................................................. 5
  2.1 Förslag till lag om Àndring i lagen (2019:504) om  
    ansvar för god forskningssed och prövning av  
    oredlighet i forskning ......................................................... 5

2.2Förslag till lag om Àndring i lagen (2019:000) om Àndring i lagen (2019:504) om ansvar för god

    forskningssed och prövning av oredlighet i forskning ....... 7
3 Ärendet och dess beredning .............................................................. 8
4 Det behövs kompletterande bestÀmmelser om dataskydd för  
  hanteringen av oredlighet i forskning ............................................... 9
5 Nuvarande reglering.......................................................................... 9
  5.1 NÀrmare om dataskyddsförordningen ................................ 9

5.2Dataskyddsförordningen Àr direkt tillÀmplig men

kan kompletteras i nationell rÀtt ....................................... 13

5.3Dataskyddsförordningen kompletteras av

dataskyddslagen ............................................................... 14

5.4Dataskyddsförordningen kompletteras med

ytterligare svenska bestÀmmelser ..................................... 15

5.5Regeringsformen avgör om en kompletterande svensk reglering ska införas pÄ lag- eller

förordningsnivÄ ................................................................ 16

5.6Den nya ordningen för att frÀmja god sed och

  hantera oredlighet i forskning........................................... 16
  5.6.1 Lagen om ansvar för god forskningssed  
    och prövning av oredlighet i forskning............ 16
  5.6.2 Hantering av andra misstÀnkta avvikelser  
    frÄn god forskningssed .................................... 18
6 NÀmndens och forskningshuvudmÀnnens  
personuppgiftsbehandling ............................................................... 19
6.1 Det finns behov av att behandla personuppgifter ............. 19

6.2RÀttsliga grunder i dataskyddsförordningen kan

tillÀmpas ........................................................................... 20
6.2.1 RÀttsliga grunder för den sÀrskilda  
  nÀmndens personuppgiftsbehandling .............. 20

6.2.2RÀttsliga grunder för övriga statliga myndigheters, kommuners och regioners,

enskilda utbildningsanordnares samt övriga bolags, stiftelsers och föreningars personuppgiftsbehandling................................22

6.3Finns det behov av att införa generella

skyddsÄtgÀrder?................................................................ 23

6.4Behandling av kÀnsliga personuppgifter och

personuppgifter som rör lagövertrÀdelser......................... 28

6.4.1Den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga

    myndigheter samt kommuner och Prop. 2019/20:7
    regioner ska inte omfattas av sökförbudet  
    i dataskyddslagen............................................ 28
  6.4.2 Det behövs kompletterande reglering i  
    frÄga om behandling av kÀnsliga  
    personuppgifter för enskilda  
    utbildningsanordnare och övriga bolag,  
    stiftelser och föreningar .................................. 35
  6.4.3 Det finns inte behov av nÄgon ytterligare  
    reglering för behandling av  
    personuppgifter som rör lagövertrÀdelser  
    för enskilda utbildningsanordnare och  
    övriga bolag, stiftelser och föreningar ............ 38
6.5 Det behövs inget ytterligare rÀttsligt stöd för  
  personuppgiftsbehandling som sker med stöd av  
  arkivbestÀmmelser........................................................... 41

6.6Behöver de registrerades rÀttigheter eller de personuppgiftsansvarigas skyldigheter begrÀnsas i

nÄgot avseende?............................................................... 42

6.7Den lagtekniska lösningen och förhÄllandet till

    annan dataskyddsreglering .............................................. 52
  6.8 Enskildas integritet skyddas ............................................ 56
7 IkrafttrÀdande ................................................................................. 60
8 Konsekvenser ................................................................................. 60
  8.1 Konsekvenser för den personliga integriteten ................. 60
  8.2 Ekonomiska konsekvenser och konsekvenser i övrigt .... 61
9 Författningskommentar .................................................................. 61

9.1Förslaget till lag om Àndring i lagen (2019:504) om ansvar för god forskningssed och prövning av

oredlighet i forskning ...................................................... 61

9.2Förslaget till lag om Àndring i lagen (2019:000) om Àndring i lagen (2019:504) om ansvar för god

  forskningssed och prövning av oredlighet i forskning..... 64
Bilaga 1 Sammanfattning av promemorian Förslag om  
  dataskyddsbestÀmmelser som komplettering till  
  propositionen Ny ordning för att frÀmja god sed och  
  hantera oredlighet i forskning.......................................... 66
Bilaga 2 Promemorians lagförslag................................................. 68
Bilaga 3 Förteckning över remissinstanserna ................................ 70
Bilaga 4 LagrÄdsremissens lagförslag............................................ 71
Bilaga 5 LagrÄdets yttrande ........................................................... 74
Utdrag ur protokoll vid regeringssammantrÀde den 12 september  
  2019 ...................................................................................... 75

3

Prop. 2019/20:7

4

1 Förslag till riksdagsbeslut

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om Àndring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning.

2.Riksdagen antar regeringens förslag till lag om Àndring i lagen (2019:000) om Àndring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning.

2 Lagtext Prop. 2019/20:7

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om Àndring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning

HÀrigenom föreskrivs i frÄga om lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning

dels att nuvarande 15 § ska betecknas 21 §,

dels att rubriken nĂ€rmast före 15 § ska sĂ€ttas nĂ€rmast före den nya 21 §, dels att det ska införas sex nya paragrafer, 15–20 §§, och nĂ€rmast före

15 § en ny rubrik av följande lydelse.

Lydelse enligt SFS 2019:504 Föreslagen lydelse  
  Behandling av personuppgifter
  15 §    
  BestĂ€mmelserna i 16–20 §§ kom-
  pletterar Europaparlamentets och
  rÄdets förordning (EU) 2016/679
  av den 27 april 2016 om skydd för
  fysiska personer med avseende pÄ
  behandling av personuppgifter och
  om det fria flödet av sÄdana uppgif-
  ter och om upphÀvande av direktiv
  95/46/EG (allmÀn dataskyddsför-
  ordning), hÀr benÀmnd EU:s data-
  skyddsförordning.  
  16 §    
  Vid behandling av personuppgif-
  ter enligt denna lag gÀller lagen
  (2018:218) med kompletterande
  bestÀmmelser till EU:s dataskydds-
  förordning, hÀr benÀmnd data-
  skyddslagen, och föreskrifter som
  har meddelats i anslutning till den

lagen, om inte annat följer av denna lag.

17 §

Artikel 13.3 i EU:s dataskyddsförordning om informationsskyldighet för den personuppgiftsansvarige gÀller inte nÀr en forsk-

5

Prop. 2019/20:7 ningshuvudman som avses i 3 §
  första stycket behandlar person-
  uppgifter för att fullgöra uppgifter
  enligt denna lag.    
  18 §    
  BestÀmmelsen i 3 kap. 3 § andra
  stycket dataskyddslagen om sökför-
  bud i frÄga om kÀnsliga personupp-
  gifter gÀller inte nÀr nÀmnden eller
  en forskningshuvudman som avses
  i 3 § första stycket 1, 2 och 5 be-
  handlar personuppgifter för att
  fullgöra uppgifter enligt denna lag.
  19 §    
  Personuppgifter som avses i arti-
  kel 9.1 i EU:s dataskyddsförord-
  ning (kÀnsliga personuppgifter) fÄr
  med stöd av artikel 9.2 g i samma
  förordning behandlas av de forsk-
  ningshuvudmÀn som avses i 3 §
  första stycket 3, 4, 6 och 7 om be-
  handlingen Àr nödvÀndig för att
  fullgöra uppgifter enligt denna lag.
  För sÄdana forskningshuvudmÀn
  som avses i 3 § första stycket 3, 4, 6
  och 7 och i vars verksamhet be-
  stÀmmelserna om allmÀnna hand-
  lingar och sekretess i tryckfrihets-
  förordningen och offentlighets- och
  sekretesslagen (2009:400) gÀller,
  finns det Àven bestÀmmelser om be-

handling av kÀnsliga personuppgifter i dataskyddslagen.

20 §

Personuppgifter som behandlas av nÀmnden enbart för att fullgöra uppgifter enligt denna lag fÄr anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen.

6

2.2 Förslag till lag om Àndring i lagen (2019:000) Prop. 2019/20:7
  om Àndring i lagen (2019:504) om ansvar för  
  god forskningssed och prövning av oredlighet i  
  forskning    
HÀrigenom föreskrivs att 3 § lagen (2019:504) om ansvar för god forsk-  
ningssed och prövning av oredlighet i forskning i stÀllet för lydelsen enligt  
lagen (2019:000) om Àndring i den lagen ska ha följande lydelse.  
Lydelse enligt prop. 2018/19:162 Föreslagen lydelse  

3 §

Denna lag tillÀmpas pÄ forskning som utförs av

1.universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434),

2.andra statliga myndigheter,

3.staten i form av aktiebolag, om bolagets verksamhet Àr reglerad i lag eller nÄgon annan författning eller om staten som Àgare eller genom tillskott av statliga anslagsmedel eller genom avtal eller pÄ nÄgot annat sÀtt har ett bestÀmmande inflytande över verksamheten,

4.staten i form av stiftelse, om stiftelsens verksamhet Àr reglerad i lag eller nÄgon annan författning eller om stiftelsen Àr bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,

5. kommuner och regioner, eller 5. kommuner och regioner,
av aktiebolag, handelsbolag, eko- 6. aktiebolag, handelsbolag, eko-
nomiska föreningar och stiftelser nomiska föreningar och stiftelser
dÀr kommuner eller regioner utövar dÀr kommuner eller regioner utövar
ett rÀttsligt bestÀmmande infly- ett rÀttsligt bestÀmmande infly-
tande, och tande, och
6. enskilda utbildningsanordnare 7. enskilda utbildningsanordnare
som har tillstÄnd att utfÀrda exami- som har tillstÄnd att utfÀrda exami-
na enligt lagen (1993:792) om till- na enligt lagen (1993:792) om till-
stÄnd att utfÀrda vissa examina. stÄnd att utfÀrda vissa examina.

Regeringen fÄr meddela föreskrifter om undantag frÄn lagens tillÀmpningsomrÄde för forskningshuvudmÀn som bedriver forskning inom det försvars- och sÀkerhetspolitiska omrÄdet. Regeringen fÄr ocksÄ besluta om sÄdana undantag i enskilda fall.

7

Prop. 2019/20:7

8

3 Ärendet och dess beredning

Regeringen beslutade den 1 oktober 2015 att ge en sÀrskild utredare i uppdrag att undersöka behovet av en ny hantering av Àrenden som rör utredning av oredlighet i forskning och lÀmna förslag som sÀkerstÀller en tydlig och rÀttssÀker hantering av misstÀnkt oredlighet. I uppdraget ingick bl.a. att vid behov föreslÄ en ny ÀndamÄlsenlig organisation för oberoende utredningar av oredlighet i forskning (dir. 2015:99). Utredningen antog namnet Oredlighetsutredningen. I februari 2017 överlÀmnade utredningen betÀnkandet Ny ordning för att frÀmja god sed och hantera oredlighet i forskning (SOU 2017:10). BetÀnkandet remissbehandlades och den 28 februari 2019 beslutade regeringen propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning (prop. 2018/19:58). I propositionen föreslogs en ny lag om ansvar för god forskningssed och prövning av oredlighet i forskning samt att en ny nÀmnd ska inrÀttas med uppgift att pröva frÄgor om oredlighet i forskning. Riksdagen har antagit propositionens lagförslag (bet. 2018/19:UbU21, rskr. 2018/19:273). Den nya lagen trÀder i kraft den 1 januari 2020 och den nya nÀmnden planeras inrÀttas samma datum.

I Oredlighetsutredningens betÀnkande finns ingen analys av förslagen ur ett dataskyddsperspektiv. I propositionen konstateras att förslagen i propositionen innebÀr att personuppgifter, Àven kÀnsliga sÄdana, kommer att behandlas av bÄde den nÀmnd som ska pröva oredlighet i forskning och forskningshuvudmÀnnen. Det aviseras i propositionen att Utbildningsdepartementet ska remittera ett förslag till kompletterande dataskyddsreglering med anledning av förslagen i propositionen (prop. 2018/19:58 s. 82 f.).

Inom Regeringskansliet (Utbildningsdepartementet) har en promemoria utarbetats med en analys ur ett dataskyddsperspektiv av förslagen i propositionen och vissa förslag i betÀnkandet samt förslag till nödvÀndiga kompletterande bestÀmmelser. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren och en sammanstÀllning av dessa finns tillgÀngliga i Utbildningsdepartementet (U2019/00970/F).

Under den fortsatta beredningen har Datainspektionen getts tillfÀlle att yttra sig över ett utkast till lagrÄdsremiss. Utkastet till lagrÄdsremiss överensstÀmmer med den beslutade lagrÄdsremissen, vars lagförslag finns i bilaga 4. Datainspektionen har yttrat sig och synpunkterna behandlas i avsnitt 6.3 och 6.4.3. Yttrandet finns tillgÀngligt i Utbildningsdepartementet (U2019/00970/F).

LagrÄdet

Regeringen beslutade den 18 juli 2019 att inhÀmta LagrÄdets yttrande över lagförslaget i lagrÄdsremissen. LagrÄdets yttrande finns i bilaga 5. LagrÄdet har lÀmnat förslagen utan erinran. I förhÄllande till lagrÄdsremissens lagförslag har sprÄkliga och författningstekniska Àndringar gjorts.

4 Det behövs kompletterandeProp. 2019/20:7 bestÀmmelser om dataskydd för

hanteringen av oredlighet i forskning

Samtidigt som arbetet med en ny reglering av hanteringen av oredlighet i forskning har pÄgÄtt har ett nytt regelverk för behandling av personuppgifter införts. Den 27 april 2016 antogs Europaparlamentets och rÄdets förordning (EU) 2016/679 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning). Den nya rÀttsakten, som i det följande benÀmns dataskyddsförordningen, syftar bl.a. till att sÀkerstÀlla en enhetlig skyddsnivÄ inom unionen för att den fria rörligheten av personuppgifter inom den inre marknaden inte ska hindras. Dataskyddsförordningen, som började tillÀmpas den 25 maj 2018, ersatte Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter (dataskyddsdirektivet).

Den 15 februari 2018 beslutades propositionen Ny dataskyddslag (prop. 2017/18:105) med förslag till en ny lag med kompletterande bestÀmmelser till dataskyddsförordningen. Riksdagen antog lagförslaget den 18 april 2018 (bet. 2017/18:KU23, rskr. 2017/18:224). Den nya lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, i det följande benÀmnd dataskyddslagen, trÀdde i kraft den 25 maj 2018. Samtidigt upphÀvdes personuppgiftslagen (1998:204, förkortad PUL). Samma dag trÀdde Àven förordningen (2018:219) med kompletterande bestÀmmelser till EU:s dataskyddsförordning i kraft.

Som nÀmnts i avsnitt 3 finns det i propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning (prop. 2018/19:58) ingen analys av den numera beslutade lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning, ur ett dataskyddsperspektiv. En sÄdan analys presenteras i stÀllet i denna proposition. Det befintliga regelverket bedöms inte vara tillrÀckligt, utan kompletterande bestÀmmelser om dataskydd för hanteringen av oredlighet i forskning föreslÄs i denna proposition.

5 Nuvarande reglering

5.1NÀrmare om dataskyddsförordningen

EU:s dataskyddsförordning ersatte den 25 maj 2018 det tidigare dataskyddsdirektivet, som lÄg till grund för PUL, samtidigt som PUL upphÀvdes. Dataskyddsförordningen har till stor del samma struktur och innehÄll som dataskyddsdirektivet.

9

Prop. 2019/20:7

10

Vissa allmÀnna principer gÀller för all behandling av personuppgifter

Vilka principer som gÀller för behandling av personuppgifter, dvs. vilka allmÀnna krav som gÀller för all personuppgiftsbehandling, anges i artikel

5.1i dataskyddsförordningen. Den första principen som lÀggs fast Àr att personuppgifter ska behandlas pÄ ett lagligt, korrekt och öppet sÀtt i förhÄllande till den registrerade (artikel 5.1 a). Vidare anges att personuppgifterna ska samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl och att de inte senare fÄr behandlas pÄ ett sÀtt som Àr oförenligt med dessa ÀndamÄl. Ytterligare behandling för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ÀndamÄlen (artikel 5.1 b). (För en nÀrmare beskrivning av artikel 89.1, se nedan.) Vidare ska uppgifterna bl.a. vara adekvata och korrekta och fÄr inte förvaras under en lÀngre tid Àn vad som Àr nödvÀndigt (artikel 5.1 c, d och e). Uppgifterna mÄste ocksÄ behandlas pÄ ett sÀtt som sÀkerstÀller lÀmplig sÀkerhet (artikel 5.1 f). Det Àr den personuppgiftsansvarige som ska ansvara för och kunna visa att artikel 5.1 efterlevs (artikel 5.2).

Det mÄste alltid finnas en rÀttslig grund för personuppgiftsbehandling

Dataskyddsförordningen utgÄr frÄn att varje behandling av personuppgifter mÄste vila pÄ en av de rÀttsliga grunder som rÀknas upp i artikel 6.1. Behandlingen Àr enligt artikel 6.1 laglig endast om och i den mÄn som Ätminstone ett av följande villkor Àr uppfyllt:

a)Den registrerade har lÀmnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ÀndamÄl.

b)Behandlingen Àr nödvÀndig för att fullgöra ett avtal i vilket den registrerade Àr part eller för att vidta ÄtgÀrder pÄ begÀran av den registrerade innan ett sÄdant avtal ingÄs.

c)Behandlingen Àr nödvÀndig för att fullgöra en rÀttslig förpliktelse som Ävilar den personuppgiftsansvarige.

d)Behandlingen Àr nödvÀndig för att skydda intressen som Àr av grundlÀggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)Behandlingen Àr nödvÀndig för ÀndamÄl som rör den personuppgiftsansvariges eller en tredje parts berÀttigade intressen, om inte den registrerades intressen eller grundlÀggande rÀttigheter och friheter vÀger tyngre och krÀver skydd av personuppgifter, sÀrskilt nÀr den registrerade Àr ett barn.

Villkor f gÀller inte för behandling som utförs av offentliga myndigheter nÀr de fullgör sina uppgifter (artikel 6.1 andra stycket).

Medlemsstaterna fÄr behÄlla eller införa mer specifika bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen med hÀnsyn till behandling för att efterleva artikel 6.1 c och e (rÀttslig förpliktelse respektive allmÀnt intresse eller myndighetsutövning). Detta fÄr göras genom att man nÀrmare faststÀller specifika krav för uppgiftsbehandlingen och andra ÄtgÀrder för att sÀkerstÀlla en laglig och rÀttvis behandling, inbegripet för andra specifika situationer dÄ uppgifter behandlas i enlighet

med kapitel IX BestÀmmelser om sÀrskilda behandlingssituationer (artikel 6.2).

NÀr det gÀller behandling som Àr nödvÀndig för att fullgöra en rÀttslig förpliktelse, för att utföra en uppgift av allmÀnt intresse eller som ett led i myndighetsutövning mÄste det Àven finnas ett annat stöd i rÀttsordningen Àn det som ges i dataskyddsförordningen. I artikel 6.3 första stycket anges nÀmligen att den grund för behandlingen som avses i artikel 6.1 c och e ska faststÀllas i enlighet med unionsrÀtten eller en medlemsstats nationella rÀtt som den personuppgiftsansvarige omfattas av. I skÀl 45 till dataskyddsförordningen anges att förordningen inte medför nÄgot krav pÄ en sÀrskild lag för varje enskild behandling, utan att det kan rÀcka med en lag som grund för flera behandlingar som bygger pÄ en rÀttslig förpliktelse som Ävilar den personuppgiftsansvarige eller om behandlingen krÀvs för att utföra en uppgift av allmÀnt intresse eller som ett led i myndighetsutövning.

I propositionen Ny dataskyddslag (prop. 2017/18:105) anför regeringen att det av ordalydelsen i artikel 6.3 första stycket framgÄr att det som ska faststÀllas i unionsrÀtten eller i nationell rÀtt Àr den grund för behandlingen som avses i artikel 6.1 c och e. Det krÀvs sÄledes inte en reglering i unionsrÀtten eller i nationell rÀtt av sjÀlva personuppgiftsbehandlingen som ska ske med stöd av dessa rÀttsliga grunder. Det som mÄste ha stöd i rÀttsordningen Àr i stÀllet den rÀttsliga förpliktelsen respektive uppgiften av allmÀnt intresse eller rÀtten att utöva myndighet (s. 49). I nu aktuellt fall gÀller det t.ex. uppgiften att pröva frÄgor om oredlighet i forskning som i propositionen föreslÄs regleras i en ny lag (se vidare avsnitt 6.1.1 nedan).

NÀr det gÀller den rÀttsliga grunden rÀttslig förpliktelse sÄ ska syftet med behandlingen faststÀllas i den rÀttsliga grunden (artikel 6.3 andra stycket). I propositionen Ny dataskyddslag anges att kravet torde innebÀra att en förpliktelse inte kan lÀggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgÄr. Det ska alltsÄ vara möjligt för sÄvÀl den personuppgiftsansvarige som den registrerade att förstÄ varför behandlingen av personuppgifter ska ske. Vid bedömningen av om nÄgot följer av exempelvis en lagbestÀmmelse kan bl.a. förarbetsuttalanden, bestÀmmelsens syfte och den rÀttsliga kontext bestÀmmelsen befinner sig i behöva beaktas. Det Àr alltsÄ inte bara lagtextens ordalydelse som Àr av relevans för att avgöra om nÄgot följer av lag. Den rÀttsliga förpliktelsen behöver inte heller Äterfinnas direkt i t.ex. en lag eller ett kollektivavtal. Det kan ocksÄ vara frÄga om förpliktelser som Àven har sin grund i sÀrskilt reglerade avtal, sÄsom försÀkringsavtal (s. 54 och 188).

NÀr det gÀller behandling enligt artikel 6.1 e ska syftet med behandlingen vara nödvÀndigt för att utföra en uppgift av allmÀnt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel

6.3andra stycket). I propositionen Ny dataskyddslag anför regeringen, i frÄga om den rÀttsliga grunden allmÀnt intresse, att behandling av personuppgifter som utförs som ett led i administrativa ÄtgÀrder som Àr nödvÀndiga för myndighetens förvaltning och funktion Àr rÀttsligt grundad i dataskyddsförordningens mening. Det krÀvs alltsÄ inte att de administrativa ÄtgÀrderna Àr faststÀllda i enlighet med svensk rÀtt. DÀremot mÄste de administrativa ÄtgÀrderna vara nödvÀndiga för att myndigheten ska kunna utföra sina uppgifter. De sistnÀmnda uppgifterna mÄste vara faststÀllda i enlighet med gÀllande rÀtt (s. 61).

Prop. 2019/20:7

11

Prop. 2019/20:7

12

Den rÀttsliga grunden kan innehÄlla sÀrskilda bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen, t.ex. de allmÀnna villkor som ska gÀlla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna fÄr lÀmnas ut och för vilka ÀndamÄl, ÀndamÄlsbegrÀnsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet ÄtgÀrder för att tillförsÀkra en laglig och rÀttvis behandling, dÀribland för behandling i andra sÀrskilda situationer enligt kapitel IX BestÀmmelser om sÀrskilda behandlingssituationer. UnionsrÀtten eller medlemsstaternas nationella rÀtt ska dessutom uppfylla ett mÄl av allmÀnt intresse och vara proportionell mot det legitima mÄl som efterstrÀvas (artikel 6.3 andra stycket). SÄdana bestÀmmelser brukar i den mÄn det anses nödvÀndigt att införa sÄdana tas in i s.k. registerförfattningar, t.ex. studiestödsdatalagen (2009:287), se vidare avsnitt 5.3.

SĂ€rskilda kategorier av personuppgifter

Det Àr förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa och uppgifter om en fysisk persons sexualliv eller sexuella lÀggning (artikel 9.1 i dataskyddsförordningen). SÄdana uppgifter benÀmns i dataskyddslagen kÀnsliga personuppgifter (se vidare avsnitt 5.3). Förbudet ska dock inte tillÀmpas om behandlingen Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse, pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen (artikel 9.2 g).

Behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrder enligt artikel 6.1 fÄr utföras endast under kontroll av en myndighet eller dÄ behandling Àr tillÄten enligt unionsrÀtten eller medlemsstaternas nationella rÀtt, dÀr lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter faststÀlls (artikel 10).

Personuppgiftsbehandling för arkivÀndamÄl av allmÀnt intresse

I dataskyddsförordningen finns Àven bestÀmmelser som sÀrskilt rör personuppgiftsbehandling för arkivÀndamÄl av allmÀnt intresse. Enligt artikel

5.1b gÀller exempelvis att ytterligare behandling (vidarebehandling) av personuppgifter för sÄdana ÀndamÄl i enlighet med artikel 89.1 inte ska anses oförenlig med de ursprungliga ÀndamÄlen. I artikel 89.1 anges att behandling av personuppgifter för arkivÀndamÄl av allmÀnt intresse ska omfattas av lÀmpliga skyddsÄtgÀrder i enlighet med förordningen för den registrerades rÀttigheter och friheter. Dessa skyddsÄtgÀrder ska sÀkerstÀlla att tekniska och organisatoriska ÄtgÀrder har införts för att se till att sÀrskilt principen om uppgiftsminimering iakttas. I skÀl 50 anges att behandling av personuppgifter för andra ÀndamÄl Àn de för vilka de ursprungligen samlades in endast bör vara tillÄten nÀr detta Àr förenligt med de ÀndamÄl för vilka personuppgifterna ursprungligen samlades in. I skÀl 50 anges

dock ocksÄ, i frÄga om behandling för arkivÀndamÄl, att ytterligare be- Prop. 2019/20:7 handling för arkivÀndamÄl av allmÀnt intresse bör betraktas som förenlig

och laglig behandling av uppgifter. I propositionen Ny dataskyddslag konstaterar regeringen att svenska myndigheter, kommunala bolag och vissa andra organ enligt arkivlagen (1990:782) Ă€r skyldiga att bevara sina allmĂ€nna handlingar. Regeringen anför vidare att den behandling av personuppgifter som myndigheter och andra utför nĂ€r de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som sker för arkivĂ€ndamĂ„l av allmĂ€nt intresse. Behandlingen ska dĂ€rmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga Ă€ndamĂ„len. Det krĂ€vs dĂ„ enligt regeringen inte nĂ„gon annan rĂ€ttslig grund Ă€n den med stöd av vilken insamlingen av personuppgifter medgavs (s. 109–111).

Den registrerades rÀttigheter

I tredje kapitlet i dataskyddsförordningen (artiklarna 12–23) anges den registrerades rĂ€ttigheter i samband med att personuppgifter behandlas. Dessa rĂ€ttigheter kan under vissa förutsĂ€ttningar begrĂ€nsas, se vidare avsnitt 6.6.

5.2Dataskyddsförordningen Àr direkt tillÀmplig men kan kompletteras i nationell rÀtt

Dataskyddsförordningen Àr till alla delar bindande och direkt tillÀmplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmÀn giltighet och vara till alla delar bindande och direkt tillÀmplig i varje medlemsstat framgÄr ocksÄ av fördraget om Europeiska unionens funktionssÀtt (artikel 288 andra stycket). Till skillnad frÄn EU-direktiv ska alltsÄ EU- förordningar inte genomföras i nationell rÀtt. I stÀllet ska förordningsbestÀmmelser tillÀmpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestÀmmelser.

Även om dataskyddsförordningen Ă€r direkt tillĂ€mplig i medlemsstaterna innehĂ„ller den som framgĂ„r av avsnitt 5.1, mĂ„nga bestĂ€mmelser som förutsĂ€tter eller ger utrymme för kompletterande nationella bestĂ€mmelser av olika slag. Möjligheten till kompletterande nationella bestĂ€mmelser gĂ€ller framför allt behandling av personuppgifter inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna fĂ„r behĂ„lla eller införa mer specifika bestĂ€mmelser för att anpassa tillĂ€mpningen av bestĂ€mmelserna i dataskyddsförordningen bl.a. nĂ€r det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmĂ€nt intresse eller som ett led i myndighetsutövning (artikel 6.2). Förordningen har dĂ€rmed i vissa delar en direktivliknande karaktĂ€r. Om förordningen föreskriver förtydliganden eller begrĂ€nsningar av dess bestĂ€mmelser genom medlemsstaternas nationella rĂ€tt, kan medlemsstaterna, i den utstrĂ€ckning det Ă€r nödvĂ€ndigt för samstĂ€mmigheten och för att göra de nationella bestĂ€mmelserna begripliga för de personer som de tillĂ€mpas pĂ„, införliva delar av förordningen i nationell rĂ€tt (skĂ€l 8).

13

Prop. 2019/20:7

14

5.3Dataskyddsförordningen kompletteras av dataskyddslagen

Dataskyddslagen innehÄller bl.a. bestÀmmelser som förtydligar innehÄllet i dataskyddsförordningens bestÀmmelser och kompletterar dataskyddsförordningen i vissa delar. BestÀmmelser i annan lag eller förordning som avviker frÄn dataskyddslagen ska ha företrÀde (1 kap. 6 § dataskyddslagen), dvs. lagen Àr subsidiÀr till andra författningar. Det innebÀr att lagen, pÄ motsvarande sÀtt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter pÄ ett avgrÀnsat omrÄde.

BestÀmmelser som anger förutsÀttningarna för att en rÀttslig förpliktelse och en uppgift av allmÀnt intresse och myndighetsutövning ska utgöra rÀttslig grund för behandling av personuppgifter finns i 2 kap. dataskyddslagen. DÀr anges att personuppgifter fÄr behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning (rÀttslig förpliktelse), om behandlingen Àr nödvÀndig för att den personuppgiftsansvarige ska kunna fullgöra en rÀttslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 1 §). Vidare anges att personuppgifter fÄr behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning (uppgift av allmÀnt intresse eller myndighetsutövning), om behandlingen Àr nödvÀndig 1. för att utföra en uppgift av allmÀnt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller 2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning (2 kap. 2 §).

BestÀmmelser om behandling av vissa kategorier av personuppgifter finns i 3 kap. dataskyddslagen. Begreppet kÀnsliga personuppgifter definieras som sÄdana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (3 kap. 1 §). Det anges vidare att kÀnsliga personuppgifter fÄr behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning 1. om uppgifterna har lÀmnats till myndigheten och behandlingen krÀvs enligt lag, 2. om behandlingen Àr nödvÀndig för handlÀggningen av ett Àrende, eller 3. i annat fall, om behandlingen Àr nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den registrerades personliga integritet (3 kap. 3 § första stycket). Vid behandling som sker enbart med stöd av 3 kap. 3 § första stycket Àr det förbjudet att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter (3 kap. 3 § andra stycket). Vid tilllÀmpningen av 3 kap. 3 § första stycket 1 ska andra Àn myndigheter jÀmstÀllas med myndigheter, i den utstrÀckning bestÀmmelserna om allmÀnna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400, förkortad OSL) gÀller i deras verksamhet (3 kap. 3 § tredje stycket).

KÀnsliga personuppgifter fÄr Àven behandlas för arkivÀndamÄl av allmÀnt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen Àr nödvÀndig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 6 § första stycket). Vidare fÄr personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (fÀllande domar i brottmÄl samt övertrÀdelser) behandlas av myndigheter och Àven

av andra Àn myndigheter, om behandlingen Àr nödvÀndig för att den per- Prop. 2019/20:7 sonuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §).

Regeringen eller den myndighet som regeringen bestÀmmer fÄr meddela ytterligare föreskrifter om i vilka fall andra Àn myndigheter fÄr behandla sÄdana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket).

I dataskyddslagen regleras Ă€ven vissa undantag frĂ„n den registrerades rĂ€ttigheter. Av 5 kap. 1 § första stycket dataskyddslagen följer att artiklarna 13–15 i EU:s dataskyddsförordning (som rör information som ska tillhandahĂ„llas om personuppgifterna samlas in frĂ„n den registrerade, information som ska tillhandahĂ„llas om personuppgifterna inte har erhĂ„llits frĂ„n den registrerade och den registrerades rĂ€tt till tillgĂ„ng) inte gĂ€ller sĂ„dana uppgifter som den personuppgiftsansvarige inte fĂ„r lĂ€mna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. I andra stycket anges att om den personuppgiftsansvarige inte Ă€r en myndighet, gĂ€ller undantaget i första stycket Ă€ven för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL. Vidare följer det av 5 kap. 2 § första stycket dataskyddslagen att artikel 15 i EU:s dataskyddsförordning (som rör den registrerades rĂ€tt till tillgĂ„ng) inte gĂ€ller personuppgifter i löpande text som inte har fĂ„tt sin slutliga utformning nĂ€r begĂ€ran gjordes eller som utgör minnesanteckning eller liknande. I andra stycket anges att undantaget i första stycket inte gĂ€ller om personuppgifterna har lĂ€mnats ut till tredje part, behandlas enbart för arkivĂ€ndamĂ„l av allmĂ€nt intresse eller statistiska Ă€ndamĂ„l eller har behandlats under lĂ€ngre tid Ă€n ett Ă„r i löpande text som inte har fĂ„tt sin slutliga utformning. Regeringen fĂ„r meddela ytterligare föreskrifter om begrĂ€nsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning (5 kap. 3 § dataskyddslagen). I propositionen Ny dataskyddslag gjorde regeringen bedömningen att rĂ€tten att göra invĂ€ndningar mot myndigheters behandling av personuppgifter inte bör begrĂ€nsas genom ett undantag i dataskyddslagen. SĂ„dana begrĂ€nsningar bör enligt regeringen i stĂ€llet vid behov övervĂ€gas pĂ„ sektorspecifik nivĂ„ (s. 103).

5.4Dataskyddsförordningen kompletteras med ytterligare svenska bestÀmmelser

BĂ„de dataskyddsförordningen och dataskyddslagen innehĂ„ller en generell reglering av behandling av personuppgifter. PĂ„ vissa omrĂ„den finns det Ă€ven behov av kompletterande nationella bestĂ€mmelser om personuppgiftsbehandling. PĂ„ utbildningsomrĂ„det har sektorslagstiftningen kompletterats med bestĂ€mmelser om personuppgiftsbehandling hos enskilda utbildningsanordnare, t.ex. i lagen (1993:792) om tillstĂ„nd att utfĂ€rda vissa examina. Dessa bestĂ€mmelser Ă€r dock inte tillĂ€mpliga i detta sammanhang. Även pĂ„ forskningsomrĂ„det har sektorslagstiftningen kompletterats med bestĂ€mmelser om personuppgiftsbehandling. Inte heller dessa bestĂ€mmelser Ă€r tillĂ€mpliga i detta sammanhang.

15

Prop. 2019/20:7

16

5.5Regeringsformen avgör om en kompletterande svensk reglering ska införas pÄ lag- eller förordningsnivÄ

Vid införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundlÀggande bestÀmmelser till skydd för den personliga integriteten beaktas.

Enligt RF Àr var och en gentemot det allmÀnna skyddad mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden. Detta skydd kan under vissa förutsÀttningar begrÀnsas genom lag. BegrÀnsningar fÄr göras endast för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle. BegrÀnsningen fÄr aldrig gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och inte heller strÀcka sig sÄ lÄngt att den utgör ett hot mot den fria Äsiktsbildningen (2 kap. 6 § andra stycket, 20 § första stycket 2 och 21 § RF). Vid införandet av nya bestÀmmelser som avser behandling av personuppgifter behöver det dÀrmed bedömas om regleringen utgör ett sÄdant betydande integritetsintrÄng som avses i 2 kap. 6 § andra stycket RF och om det skyddet i sÄ fall kan begrÀnsas genom lag, eller om regleringen kan införas pÄ förordningsnivÄ. Förarbetena till grundlagsbestÀmmelsen ger ledning vid en sÄdan bedömning (prop. 2009/10:80 s. 171 f.).

5.6Den nya ordningen för att frÀmja god sed och hantera oredlighet i forskning

5.6.1Lagen om ansvar för god forskningssed och prövning av oredlighet i forskning

Lagen (2019:504) om ansvar för god forskningssed och hantering av oredlighet i forskning innehÄller dels bestÀmmelser om forskares och forskningshuvudmÀns ansvar för att forskning utförs i enlighet med god forskningssed, dels om förfarandet vid prövning av frÄgor om oredlighet i forskning (1 §).

En nÀmnd för prövning av frÄgor om oredlighet i forskning ska inrÀttas

FrÄgor om oredlighet i forskning ska prövas av en sÀrskild statlig nÀmnd (7 §). Om det kan misstÀnkas att oredlighet i forskning har förekommit i en forskningshuvudmans verksamhet, ska forskningshuvudmannen överlÀmna handlingarna i Àrendet till den sÀrskilda nÀmnden (6 §). NÀmnden ska pröva frÄgor om oredlighet i forskning. SÄdana Àrenden inleds genom att en forskningshuvudman överlÀmnar handlingarna i ett Àrende som rör misstanke om oredlighet i forskning i den egna verksamheten, genom att en anmÀlan om oredlighet i forskning inkommer till nÀmnden eller genom att nÀmnden tar upp en frÄga om oredlighet i forskning som den har fÄtt kÀnnedom om pÄ nÄgot annat sÀtt (7 §).

Vilka forskningshuvudmÀn ska omfattas av bestÀmmelserna?

Begreppet forskningshuvudman definieras i lagen som en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs (2 §). Lagen ska tillÀmpas pÄ forskning som utförs av

1.universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434), i det följande benÀmnda statliga universitet och högskolor,

2.andra statliga myndigheter,

3.staten i form av aktiebolag, om bolagets verksamhet Àr reglerad i lag eller nÄgon annan författning eller om staten som Àgare eller genom tillskott av statliga anslagsmedel eller genom avtal eller pÄ nÄgot annat sÀtt har ett bestÀmmande inflytande över verksamheten,

4.staten i form av stiftelse, om stiftelsens verksamhet Àr reglerad i lag eller nÄgon annan författning eller om stiftelsen Àr bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,

5.kommuner och landsting, eller av aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller landsting utövar ett rÀttsligt bestÀmmande inflytande, och

6.enskilda utbildningsanordnare som har tillstÄnd att utfÀrda examina enligt lagen (1993:792) om tillstÄnd att utfÀrda vissa examina, i det följande benÀmnda enskilda utbildningsanordnare.

Vidare ska regeringen fÄ meddela föreskrifter om undantag frÄn lagens tillÀmpningsomrÄde för forskningshuvudmÀn som bedriver forskning inom det försvars- och sÀkerhetspolitiska omrÄdet. Regeringen ska ocksÄ fÄ besluta om sÄdana undantag i enskilda fall (3 §).

ForskningshuvudmÀn ska pÄ begÀran bistÄ med upplysningar och handlingar och ge tillgÄng till datorer och annan utrustning

En forskningshuvudman ska lÀmna de upplysningar och handlingar om forskningen som nÀmnden begÀr och ge nÀmnden tillgÄng till datorer och annan utrustning som har anvÀnts vid forskningen. NÀmnden ska fÄ besluta de förelÀgganden som behövs för att en forskningshuvudman ska fullgöra nÀmnda skyldigheter. Ett beslut om förelÀggande fÄr förenas med vite (12 §).

NÀmnden ska redovisa resultatet av sin prövning i ett beslut

NĂ€mndens prövning av en frĂ„ga om oredlighet i forskning ska redovisas i ett beslut. NĂ€mnden ska ocksĂ„ fĂ„ besluta att avvisa en anmĂ€lan om oredlighet i forskning som har inkommit till nĂ€mnden om den Ă€r uppenbart obefogad. NĂ€mnden ska Ă€ven fĂ„ besluta att skriva av ett Ă€rende om anmĂ€lan har Ă„terkallats. Om nĂ€mnden bedömer att ett Ă€rende inte rör oredlighet i forskning men kan gĂ€lla andra avvikelser frĂ„n god forskningssed, ska nĂ€mnden underrĂ€tta den berörda forskningshuvudmannen och samtidigt lĂ€mna över handlingarna i Ă€rendet dit (9–11 §§).

NÀmndens beslut ska fÄ överklagas till allmÀn förvaltningsdomstol

NÀmndens beslut i Àrenden om oredlighet i forskning och om förelÀgganden som behövs för att en forskningshuvudman ska fullgöra sina skyldigheter att lÀmna upplysningar eller handlingar som nÀmnden begÀr samt ge

Prop. 2019/20:7

17

Prop. 2019/20:7 nÀmnden tillgÄng till datorer och annan utrustning som har anvÀnts vid forskningen ska fÄ överklagas till allmÀn förvaltningsdomstol. Andra beslut enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska inte fÄ överklagas. Vidare ska prövningstillstÄnd krÀvas vid överklagande till kammarrÀtten (15 §).

ForskningshuvudmÀnnen ska Äterrapportera till nÀmnden och ge information till berörda

Om nÀmnden har fattat ett beslut om att det har förekommit oredlighet i forskning, eller det framgÄr av ett beslut av nÀmnden att det har förekommit en allvarlig avvikelse frÄn god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsÄt eller grov oaktsamhet har kunnat konstateras, ska forskningshuvudmannen

–inom sex mĂ„nader efter att beslutet har vunnit laga kraft rapportera till nĂ€mnden vilka Ă„tgĂ€rder huvudmannen har vidtagit eller avser att vidta med anledning av beslutet, och

–snarast efter att beslutet har fattats informera berörda forskningsfinansiĂ€rer, myndigheter, vetenskapliga tidskrifter och andra berörda om beslutet, och dĂ„ upplysa om att beslutet kan komma att överklagas (13 och 14 §§).

Sekretess ska gÀlla hos nÀmnden för vissa uppgifter

Sekretess ska gÀlla hos nÀmnden i Àrenden enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för uppgift om

–en enskilds personliga förhĂ„llanden, om det inte stĂ„r klart att uppgiften kan röjas utan att den enskilde eller nĂ„gon nĂ€rstĂ„ende till denne lider men, och

–en enskilds ekonomiska förhĂ„llanden, om det kan antas att den enskilde lider skada om uppgiften röjs.

Sekretessen ska inte gÀlla för uppgift om vem som har vÀckt frÄgan om oredlighet eller för uppgift om vem misstanken riktas mot. Sekretessen ska inte heller gÀlla beslut i ett Àrende. För uppgift i en allmÀn handling ska sekretessen gÀlla i högst

–sjuttio Ă„r för uppgift om en enskilds personliga förhĂ„llanden, och

–tjugo Ă„r för uppgift om en enskilds ekonomiska förhĂ„llanden.

Om nÀmnden i sin verksamhet enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning fÄr en sekretessreglerad uppgift frÄn en forskningshuvudman ska sekretessbestÀmmelsen vara tilllÀmplig pÄ uppgiften Àven hos nÀmnden. Den överförda sekretessen ska inte gÀlla för en uppgift som ingÄr i ett beslut hos nÀmnden (11 kap. 3 a § och 24 kap. 7 a § OSL).

5.6.2Hantering av andra misstÀnkta avvikelser frÄn god forskningssed

Oredlighetsutredningen föreslÄr i sitt betÀnkande Ny ordning för att frÀmja god sed och hantera oredlighet i forskning (SOU 2017:10) att det ska regleras i högskoleförordningen (1993:100) att statliga universitet och högskolor ska hantera andra misstÀnkta avvikelser frÄn god forskningssed

18

Àn de som ska prövas sÀrskilt enligt lagen om ansvar för god forskningssed Prop. 2019/20:7 och prövning av oredlighet i forskning. Regeringen avser att besluta om

en sÄdan reglering.

Utredningen har inte föreslagit nÄgon reglering av de övriga forskningshuvudmÀnnens hantering av andra fall av misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas av nÀmnden. DÀrmed Àr det upp till dessa forskningshuvudmÀn att vÀlja om de ska hantera andra fall av misstÀnkta avvikelser frÄn god forskningssed och pÄ vilket sÀtt detta i sÄ fall ska ske. Eftersom det Àr oklart i vilken utstrÀckning dessa forskningshuvudmÀn kommer att hantera andra fall av misstÀnkta avvikelser frÄn god forskningssed och pÄ vilket sÀtt de i sÄ fall kommer att hantera dessa Àr det inte möjligt att göra nÄgon nÀrmare dataskyddsanalys i denna del. Den personuppgiftsbehandling som kan bli nödvÀndig fÄr dÀrmed ske med stöd av bestÀmmelserna i dataskyddsförordningen och dataskyddslagen.

6NÀmndens och forskningshuvudmÀnnens personuppgiftsbehandling

6.1 Det finns behov av att behandla personuppgifter

Som framgÄr av avsnitt 5.6.1 ska lagen om ansvar för god forskningssed  
och prövning av oredlighet i forskning tillÀmpas pÄ forskning som utförs  
av statliga universitet och högskolor, övriga statliga myndigheter, kommu-  
ner och landsting, vissa statliga aktiebolag och stiftelser, aktiebolag, han-  
delsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller lands-  
ting utövar ett rÀttsligt bestÀmmande inflytande samt enskilda utbildnings-  
anordnare som har tillstÄnd att utfÀrda examina enligt lagen (1993:792)  
om tillstÄnd att utfÀrda vissa examina. De enskilda utbildningsanordnarna  
utgörs av stiftelser, aktiebolag och föreningar. DÀrutöver blir den nya  
lagen ocksÄ tillÀmplig pÄ den sÀrskilda nÀmnden. Alla dessa myndigheter  
och andra organ kommer att behöva behandla personuppgifter i flera olika  
avseenden för att uppfylla de krav som stÀlls i lagen. Statliga universitet  
och högskolor kommer ocksÄ att behöva behandla personuppgifter i sin  
hantering av andra misstÀnkta avvikelser frÄn god forskningssed.  
I propositionen En ny beteckning för kommuner pÄ regional nivÄ och  
vissa frÄgor om regionindelning (prop. 2018/19:162) föreslÄr regeringen  
att beteckningen för kommuner pÄ regional nivÄ Àndras frÄn landsting till  
region den 1 januari 2020. Med anledning av detta kommer i det följande  
beteckningen region att anvÀndas Àven i denna proposition nÀr det gÀller  
förhÄllanden som föreslÄs rÄda frÄn och med samma tidpunkt.  
Den sÀrskilda nÀmnden kommer huvudsakligen att behöva behandla  
personuppgifter i samband med att den prövar frÄgor om oredlighet i forsk-  
ning. Denna personuppgiftsbehandling kommer ofta vara lik den som har  
utförts under sjÀlva forskningen. Oredlighetsutredningen har bedömt att  
nÀmnden kommer att pröva ca 15 Àrenden per Är. Regeringen bedömer i  
propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i 19
 

Prop. 2019/20:7 forskning, utifrÄn antalet oredlighetsÀrenden som universitet och högskolor har hanterat de senaste Ären, att antalet Àrenden som nÀmnden ska hantera kommer att vara begrÀnsat, men att en effekt av att inrÀtta den nya nÀmnden och ge en möjlighet för enskilda att anmÀla Àrenden dit kan bli en större ÀrendemÀngd för nÀmnden, Ätminstone initialt. Statliga universitet och högskolor, övriga statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar kommer att behöva behandla personuppgifter nÀr de t.ex. lÀmnar upplysningar och handlingar om forskningen till den sÀrskilda nÀmnden och nÀr de informerar berörda forskningsfinansiÀrer m.fl. om nÀmndens beslut.

SÄvÀl den sÀrskilda nÀmnden som de nÀmnda forskningshuvudmÀnnen kommer vidare att behöva hantera forskningsmaterial som innehÄller kÀnsliga personuppgifter. Det kan t.ex. gÀlla forskningsmaterial inom medicinsk forskning som innehÄller uppgifter om hÀlsa, eller samhÀllsvetenskaplig forskning som kan innehÄlla uppgifter om t.ex. etniskt ursprung eller politiska Äsikter. I mÄnga forskningsprojekt behandlas flera olika kategorier av kÀnsliga personuppgifter inom ramen för samma projekt. I forskningsmaterial kan det Àven förekomma uppgifter om lagövertrÀdelser, vilket Àr vanligt i t.ex. rÀttsvetenskaplig forskning. Forskningsmaterial kan ocksÄ omfatta uppgifter om en mycket stor mÀngd personer i ett och samma forskningsprojekt. Vidare kan den sÀrskilda nÀmnden och forskningshuvudmÀnnen behöva hantera kÀnsliga uppgifter om den som har gjort anmÀlan om oredlighet i forskning, om den som Àr misstÀnkt för oredlighet i forskning och om andra personer i det aktuella forskningsprojektet eller pÄ den aktuella arbetsplatsen. Det kan Àven bli aktuellt för nÀmnden och forskningshuvudmÀnnen att ta del av uppgifter om enskildas ekonomiska förhÄllanden, t.ex. uppgifter om enskildas affÀrsförhÄllanden. Denna typ av uppgifter kan ingÄ sÄvÀl i forskningsmaterial som i övrigt material som nÀmnden och forskningshuvudmÀnnen tar del av.

  6.2 RÀttsliga grunder i dataskyddsförordningen kan
    tillÀmpas
  6.2.1 RÀttsliga grunder för den sÀrskilda nÀmndens
    personuppgiftsbehandling
   
  Regeringens bedömning: De uppgifter som anges i lagen om ansvar
  för god forskningssed och prövning av oredlighet i forskning kommer
  att utgöra i svensk rÀtt faststÀllda uppgifter av allmÀnt intresse. Den be-
  handling av personuppgifter som Àr nödvÀndig för att utföra uppgifterna
  kan dÀrmed ske med stöd av den rÀttsliga grunden uppgift av allmÀnt
  intresse i artikel 6.1 e i dataskyddsförordningen.
  Den sÀrskilda nÀmndens prövning av oredlighet i forskning innefattar
  myndighetsutövning. Den behandling av personuppgifter som Àr nöd-
  vÀndig för myndighetsutövningen kan i dessa fall Àven utföras med stöd
  av den rÀttsliga grunden myndighetsutövning i artikel 6.1 e i data-
  skyddsförordningen.
  De skyldigheter som regleras i lagen om ansvar för god forskningssed
20 och prövning av oredlighet i forskning kommer att utgöra i svensk rÀtt
   

faststĂ€llda rĂ€ttsliga förpliktelser som Ă„vilar nĂ€mnden och som gör det nödvĂ€ndigt att behandla personuppgifter. Även den rĂ€ttsliga grunden rĂ€ttslig förpliktelse i artikel 6.1 c kan dĂ„ tillĂ€mpas.

Promemorians bedömning: ÖverensstĂ€mmer med regeringens bedömning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot bedömningen.

Som nÀmnts i avsnitt 3 har Datainspektionen getts tillfÀlle att yttra sig över ett utkast till lagrÄdsremiss med ett förslag som överensstÀmmer med vad som anges i rutan ovan. Datainspektionen anför bl.a. att det krÀvs att en rÀttslig förpliktelse Àr tillrÀckligt preciserad och tydlig för att den ska kunna utgöra rÀttslig grund. Syftet med behandlingen ska vara bestÀmd av den författning som ger stöd för förpliktelsen. Att en organisation genom en lag ges en uppgift att pröva oredlighet i forskning m.m. kan enligt Datainspektionen inte generellt anses utgöra en tillrÀckligt preciserad rÀttslig förpliktelse enligt de krav som stÀlls i artikel 6.

SkÀlen för regeringens bedömning: Som nÀmns i avsnitt 5.1 utgÄr dataskyddsförordningen frÄn att varje behandling av personuppgifter mÄste vila pÄ en av de rÀttsliga grunder som rÀknas upp i artikel 6.1. NÀr det gÀller den sÀrskilda nÀmndens personuppgiftsbehandling görs bedömningen att det finns flera rÀttsliga grunder som kan tillÀmpas. För det första bedöms de uppgifter som anges i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning utgöra i svensk rÀtt faststÀllda uppgifter av allmÀnt intresse. SÄdan behandling av personuppgifter dÀr syftet med behandlingen Àr nödvÀndigt för att utöva verksamhet som regleras i nÀmnda föreskrifter kan dÀrmed ske med stöd av den rÀttsliga grunden uppgift av allmÀnt intresse i artikel 6.1 c.

Vidare gör regeringen i propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning (prop. 2018/19:58) bedömningen att den sÀrskilda nÀmndens prövning av oredlighet i forskning utgör myndighetsutövning (s. 82 och 85). Det Àr alltsÄ frÄga om myndighetsutövning som faststÀlls i svensk rÀtt. DÀrmed kan nÀmnden Àven anvÀnda sig av den rÀttsliga grunden myndighetsutövning i artikel 6.1 e för sÄdan behandling av personuppgifter som Àr nödvÀndig som ett led i myndighetsutövningen.

I promemorian görs bedömningen att de skyldigheter som den sÀrskilda nÀmnden har enligt den nya lagen utgör rÀttsliga förpliktelser i dataskyddsförordningens mening. Personuppgiftsbehandling för att fullgöra dessa förpliktelser bedöms i promemorian dÀrmed Àven kunna ske med stöd av artikel 6.1 c enligt vilken behandlingen ska vara nödvÀndig för att fullgöra en rÀttslig förpliktelse som Ävilar den personuppgiftsansvarige. Datainspektionen anför i sitt yttrande över utkastet till lagrÄdsremiss att det förhÄllandet att en organisation genom en lag ges en uppgift att pröva oredlighet i forskning m.m. inte generellt kan anses utgöra en tillrÀckligt preciserad rÀttslig förpliktelse.

NÀmnden har enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning i uppgift att pröva frÄgor om oredlighet i forskning (7 §) och nÀmndens prövning ska redovisas i ett beslut (9 §). Oredlighet i forskning definieras i 2 § som en allvarlig avvikelse frÄn god forskningssed i form av fabricering, förfalskning eller plagiering som begÄs med uppsÄt eller av grov oaktsamhet vid planering, genomförande

Prop. 2019/20:7

21

Prop. 2019/20:7 eller rapportering av forskning. Regeringens anser att nÀmndens skyldig-
  heter enligt lagen Àr tydliga och tillrÀckligt preciserade för att uppfylla
  kraven i artikel 6. Syftet med behandlingen Àr faststÀllt i den rÀttsliga grun-
  den och Àr i detta fall att pröva frÄgor om oredlighet i forskning utifrÄn den
  lagstadgade definitionen av vad oredlighet innebÀr samt att redovisa resul-
  tatet av prövningen i ett beslut.
  6.2.2 RÀttsliga grunder för övriga statliga
    myndigheters, kommuners och regioners, enskilda
    utbildningsanordnares samt övriga bolags,
    stiftelsers och föreningars
    personuppgiftsbehandling
   
  Regeringens bedömning: De uppgifter som regleras i lagen om ansvar
  för god forskningssed och prövning av oredlighet i forskning och i hög-
  skoleförordningen kommer att utgöra i svensk rÀtt faststÀllda uppgifter
  av allmÀnt intresse. Den behandling av personuppgifter som Àr nödvÀn-
  dig för att utöva verksamhet som grundas pÄ nÀmnda föreskrifter kan
  dÀrmed ske med stöd av den rÀttsliga grunden uppgift av allmÀnt
  intresse i artikel 6.1 e i dataskyddsförordningen.
  Vid hantering av andra misstÀnkta avvikelser frÄn god forskningssed
  Àr det Àven möjligt för statliga universitet och högskolor att tillÀmpa
  den rÀttsliga grunden myndighetsutövning i artikel 6.1 e i dataskydds-
  förordningen, för sÄdan behandling som Àr nödvÀndig som ett led i den
  personuppgiftsansvariges myndighetsutövning.
  De skyldigheter som regleras i lagen om ansvar för god forskningssed
  och prövning av oredlighet i forskning kommer att utgöra i svensk rÀtt
  faststÀllda rÀttsliga förpliktelser som Ävilar statliga universitet och hög-
  skolor, andra statliga myndigheter, kommuner och regioner, enskilda
  utbildningsanordnare samt övriga bolag, stiftelser och föreningar och
  som gör det nödvĂ€ndigt att behandla personuppgifter. Även den rĂ€tts-
  liga grunden rÀttslig förpliktelse i artikel 6.1 c kan dÄ tillÀmpas.
   
  Promemorians bedömning: ÖverensstĂ€mmer med regeringens bedöm-
  ning.  
  Remissinstanserna: En majoritet av de remissinstanser som har yttrat
  sig tillstyrker eller har inget att invÀnda mot bedömningen.
  Göteborgs universitet önskar ett klargörande om nÀr regeringen anser att
  universitet och högskolor kan komma att utöva myndighetsutövning vid
  utförande av de nya uppgifterna enligt förslaget, och dÀrmed kan anvÀnda
  myndighetsutövning som rÀttslig grund för behandling av personuppgifter.
  SkĂ€len för regeringens bedömning: Även nĂ€r det gĂ€ller den person-
  uppgiftsbehandling som kommer att behöva utföras vid statliga universitet
  och högskolor, andra statliga myndigheter, kommuner och regioner,
  enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar
  vid tillÀmpning av den nya lagen görs bedömningen att det finns flera rÀtts-
  liga grunder i dataskyddsförordningen som kan tillÀmpas.
  De uppgifter som forskningshuvudmÀnnen kommer att ha enligt lagen
  om ansvar för god forskningssed och prövning av oredlighet i forskning
22 och högskoleförordningen kommer att utgöra i svensk rÀtt faststÀllda upp-

gifter av allmÀnt intresse. Detta innebÀr att den behandling av personupp- Prop. 2019/20:7 gifter som Àr nödvÀndig för att utöva verksamhet som grundas pÄ nÀmnda

föreskrifter kan ske med stöd av den rÀttsliga grunden uppgift av allmÀnt intresse i artikel 6.1 e i dataskyddsförordningen.

I propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning gör regeringen bedömningen att den sÀrskilda nÀmndens prövning av oredlighet i forskning utgör myndighetsutövning. I promemorian görs bedömningen att Àven statliga universitets och högskolors hantering av andra misstÀnkta avvikelser frÄn god forskningssed rimligen bör utgöra myndighetsutövning. Göteborgs universitet önskar ett klargörande om nÀr regeringen anser att universitet och högskolor kan komma att utöva myndighetsutövning vid utförande av de nya uppgifterna enligt förslaget, och dÀrmed kan anvÀnda myndighetsutövning som rÀttslig grund för behandling av personuppgifter. Uttrycket myndighetsutövning Àr inte definierat i vare sig dataskyddsförordningen eller i svensk lag. Det förekommer inte i förvaltningslagen (2017:900) som trÀdde i kraft den 1 juli 2018, men i flera andra författningar. Enligt svensk praxis innefattar myndighetsutövning beslut och andra ÄtgÀrder som en myndighet vidtar gentemot en enskild med stöd av en befogenhet som myndigheten har getts genom ett konkret beslut av regeringen eller riksdagen eller genom en offentligrÀttslig författning (prop. 2018/19:58 s. 85). Det Àr upp till varje enskilt lÀrosÀte att göra bedömningen av nÀr ÄtgÀrder som lÀrosÀtet vidtar utgör myndighetsutövning och nÀr de dÀrmed kan anvÀnda sig av den rÀttsliga grunden myndighetsutövning i artikel 6.1 e. De uppgifter som ÄlÀggs statliga universitet och högskolor och övriga forskningshuvudmÀn enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning handlar inte om beslut eller ÄtgÀrder gentemot en enskild och bör dÀrför inte anses vara myndighetsutövning. Eventuella beslut och ÄtgÀrder som forskningshuvudmÀnnen vidtar efter att oredlighet har konstaterats styrs av andra regelverk och behandlas inte i denna proposition.

De skyldigheter som forskningshuvudmÀnnen har enligt den nya lagen bedöms utgöra rÀttsliga förpliktelser i dataskyddsförordningens mening, t.ex. skyldigheten att, om det kan misstÀnkas att oredlighet i forskning har förekommit i en forskningshuvudmans verksamhet, överlÀmna handlingarna i Àrendet till den sÀrskilda nÀmnden (6 §) och skyldigheten att lÀmna de upplysningar och handlingar om forskningen som nÀmnden begÀr och ge nÀmnden tillgÄng till datorer och annan utrustning som har anvÀnts vid forskningen (12 §). Personuppgiftsbehandling för att fullgöra dessa förpliktelser kan dÀrmed Àven ske med stöd av artikel 6.1 c enligt vilken behandlingen ska vara nödvÀndig för att fullgöra en rÀttslig förpliktelse som Ävilar den personuppgiftsansvarige. Som framgÄr ovan och av redovisningen i avsnitt 5.6 av den övriga regleringen Àr syftet med behandlingen faststÀllt i den rÀttsliga grunden.

6.3 Finns det behov av att införa generella  
  skyddsÄtgÀrder?  
   
Regeringens förslag: Personuppgifter som behandlas av den sÀrskilda  
nÀmnden enbart för att fullgöra uppgifter enligt lagen om ansvar för god 23
   

Prop. 2019/20:7 forskningssed och prövning av oredlighet i forskning ska fÄ anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen.

Regeringens bedömning: NÄgot undantag för myndigheters anvÀndning av personuppgifter i allmÀnna handlingar bör inte gÀlla.

Det finns inte nÄgot behov av att införa ytterligare bestÀmmelser om generella skyddsÄtgÀrder.

Promemorians bedömning: ÖverensstĂ€mmer inte med regeringens förslag och bedömning. I promemorian görs bedömningen att det inte finns behov av att införa nĂ„gra ytterligare generella skyddsĂ„tgĂ€rder.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot bedömningen.

Datainspektionen anför att en begrÀnsning av möjligheten för den sÀrskilda nÀmnden att behandla personuppgifter för att vidta ÄtgÀrder i frÄga om den registrerade syftar till att begrÀnsa eventuell vidarebehandling av den registrerades personuppgifter till sÄdana situationer som Àr av avgörande betydelse för den registrerades liv och hÀlsa. Att inte införa nÄgon sÄdan begrÀnsning av nÀmndens möjlighet till ytterligare behandling innebÀr enligt Datainspektionen att sÄdan behandling kan vara tillÄten, givetvis under förutsÀttning att det inte strider mot regleringen i dataskyddförordningen i övrigt. I promemorian görs emellertid bedömningen att nÀmnden inte alls har till uppgift att sjÀlv vidta ÄtgÀrder i frÄga om den registrerade och det inte ens om det Àr av avgörande betydelse för den registrerades vitala intressen. Mot den bakgrunden anser Datainspektionen att det finns skÀl att som en skyddsÄtgÀrd begrÀnsa nÀmndens möjlighet till vidarebehandling av den registrerades personuppgifter.

Uppsala universitet önskar ett förtydligande om hur det i praktiken ska gÄ till nÀr forskningshuvudmannen ska upplysa och varna den registrerade att t.ex. en felaktig behandling har getts till denne, mot bakgrund av att en utredning om oredlighet i forskning kan ta mÄnader. Den registrerade har intresse av att fÄ denna information sÄ fort som möjligt varför det enligt universitetet i vissa fall kan ifrÄgasÀttas om det inte vore lÀmpligare att detta Äligger nÀmnden.

Som nÀmnts i avsnitt 3 har Datainspektionen beretts tillfÀlle att yttra sig över ett utkast till lagrÄdsremiss med ett förslag som överensstÀmmer med vad som anges i rutan ovan. Datainspektionen anför i sitt yttrande att den anser att det Àr bra att det som generell skyddsÄtgÀrd införs en begrÀnsning av eventuell vidarebehandling.

SkÀlen för regeringens förslag och bedömning

Det finns möjlighet att införa generella skyddsÄtgÀrder

I artikel 6.2 i dataskyddsförordningen anges att medlemsstaterna fÄr behÄlla eller införa mer specifika bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen med hÀnsyn till behandling för att efterleva artikel 6.1 c och e (rÀttslig förpliktelse respektive allmÀnt intresse eller myndighetsutövning som rÀttslig grund). Detta fÄr göras genom att man nÀrmare faststÀller specifika krav för uppgiftsbehandlingen och andra ÄtgÀrder för att sÀkerstÀlla en laglig och rÀttvis behandling, inbegripet för

24

andra specifika situationer dÄ uppgifter behandlas i enlighet med kapitel IX (bestÀmmelser om sÀrskilda behandlingssituationer).

Vidare anges i artikel 6.3 andra stycket i dataskyddsförordningen att den rÀttsliga grunden kan innehÄlla sÀrskilda bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen. SÄdana sÀrskilda bestÀmmelser kan bl.a. vara de allmÀnna villkor som ska gÀlla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna fÄr lÀmnas ut och för vilka ÀndamÄl, ÀndamÄlsbegrÀnsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet ÄtgÀrder för att tillförsÀkra en laglig och rÀttvis behandling, dÀribland för behandling i andra sÀrskilda situationer enligt kapitel IX.

För att den sÀrskilda nÀmnden ska kunna avgöra om det har förekommit oredlighet i forskning, kommer den som regel att behöva undersöka det aktuella forskningsmaterialet och dÄ behandla personuppgifter i det materialet. Statliga universitet och högskolor behöver sannolikt göra motsvarande undersökningar av forskningsmaterialet i samband med sin hantering av andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. DÀrutöver kommer forskningshuvudmÀnnen som omfattas av nÀmnda lag att behöva behandla personuppgifter i samband med att de utför de uppgifter som följer av lagen. FrÄgan uppkommer dÄ om det finns anledning att införa nÄgra generella skyddsÄtgÀrder vid personuppgiftsbehandlingen.

Det finns inte skÀl att införa ett krav pÄ pseudonymisering

I propositionen Behandling av personuppgifter för forskningsÀndamÄl (prop. 2017/18:298) gör regeringen bedömningen att personuppgifter bör pseudonymiseras eller omfattas av andra lÀmpliga skyddsÄtgÀrder nÀr de behandlas för forskningsÀndamÄl. Detta framgÄr enligt regeringen direkt av dataskyddsförordningen och bör dÀrför inte föreskrivas i svensk rÀtt (s. 70). Det innebÀr sannolikt att det forskningsmaterial som den sÀrskilda nÀmnden och forskningshuvudmÀnnen tar del av i mÄnga fall redan Àr pseudonymiserat. Vid nÀmndens prövning av oredlighet i forskning och statliga universitets och högskolors hantering av misstÀnkta avvikelser frÄn god forskningssed Àr det ocksÄ viktigt att forskningsmaterialet ser ut som det gjorde nÀr forskaren arbetade med det. Det bedöms dÀrför inte finnas skÀl att införa nÄgot krav pÄ pseudonymisering av sÄdant forskningsmaterial som den sÀrskilda nÀmnden och forskningshuvudmÀnnen tar del av.

AnvÀndningsbegrÀnsning bör vara en skyddsÄtgÀrd vid behandling av personuppgifter hos den sÀrskilda nÀmnden

I dataskyddslagen finns en anvÀndningsbegrÀnsning som reglerar hur personuppgifter som behandlas för forskningsÀndamÄl fÄr anvÀndas (4 kap. 3 §). I bestÀmmelsen anges att personuppgifter som behandlas enbart för forskningsÀndamÄl fÄr anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen. BestÀmmelsen syftar till att begrÀnsa vidarebehandling av personuppgifterna för andra ÀndamÄl Àn forskning, som en skydds-

Prop. 2019/20:7

25

Prop. 2019/20:7 ÄtgÀrd för de registrerade. BestÀmmelsen Àr försedd med ett undantag som tar sikte pÄ situationer som Àr av avgörande betydelse för den registrerades liv. Ett exempel pÄ en situation dÄ det finns behov av att kunna anvÀnda personuppgifter för att vidta ÄtgÀrder som avser de registrerade Àr nÀr personuppgifter som behandlas för forskningsÀndamÄl behöver anvÀndas för att varna de registrerade. Det kan förekomma t.ex. nÀr en forskare, som undersöker ett misstÀnkt samband mellan intag av en medicin och nÄgon allvarlig sjukdom, upptÀcker att det faktiskt finns ett sÄdant samband och dÀrför anvÀnder registeruppgifter för att varna de registrerade som har fÄtt sÄdan medicin sÄ att de kan lÄta undersöka sig och fÄ behandling (prop. 2017/18:298 s. 194). FrÄgan uppkommer dÄ om en motsvarande anvÀndningsbegrÀnsning bör gÀlla nÀr den sÀrskilda nÀmnden fullgör de uppgifter som följer av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.

I promemorian föreslĂ„s ingen anvĂ€ndningsbegrĂ€nsning motsvarande den i 4 kap. 3 § dataskyddslagen för den sĂ€rskilda nĂ€mnden. DĂ€r konstateras att nĂ€mnden bara har till uppgift att pröva frĂ„gor om oredlighet i forskning och konstatera om oredlighet har förekommit eller inte. Även om oredlighet konstateras sĂ„ Ă€r det inte nĂ€mndens uppgift att dra slutsatser om vilka forskningsresultat som hade uppstĂ„tt om forskningen hade skötts korrekt eller om huruvida de felaktiga slutsatserna Ă€r av avgörande betydelse för den registrerades vitala intressen. Det kan dock inte uteslutas att det kan finnas fall dĂ„ nĂ€mndens granskning visar att t.ex. felaktig behandling har getts till forskningspersoner. Det Ă€r sannolikt att det forskningsmaterial som den sĂ€rskilda nĂ€mnden tar del av i mĂ„nga fall Ă€r pseudonymiserat. I sĂ„dana fall Ă€r det inte möjligt för den sĂ€rskilda nĂ€mnden att vidta nĂ„gra Ă„tgĂ€rder i frĂ„ga om de registrerade, utan att begĂ€ra att fĂ„ tillgĂ„ng till kodnyckeln. I promemorian bedömdes det i dessa fall vara lĂ€mpligast att forskningshuvudmannen upplyses om vad som framkommit vid granskningen sĂ„ att denne kan varna den registrerade. Mot denna bakgrund bedömdes det i promemorian inte finnas skĂ€l att införa en motsvarande anvĂ€ndningsbegrĂ€nsning som gĂ€ller enligt 4 kap. 3 § dataskyddslagen för den sĂ€rskilda nĂ€mnden. Datainspektionen pĂ„pekar att en begrĂ€nsning av möjligheten för nĂ€mnden att behandla personuppgifter för att vidta Ă„tgĂ€rder i frĂ„ga om den registrerade syftar till att begrĂ€nsa eventuell vidarebehandling av den registrerades personuppgifter till sĂ„dana situationer som Ă€r av avgörande betydelse för den registrerades liv och hĂ€lsa. Att inte införa nĂ„gon sĂ„dan begrĂ€nsning av nĂ€mndens möjlighet till ytterligare behandling innebĂ€r enligt Datainspektionen att sĂ„dan behandling kan vara tillĂ„ten, givetvis under förutsĂ€ttning att det inte strider mot regleringen i dataskyddförordningen i övrigt. Mot denna bakgrund anser Datainspektionen, i motsats till bedömningen i promemorian, att det finns skĂ€l att som en skyddsĂ„tgĂ€rd begrĂ€nsa nĂ€mndens möjlighet till vidarebehandling av den registrerades personuppgifter. Uppsala universitet önskar vidare ett förtydligande om hur det i praktiken ska gĂ„ till nĂ€r forskningshuvudmannen ska upplysa och varna den registrerade att t. ex. en felaktig behandling har getts till denne, mot bakgrund av att en utredning om oredlighet i forskning kan ta mĂ„nader. Den registrerade har intresse av att fĂ„ denna information sĂ„ fort som möjligt varför det enligt universitetet i vissa fall kan ifrĂ„gasĂ€ttas om det inte vore lĂ€mpligare att detta Ă„ligger nĂ€mnden.

26

En i nationell rÀtt faststÀlld begrÀnsning av nÀmndens möjligheter till vidarebehandling av personuppgifterna kan, i linje med Datainspektionens uppfattning, utgöra ett lÀmpligt skydd för de registrerades integritet. Uppsala universitet ifrÄgasÀtter om det inte vore lÀmpligare att nÀmnden vidtar ÄtgÀrder mot de registrerade, nÀr det i samband med utredning om oredlighet i forskning upptÀcks att vitala intressen stÄr pÄ spel, istÀllet för att detta ÄlÀggs forskningshuvudmannen. Det kan i sammanhanget inte uteslutas att det kan finnas fall dÄ nÀmndens granskning visar att t.ex. direkt farlig behandling har getts till forskningspersoner. I dessa fall, dÄ de registrerades egna vitala intressen stÄr pÄ spel, anser regeringen att det bör vara möjligt för nÀmnden att anvÀnda personuppgifter som annars bara behandlas för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för att Àven vidta ÄtgÀrder i frÄga om de registrerade. Om det Àr lÀmpligast att nÀmnden eller forskningshuvudmannen vidtar ÄtgÀrder mot de registrerade nÀr det föreligger synnerliga skÀl mÄste dock bedömas frÄn fall till fall. Om det finns synnerliga skÀl bör nÀmnden omgÄende informera antingen forskningshuvudmannen eller de registrerade. Det finns alltsÄ inte nÄgot skÀl att avvakta med denna information till dess utredningen om oredlighet i forskning Àr klar. Det Àr regeringens uppfattning att den sÀrskilda nÀmnden i övrigt inte bör kunna anvÀnda personuppgifter som enbart behandlas för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för att vidta ÄtgÀrder i förhÄllande till den registrerade. Den omstÀndigheten att uppgifterna kan finnas i allmÀnna handlingar föranleder ingen annan bedömning.

Regeringen föreslÄr sÄledes, i linje med Datainspektionens bedömning, att en motsvarande anvÀndningsbegrÀnsning som gÀller enligt 4 kap. 3 § dataskyddslagen ska införas för den sÀrskilda nÀmnden.

Det finns sekretessbestÀmmelser som utgör skyddsÄtgÀrder

I 24 kap. OSL finns bestÀmmelser om sekretess till skydd för enskild inom forskning. I kapitlet finns bl.a. bestÀmmelser om sekretess för uppgift som hÀnför sig till psykologisk undersökning som utförs för forskningsÀndamÄl (1 §), sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rÀttspsykiatriskt forskningsregister (2 §) och sekretess i verksamhet som bestÄr i etikprövning och tillsyn enligt lagen (2003:460) om etikprövning av forskning som avser mÀnniskor (3 §). Vidare finns det i 11 kap. 3 § första stycket OSL en bestÀmmelse som reglerar överföring av sekretess i forskningsverksamhet. Av bestÀmmelsen följer att om en myndighet i sin forskningsverksamhet fÄr en sekretessreglerad uppgift frÄn en annan myndighet, blir sekretessbestÀmmelsen tillÀmplig pÄ uppgiften Àven hos den mottagande myndigheten. Detta gÀller dock inte en uppgift som ingÄr i ett beslut hos den mottagande myndigheten.

NÀmnda bestÀmmelser Àr tillÀmpliga hos myndigheter, t.ex. statliga universitet och högskolor. BestÀmmelserna Àr Àven tillÀmpliga hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller landsting utövar ett rÀttsligt bestÀmmande inflytande (2 kap. 1 och 3 §§ OSL). Vidare Àr bestÀmmelserna tillÀmpliga hos Stiftelsen Högskolan i Jönköping och vissa bolag som Àgs av stiftelsen och Stiftelsen Chal-

Prop. 2019/20:7

27

Prop. 2019/20:7 mers tekniska högskola och det av stiftelsen Àgda bolaget Chalmers tekniska högskola AB (2 kap. 4 § och bilagan till OSL). SekretessbestÀmmelserna i 24 kap. och bestÀmmelserna om överföring av sekretess i 11 kap. 3 § första stycket OSL Àr alltsÄ tillÀmpliga hos flera av de forskningshuvudmÀn som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.

Vidare ska sekretess gÀlla hos den sÀrskilda nÀmnden i Àrenden enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för uppgift om en enskilds personliga förhÄllanden, om det inte stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider men, och för uppgift om en enskilds ekonomiska förhÄllanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Sekretessen ska inte gÀlla för uppgift om vem som har vÀckt frÄgan om oredlighet eller för uppgift om vem misstanken riktas mot. Sekretessen ska inte heller gÀlla beslut i ett Àrende. För uppgift i en allmÀn handling ska sekretessen gÀlla i högst sjuttio Är för uppgift om en enskilds personliga förhÄllanden och i högst tjugo Är för uppgift om en enskilds ekonomiska förhÄllanden. Vidare gÀller att om den sÀrskilda nÀmnden i sin verksamhet enligt den nya lagen fÄr en sekretessreglerad uppgift frÄn en forskningshuvudman ska sekretessbestÀmmelsen vara tillÀmplig pÄ uppgiften Àven hos nÀmnden. Den överförda sekretessen gÀller inte för en uppgift som ingÄr i ett beslut hos nÀmnden (11 kap. 3 a § och 24 kap. 7 a § OSL).

Ovan nÀmnda bestÀmmelser utgör skyddsÄtgÀrder vid den sÀrskilda nÀmndens och forskningshuvudmÀnnens personuppgiftsbehandlingar.

Det finns inte skÀl att införa nÄgra ytterligare generella skyddsÄtgÀrder

Som framgÄr ovan föreslÄr regeringen en anvÀndningsbegrÀnsning för den sÀrskilda nÀmnden. Vidare konstateras att det redan finns bestÀmmelser som utgör generella skyddsÄtgÀrder. Det har inte framkommit skÀl som talar för att införa nÄgra ytterligare skyddsÄtgÀrder. SkyddsÄtgÀrder vid behandling av kÀnsliga personuppgifter behandlas i avsnitt 6.4.

  6.4 Behandling av kÀnsliga personuppgifter och
    personuppgifter som rör lagövertrÀdelser
  6.4.1 Den sÀrskilda nÀmnden, statliga universitet och
    högskolor, andra statliga myndigheter samt
    kommuner och regioner ska inte omfattas av
    sökförbudet i dataskyddslagen
   
  Regeringens förslag: Den sÀrskilda nÀmnden, statliga universitet och
  högskolor, andra statliga myndigheter samt kommuner och regioner ska
  inte omfattas av förbudet i dataskyddslagen mot att utföra sökningar i
  syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personupp-
  gifter nÀr de behandlar personuppgifter för att fullgöra uppgifter enligt
  lagen om ansvar för god forskningssed och prövning av oredlighet i
  forskning.
28 Regeringens bedömning: Statliga universitet och högskolor bör inte
omfattas av nÀmnda sökförbud nÀr de behandlar personuppgifter för att

hantera andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.

Den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner kan med stöd av artikel

9.2g i dataskyddsförordningen och 3 kap. 3 § i dataskyddslagen behandla kÀnsliga personuppgifter.

De kan vidare med stöd av artikel 10 i dataskyddsförordningen och

3 kap. 8 § i dataskyddslagen behandla personuppgifter som rör lagövertrÀdelser.

NÄgon ytterligare reglering för deras behandling av kÀnsliga personuppgifter eller personuppgifter som rör lagövertrÀdelser bör inte införas.

Promemorians bedömning: ÖverensstĂ€mmer delvis med regeringens förslag och bedömning. Promemorian lĂ€mnar inget förslag om att den sĂ€rskilda nĂ€mnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner inte ska omfattas av förbudet i dataskyddslagen mot att utföra sökningar i syfte att fĂ„ fram ett urval av personer grundat pĂ„ kĂ€nsliga personuppgifter nĂ€r de behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning eller för att hantera andra misstĂ€nkta avvikelser frĂ„n god forskningssed.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot bedömningen.

Datainspektionen anser att det i promemorian inte presenteras nÄgon egentlig utredning av hur behandlingen av kÀnsliga personuppgifter kommer att gÄ till och att det sÄledes inte gÄr att bedöma vilket behov de olika aktörerna har av att behandla kÀnsliga personuppgifter och inte heller vilka risker behandlingen innebÀr för de registrerades personliga integritet. Att behandlingen av kÀnsliga personuppgifter har ett rÀttsligt stöd, vare sig detta kan finnas i dataskyddslagen eller krÀver ytterligare kompletterande lagstiftning, kan dÄ enligt Datainspektionen inte sÀkerstÀllas och vilka skyddsÄtgÀrder som behöver införas kan inte heller bedömas, vare sig ur ett integritets- eller verksamhetsperspektiv.

Datainspektionen anför vidare att för det fall granskningen hos den sÀrskilda nÀmnden krÀver viss sökning pÄ kÀnsliga personuppgifter skulle exempelvis ett införande av en sökbegrÀnsning kunna medföra problem för verksamheten. Andra mer lÀmpliga skyddsÄtgÀrder behöver dÄ enligt Datainspektionen beaktas. Uppsala universitet pÄpekar att i de fall nÀmnden ska genomföra en vetenskaplig kontroll av riktigheten i resultat frÄn en studie med kÀnsliga personuppgifter kan sökningar behöva göras hos nÀmnden dÀr man fÄr fram ett urval av personer grundat pÄ deras kÀnsliga personuppgifter. Universitetet anser att det bör förtydligas och exemplifieras hur sökbegrÀnsningen ska förstÄs med hÀnsyn till nÀmndens arbete dÄ det finns utrymme för tolkning av begreppet. Tolkningen kan strÀcka sig frÄn att sökningen i sig inte Àr tillÄten till att det genom sökningen gÄr att identifiera enskilda utifrÄn individers kÀnsliga personuppgifter.

Uppsala universitet anför ocksÄ att det för forskningshuvudmannen gÀller att samtycke Àr undantagsbestÀmmelsen som möjliggör forskning pÄ kÀnsliga personuppgifter. Om samtycken inte behöver inhÀmtas för be-

Prop. 2019/20:7

29

Prop. 2019/20:7

30

handlingen av kÀnsliga personuppgifter i forskningsverksamhet dÄ nÀmnden ska kunna behandla kÀnsliga personuppgifter med stöd i undantaget viktigt allmÀnt intresse minskar den hÀr problematiken med resultatet att forskningshuvudmannen och nÀmnden kan behandla kÀnsliga personuppgifter med samma undantagsgrund. En utökad etikprövning skulle i de fallen kunna ersÀtta samtycken. Vidare önskar universitetet ett förtydligande av huruvida nÀmnden ska ansöka om etiskt tillstÄnd om den konstaterar att forskning skett pÄ kÀnsliga personuppgifter utan nödvÀndigt etiskt tillstÄnd.

SkÀlen för regeringens förslag och bedömning

Dataskyddsförordningen och dataskyddslagen ger tillrÀckligt stöd för behandling av kÀnsliga personuppgifter

Som konstaterats i avsnitt 6.1 kan den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner komma att behöva behandla kÀnsliga personuppgifter och personuppgifter som rör lagövertrÀdelser för att utföra de uppgifter som ÄlÀggs dem i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning och genom förslaget om hantering av andra avvikelser frÄn god forskningssed. Personuppgiftsbehandlingen vid granskning av forskning bedöms bli lik den som utförts under sjÀlva forskningen. För att nÀmnden ska kunna granska utförd forskning och utreda misstankar om oredlighet eller andra avvikelser frÄn god forskningssed Àr det av stor vikt att nÀmnden har samma möjligheter att behandla uppgifterna i forskningsmaterialet, bÄde vad avser metoder och tillgÄng till uppgifter.

Som framgÄr av avsnitt 5.1 finns det undantag frÄn förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla kÀnsliga personuppgifter. Det undantag som aktualiseras i detta sammanhang finns i artikel 9.2 g. Enligt denna bestÀmmelse ska artikel 9.1 inte tillÀmpas om behandlingen Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse, pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenlig med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. I dataskyddslagen anges att kÀnsliga personuppgifter fÄr behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen 1. om uppgifterna har lÀmnats till myndigheten och behandlingen krÀvs enligt lag, 2. om behandlingen Àr nödvÀndig för handlÀggningen av ett Àrende, eller 3. i annat fall, om behandlingen Àr nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den registrerades personliga integritet (3 kap. 3 § första stycket). I propositionen Ny dataskyddslag (prop. 2017/18:105) anför regeringen i frÄga om denna bestÀmmelse att begreppen handlÀggning och Àrende ska tolkas pÄ samma sÀtt som enligt 1 § förvaltningslagen (2017:900). Begreppet handlÀggning innefattar alla ÄtgÀrder som en myndighet vidtar frÄn det att ett Àrende inleds till dess att det avslutas. KÀnnetecknande för ett Àrende Àr att det regelmÀssigt avslutas genom ett uttalande frÄn myndighetens sida som Àr avsett att fÄ faktiska verkningar för en mottagare i det enskilda fallet. Ett Àrende avslutas sÄledes genom ett beslut av nÄgot slag. Vid bedöm-

ningen av om en myndighets uttalande Àr att anse som ett beslut i denna mening Àr det uttalandets syfte och innehÄll som Àr avgörande, inte dess yttre form (s. 194).

Datainspektionen anser att det utifrÄn promemorians beskrivning inte gÄr att bedöma vilket behov de olika aktörerna har av att behandla kÀnsliga personuppgifter och inte heller vilka risker behandlingen innebÀr för de registrerades personliga integritet. Att behandlingen av kÀnsliga personuppgifter har ett rÀttsligt stöd, vare sig detta kan finnas i dataskyddslagen eller krÀver ytterligare kompletterande lagstiftning, kan dÄ enligt Datainspektionen inte sÀkerstÀllas.

Som nĂ€mnts i avsnitt 6.1 behandlas kĂ€nsliga personuppgifter inom t.ex. medicinsk forskning eller annan forskning som rör hĂ€lso- och sjukvĂ„rd eller hĂ€lsa. SĂ„dan forskning kan komma att bli anmĂ€ld för oredlighet och uppgifterna i anmĂ€lan behöver dĂ„ utredas av den sĂ€rskilda nĂ€mnden. I samband med en sĂ„dan anmĂ€lan mĂ„ste nĂ€mnden ha samma möjligheter att behandla de kĂ€nsliga personuppgifterna som forskningshuvudmannen. Det kan inte pĂ„ förhand analyseras i detalj vilken personuppgiftsbehandling som kommer att bli aktuell i ett sĂ„dant fall eftersom Ă€rendena kan se helt olika ut. Personuppgiftsbehandlingen kommer dock i ett sĂ„dant fall att ske inom ramen för handlĂ€ggningen av ett Ă€rende. Behandling av kĂ€nsliga personuppgifter kan dĂ€rmed ske med stöd av artikel 9.2 g i dataskyddsförordningen och 3 kap. 3 § första stycket 2 dataskyddslagen. Detsamma gĂ€ller andra Ă€renden om prövning av oredlighet i forskning dĂ€r kĂ€nsliga personuppgifter förekommer i den forskning som utreds. Även den statliga eller kommunala forskningshuvudman som överlĂ€mnar handlingar för prövning av den sĂ€rskilda nĂ€mnden gör det inom ramen för handlĂ€ggningen av ett Ă€rende.

Som nÀmnts ovan fÄr enligt dataskyddslagen kÀnsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen Àven i andra fall, om behandlingen Àr nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den registrerades personliga integritet (3 kap. 3 § första stycket 3). I propositionen Ny dataskyddslag anför regeringen att bestÀmmelsen Àr tillÀmplig i s.k. faktisk verksamhet hos myndigheter, dvs. i sÄdan förvaltningsverksamhet som inte utgör ÀrendehandlÀggning (s. 194). I den mÄn det skulle bli aktuellt för nÀmnden, statliga universitet och högskolor, andra statliga myndigheter eller kommuner och regioner att utföra förvaltningsverksamhet som inte utgör ÀrendehandlÀggning, s.k. faktisk verksamhet, finns alltsÄ möjlighet att tillÀmpa artikel 9.2 g i dataskyddsförordningen och 3 kap. 3 § första stycket 3 dataskyddslagen.

Den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner kommer sÄledes att kunna behandla kÀnsliga personuppgifter med stöd av dataskyddsförordningen och dataskyddslagen.

Den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner ska inte omfattas av sökförbudet i dataskyddslagen

Som nÀmnts ovan anges i dataskyddslagen att kÀnsliga personuppgifter fÄr behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförord-

Prop. 2019/20:7

31

Prop. 2019/20:7 ningen om behandlingen Àr nödvÀndig för handlÀggningen av ett Àrende (3 kap. 3 § första stycket 2). Denna bestÀmmelse Àr tillÀmplig för den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner. I dataskyddslagen anges ocksÄ att det, vid behandling som sker enbart med stöd av 3 kap. 3 § första stycket, Àr förbjudet att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter (3 kap. 3 § andra stycket).

Datainspektionen har i sitt remissvar pĂ„talat att en sökbegrĂ€nsning kan medföra problem för nĂ€mndens granskningsverksamhet. I forskningen genomförs i vissa fall sökningar i syfte att fĂ„ fram ett urval av personer grundat pĂ„ kĂ€nsliga personuppgifter. Av sökförbudet i dataskyddslagen följer att detta gĂ€ller vid behandling som sker enbart med stöd av 3 kap. 3 § första stycket dataskyddslagen. Behandling av kĂ€nsliga personuppgifter inom forskning utförs dock inte med stöd av den bestĂ€mmelsen utan direkt med stöd av artikel 9.2 j dataskyddsförordningen (se prop. 2017/18:298 s. 90). Eftersom det inom forskningen kan genomföras sökningar i syfte att fĂ„ fram ett urval av personer grundat pĂ„ kĂ€nsliga personuppgifter kan Ă€ven den sĂ€rskilda nĂ€mnden behöva göra motsvarande sökningar för att kunna faststĂ€lla om det förekommit oredlighet i forskning. Även forskningshuvudmĂ€nnen kan behöva genomföra sĂ„dana sökningar nĂ€r de ska fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, t.ex. nĂ€r de ska lĂ€mna handlingar om forskningen till nĂ€mnden.

Som nĂ€mnts i avsnitt 5.6.2 föreslĂ„r utredningen att statliga universitet och högskolor ska hantera andra misstĂ€nkta avvikelser frĂ„n god forskningssed Ă€n de som ska prövas sĂ€rskilt enligt den nya lagen. Regeringen avser att i förordning faststĂ€lla denna uppgift för de statliga universiteten och högskolorna. Även vid utförandet av denna uppgift kan det finnas behov av att göra sökningar i syfte att fĂ„ fram ett urval av personer grundat pĂ„ kĂ€nsliga personuppgifter.

Som framgÄtt av avsnitt 5.3 Àr regleringen i dataskyddslagen subsidiÀr i förhÄllande till bestÀmmelser i annan lag eller förordning. BestÀmmelsen om sökförbud i 3 kap. 3 § andra stycket dataskyddslagen bör inte gÀlla varken nÀr nÀmnden eller en forskningshuvudman behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning eller nÀr statliga universitet och högskolor behandlar personuppgifter för att hantera andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas enligt den lagen. Ett undantag för den första situationen bör införas i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Ett undantag för den andra situationen bör införas pÄ förordningsnivÄ i anslutning till den kommande regleringen om att statliga universitet och högskolor ska hantera andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas enligt nÀmnda lag (se vidare avsnitt 6.7).

32

Det finns inget behov av att införa nÄgon ytterligare reglering för behandlingen av kÀnsliga personuppgifter

Om behandling av kÀnsliga personuppgifter tillÄts ska det enligt dataskyddsförordningen finnas lÀmpliga och sÀrskilda skyddsÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. I av-

snitt 6.3 redovisas vilka generella skyddsÄtgÀrder som gÀller för all behandling av personuppgifter som blir aktuell till följd av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnittet föreslÄs ytterligare en skyddsÄtgÀrd som innebÀr att personuppgifter som enbart behandlas av den sÀrskilda nÀmnden för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska fÄ anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen. DÀr görs ocksÄ bedömningen att det inte finns nÄgot behov av att införa ytterligare bestÀmmelser om generella skyddsÄtgÀrder. FrÄgan uppstÄr dock om det finns skÀl att införa sÀrskilda skyddsÄtgÀrder vad gÀller behandling av kÀnsliga personuppgifter. Datainspektionen sÀger sig inte kunna bedöma vilka skyddsÄtgÀrder som behöver införas, vare sig ur ett integritets- eller verksamhetsperspektiv. Regeringen gör bedömningen att de generella skyddsÄtgÀrderna sÀkerstÀller den registrerades grundlÀggande rÀttigheter och intressen. Dessutom finns det redan en sÀrskild skyddsÄtgÀrd vid behandlingen av kÀnsliga personuppgifter i den forskning som nÀmnden har att granska i form av kravet i etikprövningslagen pÄ etikgodkÀnnande för all forskning som innefattar behandling av kÀnsliga personuppgifter. Förslaget ovan om att den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner inte ska omfattas av sökförbudet i dataskyddslagen innebÀr visserligen att en av de nuvarande skyddsÄtgÀrderna tas bort, men regeringen gör ÀndÄ bedömningen att det finns ett tillrÀckligt skydd för de registrerades grundlÀggande rÀttigheter och intressen.

Uppsala universitet hÀvdar att det för forskningshuvudmannen gÀller att samtycke Àr undantagsbestÀmmelsen som möjliggör forskning pÄ kÀnsliga personuppgifter. Om samtycken inte behöver inhÀmtas för behandlingen av kÀnsliga personuppgifter i forskningsverksamhet dÄ nÀmnden ska kunna behandla kÀnsliga personuppgifter med stöd i undantaget viktigt allmÀnt intresse minskar den hÀr problematiken med resultatet att forskningshuvudmannen och nÀmnden kan behandla kÀnsliga personuppgifter med samma undantagsgrund. En utökad etikprövning skulle i de fallen enligt universitetets bedömning kunna ersÀtta samtycken.

FrÄgan om vilka undantagsbestÀmmelser i artikel 9.2 i dataskyddsförordningen som forskningshuvudmÀn kan tillÀmpa vid forskning som innefattar behandling av kÀnsliga personuppgifter har behandlats i propositionen Behandling av personuppgifter för forskningsÀndamÄl (prop. 2017/18:298). Av propositionen framgÄr att vid behandling av kÀnsliga personuppgifter i forskning tillÀmpas undantaget i artikel 9.2 j, enligt vilket behandlingen ska vara nödvÀndig för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1, pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. Etikprövning enligt etikprövningslagen bedöms vara en sÄdan lÀmplig och sÀrskild skyddsÄtgÀrd, faststÀlld i svensk rÀtt, som krÀvs (prop. 2017/18:298 s 84 f.). Forskning som innefattar behandling av kÀnsliga personuppgifter fÄr enligt etikprövningslagen bara utföras om den har

Prop. 2019/20:7

33

Prop. 2019/20:7 godkÀnts vid en etikprövning (3 och 6 §§). Detta gÀller Àven behandling som grundas pÄ samtycke (prop. 2007/08:44 s. 21 f.). Av propositionen Behandling av personuppgifter för forskningsÀndamÄl framgÄr ocksÄ att behandling av kÀnsliga personuppgifter för forskningsÀndamÄl inte kan ske endast med stöd av samtycke enligt undantaget i artikel 9.2.a i dataskyddsförordningen, eftersom nationell rÀtt krÀver etikgodkÀnnande (s. 88 f.). Detta krav i etikprövningslagen utgör ett sÄdant förbud som inte kan upphÀvas av den enskilde, se artikel 9.2 a sista ledet. Av sista stycket i 6 § etikprövningslagen framgÄr vidare att ett godkÀnnande enligt den lagen inte medför att forskningen fÄr utföras om den strider mot nÄgon annan författning. Det kan alltsÄ vara sÄ att det för ett forskningsprojekt inte alltid Àr tillrÀckligt med ett beslut om godkÀnnande enligt etikprövningslagen utan det kan Àven krÀvas tillstÄnd av myndigheter enligt andra författningar. Exempelvis krÀvs det enligt lÀkemedelslagen (2015:315) tillstÄnd av LÀkemedelsverket vid kliniska lÀkemedelsprövningar. Med anledning av en ny EU-förordning och kompletterande nationell reglering, som Ànnu inte trÀtt i kraft, kommer det framöver inte att krÀvas tillstÄnd enligt etikprövningslagen för forskning som bestÄr i kliniska lÀkemedelsprövningar. Det kommer i stÀllet enbart att krÀvas ett beslut av LÀkemedelsverket. Ett sÄdant beslut kommer dock att föregÄs av ett yttrande frÄn Etikprövningsmyndigheten enligt lagen (2018:1091) med kompletterande bestÀmmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanlÀkemedel (se prop. 2017/18:193 och prop. 2017/18:196). Det sagda innebÀr att om förutsÀttningarna enligt etikprövningslagen och/eller andra författningar Àr uppfyllda i frÄga om ett enskilt forskningsprojekt krÀvs inte samtycke för behandling av kÀnsliga personuppgifter inom projektet, sÄvida inte samtycke krÀvs enligt den aktuella regleringen pÄ omrÄdet (se t.ex. artikel 29 i Europaparlamentets och rÄdets förordning [EU] nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanlÀkemedel och om upphörande av direktiv 2001/20/EG). NÄgon Àndring i den nationella regleringen i form av utökade krav pÄ etikprövning för kÀnsliga personuppgifter behövs sÄledes inte.

Uppsala universitet önskar ett förtydligande av huruvida nÀmnden ska ansöka om etiskt tillstÄnd om den konstaterar att forskning skett pÄ kÀnsliga personuppgifter utan nödvÀndigt etiskt tillstÄnd. Enligt 2 § lagen om ansvar för god forskningssed och prövning av oredlighet i forskning definieras oredlighet i forskning som en allvarlig avvikelse frÄn god forskningssed i form av fabricering, förfalskning eller plagiering som begÄs med uppsÄt eller av grov oaktsamhet vid planering, genomförande eller rapportering av forskning. Avsaknad av etiktillstÄnd omfattas alltsÄ inte av nÀmndens kompetensomrÄde utan Àr en annat slags avvikelse frÄn god forskningssed. Att utföra forskning utan ett etikgodkÀnnande nÀr ett sÄdant krÀvs Àr straffbart enligt 38 § etikprövningslagen. Om nÀmnden bedömer att ett Àrende inte rör oredlighet i forskning men kan gÀlla andra avvikelser frÄn god forskningssed ska nÀmnden underrÀtta den berörda forskningshuvudmannen och samtidigt lÀmna över handlingarna i Àrendet dit. Eftersom det Àr straffbart att utföra forskning som omfattas av etikprövningslagens tillÀmpningsomrÄde utan att ha fÄtt godkÀnnande vid en etikprövning bör dock den som misstÀnker att sÄdan forskning förekommer anmÀla detta.

34

Detta gÀller Àven nÀmnden. NÀmnden kommer dock aldrig att behöva an- Prop. 2019/20:7 söka om etikprövningstillstÄnd eftersom nÀmnden inte utför forskning.

Dataskyddsförordningen och dataskyddslagen ger tillrÀckligt stöd för behandling av personuppgifter som rör lagövertrÀdelser

Enligt artikel 10 i dataskyddsförordningen fÄr behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrder enligt artikel 6.1 utföras endast under kontroll av en myndighet eller dÄ behandling Àr tillÄten enligt unionsrÀtten eller medlemsstaternas nationella rÀtt, dÀr lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter faststÀlls. I

3kap. 8 § första stycket dataskyddslagen, som förtydligar artikel 10 i dataskyddsförordningen, anges att personuppgifter som avses i artikel 10 i dataskyddsförordningen fÄr behandlas av myndigheter. I avsnitt 6.3 redovisas vilka generella skyddsÄtgÀrder som gÀller för all behandling av personuppgifter som blir aktuell till följd av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnittet föreslÄs att personuppgifter som enbart behandlas av den sÀrskilda nÀmnden för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska fÄ anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen. DÀr görs ocksÄ bedömningen att det inte finns nÄgot behov av att införa ytterligare bestÀmmelser om generella skyddsÄtgÀrder. NÄgra ytterligare skyddsÄtgÀrder bedöms inte heller behövas nÀr det Àr frÄga om uppgifter som rör lagövertrÀdelser.

Den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner kommer sÄledes att med stöd av dataskyddsförordningen och dataskyddslagen kunna behandla personuppgifter som rör lagövertrÀdelser.

6.4.2 Det behövs kompletterande reglering i frÄga om  
  behandling av kÀnsliga personuppgifter för  
  enskilda utbildningsanordnare och övriga bolag,  
  stiftelser och föreningar  
   
Regeringens förslag: Det ska införas en bestÀmmelse om att enskilda  
utbildningsanordnare och övriga bolag, stiftelser och föreningar som  
omfattas av lagen om ansvar för god forskningssed och prövning av  
oredlighet i forskning ska fÄ behandla kÀnsliga personuppgifter om be-  
handlingen Àr nödvÀndig för att fullgöra uppgifter enligt lagen.  
Promemorians förslag: ÖverensstĂ€mmer delvis med regeringens för-  
slag. I promemorian föreslÄs dessutom att det ska vara förbjudet för forsk-  
ningshuvudmÀn att utföra sökningar i syfte att fÄ fram ett urval av personer  
grundat pÄ kÀnsliga personuppgifter.  
Remissinstanserna: En majoritet av de remissinstanser som har yttrat  
sig tillstyrker eller har inget att invÀnda mot förslaget.  
SkÄne lÀns landsting anser att det bör övervÀgas om motsvarande be-  
stÀmmelse Àven ska avse leverantörer och konsulter inom it, datajournal-  
system samt vÄrddatabaser. 35

Prop. 2019/20:7 Datainspektionen anser att det i promemorian inte presenteras nÄgon egentlig utredning av hur behandlingen av kÀnsliga personuppgifter kommer att gÄ till och att det sÄledes inte gÄr att bedöma vilket behov de olika aktörerna har av att behandla kÀnsliga personuppgifter och inte heller vilka risker behandlingen innebÀr för de registrerades personliga integritet. Att behandlingen av kÀnsliga personuppgifter har ett rÀttsligt stöd, vare sig detta kan finnas i dataskyddslagen eller krÀver ytterligare kompletterande lagstiftning, kan dÄ enligt Datainspektionen inte sÀkerstÀllas och vilka skyddsÄtgÀrder som behöver införas kan inte heller bedömas, vare sig ur ett integritets- eller verksamhetsperspektiv. Datainspektionen avstyrker förslaget.

SkÀlen för regeringens förslag

KÀnsliga personuppgifter fÄr behandlas under vissa villkor

Som konstaterats i avsnitt 6.1 kan enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av den nya lagen komma att behöva behandla kÀnsliga personuppgifter. Enligt artikel 9.1 i dataskyddsförordningen Àr behandling av kÀnsliga personuppgifter förbjuden. Förbudet ska dock, enligt artikel 9.2 g, inte tillÀmpas om behandlingen Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse, pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen.

Vissa bestÀmmelser i dataskyddslagen gÀller för vissa enskilda forskningshuvudmÀn

Som framgÄr av avsnitt 6.4.1 kommer den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner att kunna behandla kÀnsliga personuppgifter med stöd av dataskyddsförordningen och dataskyddslagen. Av avsnitt 5.3 framgÄr vidare att vissa bestÀmmelser i dataskyddslagen Àven Àr tillÀmpliga hos andra Àn myndigheter, i den utstrÀckning bestÀmmelserna om allmÀnna handlingar och sekretess i tryckfrihetsförordningen (TF) och OSL gÀller i deras verksamhet (3 kap. 3 § tredje stycket dataskyddslagen).

Av 2 kap. 3 § OSL framgÄr att vad som föreskrivs i TF om rÀtt att ta del av allmÀnna handlingar hos myndigheter i tillÀmpliga delar ska gÀlla ocksÄ handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller landsting utövar ett rÀttsligt bestÀmmande inflytande samt att sÄdana bolag, föreningar och stiftelser vid tillÀmpningen av OSL ska jÀmstÀllas med myndigheter. Vad som föreskrivs i TF om rÀtt att ta del av allmÀnna handlingar hos myndigheter ska vidare, enligt 2 kap.

4§ OSL, i tillÀmpliga delar ocksÄ gÀlla handlingar hos de organ som anges i bilagan till OSL, om handlingarna hör till den verksamhet som nÀmns dÀr. Dessa organ ska i den verksamheten jÀmstÀllas med myndigheter vid tillÀmpningen av OSL. Tre enskilda utbildningsanordnare finns upptagna i bilagan till OSL. Det Àr Stiftelsen Högskolan i Jönköping och vissa bolag som Àgs av stiftelsen (all verksamhet), Stiftelsen Chalmers tekniska hög-

36

skola och det av stiftelsen Àgda bolaget Chalmers tekniska högskola AB (all verksamhet) samt Handelshögskolan i Stockholm (i frÄga om statligt stöd i form av utbildningsbidrag för doktorander).

Kommunala bolag, föreningar och stiftelser och ovan nÀmnda tre enskilda utbildningsanordnare ska alltsÄ tillÀmpa offentlighetsprincipen och sekretessregleringen. I den mÄn nÄgra av de övriga statliga bolagen och stiftelserna som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning finns upptagna i bilagan till OSL ska Àven dessa tillÀmpa offentlighetsprincipen samt sekretessregleringen. DÀrmed ska dessa organ, enligt 3 kap. 3 § tredje stycket dataskyddslagen, jÀmstÀllas med myndigheter vid tillÀmpningen av 3 kap. 3 § första stycket 1 dataskyddslagen. Enligt den bestÀmmelsen fÄr kÀnsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lÀmnats till myndigheten och behandlingen krÀvs enligt lag. BestÀmmelsen klargör att det Àr tillÄtet för myndigheter att utföra sÄdan behandling av kÀnsliga personuppgifter som krÀvs i myndigheternas verksamhet som en direkt följd av framför allt OSL:s och förvaltningslagens bestÀmmelser om hur allmÀnna handlingar ska hanteras, exempelvis genom krav pÄ diarieföring och skyldighet att ta emot e-post (prop. 2017/18:105 s. 194). BestÀmmelsen omfattar dock inte, trots lagtextens generella utformning, sÄdan behandling som kan komma att krÀvas enligt den nya lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Det innebÀr att bestÀmmelsen inte omfattar all sÄdan behandling av kÀnsliga personuppgifter som utförs av kommunala bolag, föreningar och stiftelser, ovan nÀmnda tre enskilda utbildningsanordnare och eventuella övriga statliga bolag och stiftelser som finns upptagna i bilagan till OSL och som omfattas av den nya lagen.

Det behövs en bestÀmmelse som möjliggör behandling av kÀnsliga personuppgifter för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar

Dataskyddslagens bestÀmmelser i 3 kap. 3 § första stycket 2 och 3 om behandling av kÀnsliga personuppgifter vid ÀrendehandlÀggning eller s.k. faktisk verksamhet omfattar inte enskilda utbildningsanordnare eller övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. För enskilda utbildningsanordnare finns bestÀmmelser om behandling av kÀnsliga personuppgifter i 13 § lagen om tillstÄnd att utfÀrda vissa examina, men dessa bestÀmmelser Àr inte tillÀmpliga i nu aktuella fall. Alla de forskningshuvudmÀn som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning behöver kunna behandla kÀnsliga personuppgifter för att fullgöra de krav som lagen stÀller. Regeringen föreslÄr dÀrför att det ska införas en bestÀmmelse som innebÀr att kÀnsliga personuppgifter fÄr behandlas av enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar om det Àr nödvÀndigt för att fullgöra uppgifter enligt nÀmnda lag. FrÄgorna om pÄ vilken normnivÄ regleringen bör införas behandlas i avsnitt 6.8.

SkÄne lÀns landsting anser att det bör övervÀgas om motsvarande bestÀmmelse Àven ska avse leverantörer och konsulter inom it, datajournalsystem samt vÄrddatabaser. HÀr vill regeringen anföra att i den mÄn inne-

Prop. 2019/20:7

37

Prop. 2019/20:7 hÄllet i datajournalsystem och vÄrddatabaser utgör en del av forskningsmaterialet, och har förts över till forskningshuvudmannen, sÄ utgör det sÄdant material som nÀmnden kan begÀra in frÄn forskningshuvudmannen. De nÀmnda aktörerna ges ingen ny roll i den nya hanteringen av oredlighet i forskning och deras personuppgiftsbehandling analyseras inte i denna proposition.

Det behövs inte nÄgon ytterligare skyddsÄtgÀrd

Datainspektionen anser att det i promemorian inte presenteras nÄgon egentlig utredning av hur behandlingen av kÀnsliga personuppgifter kommer att gÄ till och att det sÄledes inte gÄr att bedöma vilket behov de olika aktörerna har av att behandla kÀnsliga personuppgifter och inte heller vilka risker behandlingen innebÀr för de registrerades personliga integritet. Att behandlingen av kÀnsliga personuppgifter har ett rÀttsligt stöd, vare sig detta kan finnas i dataskyddslagen eller krÀver ytterligare kompletterande lagstiftning, kan dÄ enligt Datainspektionen inte sÀkerstÀllas och vilka skyddsÄtgÀrder som behöver införas kan inte heller bedömas, vare sig ur ett integritets- eller verksamhetsperspektiv. I avsnitt 6.1 och 6.4.1 redogörs för de situationer dÄ forskningshuvudmÀnnen kan behöva behandla kÀnsliga personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och hantering av oredlighet i forskning. I avsnitt 6.3 redogörs för de generella skyddsÄtgÀrder som finns och föreslÄs. Dessa utgörs av en anvÀndningsbegrÀnsning för den sÀrskilda nÀmnden och sekretessbestÀmmelser för forskningshuvudmÀn och den sÀrskilda nÀmnden samt bestÀmmelser om överföring av sekretess, liksom den pseudonymisering vid all behandling av personuppgifter för forskningsÀndamÄl som förordas i dataskyddsförordningen. Dessutom finns det redan en sÀrskild skyddsÄtgÀrd vid behandlingen av kÀnsliga personuppgifter i den forskning som ska lÀmnas över för granskning i form av kravet i etikprövningslagen pÄ etikgodkÀnnande för all forskning som innefattar behandling av kÀnsliga personuppgifter. DÀrutöver föreslÄs bestÀmmelsen om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar ska fÄ behandla kÀnsliga personuppgifter avgrÀnsas sÄ att den endast avser behandlingar som Àr nödvÀndiga för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Ge- nom dessa skyddsÄtgÀrder bedöms kravet i artikel 9.2 g i dataskyddsförordningen pÄ lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen vara uppfyllda.

6.4.3Det finns inte behov av nÄgon ytterligare reglering för behandling av personuppgifter som rör lagövertrÀdelser för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar

Regeringens bedömning: Uppgift om att en forskare har gjort sig skyldig till oredlighet i forskning utgör inte en övertrÀdelse i den mening som avses i artikel 10 i dataskyddsförordningen.

38

Enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar kan med stöd av artikel 10 i dataskyddsförordningen och 5 § förordningen med kompletterande bestÀmmelser till EU:s dataskyddsförordning behandla personuppgifter om lagövertrÀdelser. NÄgon ytterligare reglering för deras behandling av sÄdana personuppgifter bör inte införas.

Promemorians förslag och bedömning: ÖverensstĂ€mmer delvis med regeringens bedömning. I promemorian föreslĂ„s att det ska införas en bestĂ€mmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska fĂ„ behandla personuppgifter som rör lagövertrĂ€delser om behandlingen Ă€r nödvĂ€ndig för att fullgöra uppgifter enligt den lagen.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot förslaget eller bedömningen.

SkÄne lÀns landsting anser att det bör övervÀgas om motsvarande bestÀmmelse Àven ska avse leverantörer och konsulter inom it, datajournalsystem samt vÄrddatabaser.

Datainspektionen avstyrker förslaget. Att en personuppgiftsansvarig inte fÄr utföra en personuppgiftsbehandling som ligger utanför det i lag givna rÀttsliga stödet kan enligt Datainspektionens mening inte utgöra en skyddsÄtgÀrd.

Som nÀmnts i avsnitt 3 har Datainspektionen beretts tillfÀlle att yttra sig över ett utkast till lagrÄdsremiss med ett förslag som överensstÀmmer med vad som anges i rutan ovan. Datainspektionen anför att nÄgon redogörelse för hur bestÀmmelsen i 5 § förordningen med kompletterande bestÀmmelser till EU:s dataskyddsförordning uppfyller kraven i artikel 10 pÄ lÀmpliga skyddsÄtgÀrder inte har presenterats.

SkÀlen för regeringens bedömning

Personuppgifter som rör lagövertrÀdelser fÄr behandlas under vissa villkor

Som konstaterats i avsnitt 6.1 kan enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning komma att behöva behandla personuppgifter som rör lagövertrÀdelser. Enligt artikel 10 i dataskyddsförordningen fÄr behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrder enligt artikel 6.1 utföras endast under kontroll av en myndighet eller dÄ behandling Àr tillÄten enligt unionsrÀtten eller medlemsstaternas nationella rÀtt, dÀr lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter faststÀlls. Uppgift om att en forskare har gjort sig skyldig till oredlighet i forskning rör inte en fÀllande dom i ett brottmÄl eller en lagövertrÀdelse som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrd i den mening som avses i artikel

10.Som framgÄr av avsnitt 6.1 kan dock sÄdana personuppgifter som avses i artikel 10 förekomma i t.ex. forskningsmaterial.

I dataskyddslagen anges att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning fÄr behandlas av myndigheter samt att sÄdana upp-

Prop. 2019/20:7

39

Prop. 2019/20:7 gifter fÄr behandlas Àven av andra Àn myndigheter om behandlingen Àr nödvÀndig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §). I promemorian föreslogs att det skulle införas en bestÀmmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska fÄ behandla personuppgifter som rör lagövertrÀdelser om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt den lagen. Vidare gjordes bedömningen, utifrÄn kravet pÄ lÀmpliga skyddsÄtgÀrder i artikel 10, att det inte bör införas nÄgra ytterligare skyddsÄtgÀrder. I promemorian redogjordes Àven för vilka skyddsÄtgÀrder som finns. Datainspektionen avstyrker förslaget och anför att det förhÄllandet att en personuppgiftsansvarig inte fÄr utföra en personuppgiftsbehandling som ligger utanför det i lag givna rÀttsliga stödet inte kan utgöra en skyddsÄtgÀrd.

Regeringen konstaterar att det i dataskyddslagen finns en föreskriftsrÀtt för regeringen eller den myndighet som regeringen bestÀmmer att meddela ytterligare föreskrifter om i vilka fall andra Àn myndigheter fÄr behandla sÄdana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 §). I 5 § förordningen (2018:219) med kompletterande bestÀmmelser till EU:s dataskyddsförordning föreskrivs att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning fÄr behandlas av andra Àn myndigheter om behandlingen Àr nödvÀndig för att rÀttsliga ansprÄk ska kunna faststÀllas, göras gÀllande eller försvaras, eller en rÀttslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

Utöver dessa bestÀmmelser finns det Àven bestÀmmelser för enskilda utbildningsanordnare om behandling av personuppgifter som rör fÀllande domar i brottmÄl i lagen om tillstÄnd att utfÀrda vissa examina, men de bestÀmmelserna Àr inte tillÀmpliga i nu aktuella fall (14 §).

Enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar har stöd i nationell rÀtt för sin behandling av personuppgifter om lagövertrÀdelser

Enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar har samma behov som statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner att kunna behandla personuppgifter som rör lagövertrÀdelser nÀr de fullgör de uppgifter som följer av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.

Som framgÄtt ovan tillÄts behandling av uppgifter om lagövertrÀdelser för andra Àn myndigheter enligt 5 § förordningen med kompletterande bestÀmmelser till EU:s dataskyddsförordning om behandlingen Àr nödvÀndig för att bl.a. en rÀttslig förpliktelse enligt lag eller förordning ska kunna fullgöras. I avsnitt 6.2.2 görs bedömningen att de skyldigheter som regleras i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning kommer att utgöra i svensk rÀtt faststÀllda rÀttsliga förpliktelser som Ävilar statliga universitet och högskolor, andra statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar, och som gör det nödvÀndigt att behandla personuppgifter. Den rÀttsliga grunden rÀttslig förpliktelse i artikel 6.1 c kan dÄ tillÀmpas. Detta innebÀr att enskilda utbildningsanordnare och övriga

40

bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god Prop. 2019/20:7 forskningssed och prövning av oredlighet i forskning med stöd av 5 § för-

ordningen med kompletterande bestÀmmelser till EU:s dataskyddsförordning kommer att kunna utföra nödvÀndig behandling av sÄdana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Det behövs dÄ inte nÄgon ytterligare bestÀmmelse om detta.

Med anledning av Datainspektionens synpunkt över utkastet till lagrÄdsremiss kan det konstateras att det utöver ovanstÄende finns skyddsÄtgÀrder faststÀllda (se avsnitt 6.3).

SkÄne lÀns landsting anser att det bör övervÀgas om motsvarande bestÀmmelse som föreslÄs i promemorian betrÀffande enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningars möjligheter att behandla uppgifter om lagövertrÀdelser Àven ska avse leverantörer och konsulter inom it, datajournalsystem samt vÄrddatabaser. Som pÄpekas i avsnitt 6.4.3 ovan kan nÀmnden frÄn forskningshuvudmannen begÀra in innehÄllet i datajournalsystem och vÄrddatabaser, i den mÄn det utgör en del av forskningsmaterialet (och har förts över till forskningshuvudmannen). De nÀmnda aktörerna ges ingen ny roll i den nya hanteringen av oredlighet i forskning och deras personuppgiftsbehandling analyseras dÀrför inte i denna proposition.

6.5 Det behövs inget ytterligare rÀttsligt stöd för  
  personuppgiftsbehandling som sker med stöd  
  av arkivbestÀmmelser  
   
Regeringens bedömning: Den sÀrskilda nÀmnden, statliga universitet  
och högskolor, andra statliga myndigheter, kommuner och regioner,  
enskilda utbildningsanordnare samt övriga bolag, stiftelser och före-  
ningar som omfattas av lagen om ansvar för god forskningssed och  
prövning av oredlighet i forskning kan med stöd av EU:s dataskydds-  
förordning och dataskyddslagen utföra de personuppgiftsbehandlingar  
som blir nödvÀndiga med anledning av föreskrifter om arkiv.  
   
Promemorians bedömning: ÖverensstĂ€mmer med regeringens bedöm-  
ning.    
Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker  
eller har inget att invÀnda mot bedömningen.  
SkÀlen för regeringens bedömning: Som framgÄr av avsnitt 5.1 Àr  
svenska myndigheter, kommunala bolag och vissa andra organ enligt ar-  
kivlagen skyldiga att bevara sina allmÀnna handlingar. Regeringen gör i  
propositionen Ny dataskyddslag bedömningen att myndigheter och andra  
som omfattas av föreskrifter om arkiv enligt gÀllande rÀtt har rÀttslig grund  
för behandling av personuppgifter för arkivÀndamÄl av allmÀnt intresse.  
Vidare gör regeringen bedömningen att vidarebehandling av personupp-  
gifter för arkivÀndamÄl av allmÀnt intresse enligt dataskyddsförordningen  
inte ska anses vara oförenlig med de ursprungliga ÀndamÄlen. NÄgon rÀtts-  
lig grund behöver sÄledes inte faststÀllas för sÄdan vidarebehandling (s.  
109 f.). Den sÀrskilda nÀmnden, statliga universitet och högskolor, andra  
statliga myndigheter samt kommuner och regioner bedöms sÄledes med 41
   

Prop. 2019/20:7 stöd av den befintliga regleringen i dataskyddsförordningen och dataskyddslagen kunna utföra de personuppgiftsbehandlingar som blir nödvÀndiga med anledning av föreskrifter om arkiv, t.ex. föreskrifter enligt arkivlagen.

Som framgÄr av avsnitt 6.4.3 ska TF:s bestÀmmelser om rÀtten att ta del av allmÀnna handlingar och bestÀmmelserna i OSL Àven tillÀmpas pÄ kommunala bolag, föreningar och stiftelser (2 kap. 3 § OSL) och sÄdana

enskilda organ som anges i bilagan till OSL (2 kap. 4 § OSL). I den bilagan anges bl.a. Stiftelsen Högskolan i Jönköping och vissa bolag som Àgs av stiftelsen (all verksamhet), Stiftelsen Chalmers tekniska högskola och det av stiftelsen Àgda bolaget Chalmers tekniska högskola AB (all verksamhet) samt Handelshögskolan i Stockholm (i frÄga om statligt stöd i form av utbildningsbidrag för doktorander). Det framgÄr av 2 a § arkivlagen att det som enligt den lagen gÀller för kommunala myndigheters arkiv ska gÀlla Àven för arkiv hos sÄdana juridiska personer som avses i 2 kap. 3 § OSL. Det framgÄr vidare av 2 § arkivlagen att det som enligt den lagen gÀller för statliga myndigheters arkiv ska gÀlla Àven för arkiv hos sÄdana organ som avses i 2 kap. 4 § OSL till den del arkivet hÀrrör frÄn den verksamhet som avses i bilagan till OSL.

Kommunala bolag, föreningar och stiftelser och ovan nÀmnda tre enskilda utbildningsanordnare ska alltsÄ tillÀmpa offentlighetsprincipen, samt sekretess- och arkivregleringen. I den mÄn nÄgra av de övriga statliga bolagen och stiftelserna som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning finns upptagna i bilagan till OSL, ska Àven dessa tillÀmpa offentlighetsprincipen samt sekretess- och arkivregleringen. De kan dÀrmed utföra sÄdana personuppgiftsbehandlingar som blir nödvÀndiga med anledning av arkivregleringen med stöd av dataskyddsförordningen och dataskyddslagen.

6.6Behöver de registrerades rÀttigheter eller de personuppgiftsansvarigas skyldigheter begrÀnsas i nÄgot avseende?

Regeringens förslag: BestÀmmelsen i EU:s dataskyddsförordning om information som ska tillhandahÄllas om personuppgifterna samlas in frÄn den registrerade, i de fall den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte Àn det för vilket de insamlades, ska inte gÀlla nÀr forskningshuvudmÀnnen behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.

Regeringens bedömning: BestÀmmelsen bör inte heller gÀlla nÀr statliga universitet och högskolor behandlar personuppgifter för att hantera andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas sÀrskilt enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.

TillÀmpningsomrÄdet för de personuppgiftsansvarigas skyldigheter eller de registrerades rÀttigheter som följer av dataskyddsförordningen bör i övrigt inte begrÀnsas.

42

Promemorians bedömning: ÖverensstĂ€mmer delvis med regeringens förslag och bedömning. I promemorian görs bedömningen att tillĂ€mpningsomrĂ„det för de personuppgiftsansvarigas skyldigheter eller de registrerades rĂ€ttigheter som följer av dataskyddsförordningen inte bör begrĂ€nsas alls.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot bedömningen.

Kungl. Tekniska högskolan vill, apropÄ promemorians bedömning att det inte finns nÄgot skÀl till begrÀnsning av rÀtten till rÀttelse enligt artikel 16, uppmÀrksamma att Àndringar i forskningsmaterialet innebÀr att informationen inte förblir oförvanskad, dvs. i det skick som den var nÀr forskaren arbetade med informationen.

Göteborgs universitet instÀmmer inte i promemorians bedömning om de registrerades rÀtt till information enligt artikel 13 och 14 i dataskyddsförordningen. Universitetet ser ett behov av att nÀrmare utreda frÄgan om att införa ett generellt undantag frÄn informationsskyldigheten vid behandling av personuppgifter i syfte att utreda misstÀnkt oredlighet och avvikelser frÄn god forskningssed. Göteborgs universitet anför vidare att undantaget i artikel 14.5 c i dataskyddsförordningen enbart omfattar utlÀmnandet av personuppgifterna frÄn forskningshuvudmannen till nÀmnden och inte personuppgiftsbehandling som kan krÀvas hos forskningshuvudmannen. I de fall dÀr inte nÄgot av undantagen i artikel 13 eller 14 i dataskyddsförordningen Àr tillÀmpliga kan forskningshuvudmannen vara skyldig att informera forskningspersonerna om den nya behandlingen som sker i syfte att utreda misstÀnkt oredlighet i forskning. Som anförs i promemorian sÄ skulle det kunna bli relativt betungande att informera om den nya behandlingen nÀr det rör sig om forskningsmaterial avseende ett stort antal personer. Det kan enligt universitetet Àven ifrÄgasÀttas om det Àr lÀmpligt att informera forskningspersonerna i ett forskningsprojekt om att personuppgifterna hanteras för att utreda misstÀnkt oredlighet i forskning eller avvikelse frÄn god forskningssed innan en sÄdan utredning avslutats.

Även Uppsala universitet pĂ„pekar att dataskyddsförordningen stĂ€ller krav pĂ„ att de registrerade vid en personuppgiftsbehandling informeras om det specifika Ă€ndamĂ„l personuppgiftsbehandlingen har, och att forskningsdeltagares personuppgifter kommer att behandlas för nya och andra Ă€ndamĂ„l hos nĂ€mnden som kan skilja sig frĂ„n Ă€ndamĂ„let med den ursprungliga behandlingen sĂ„ som det presenterades för den registrerade. Uppsala universitet vill fĂ„ bekrĂ€ftat att forskningshuvudmannen vid pĂ„börjandet av personuppgiftbehandling för forskning inte behöver informera om att personuppgifterna kan komma att behandlas av nĂ€mnden, utan att skyldigheten att informera de registrerade om det nya Ă€ndamĂ„l som uppstĂ„r i och med nĂ€mndens behandling faller pĂ„ nĂ€mnden i egenskap av personuppgiftsansvarig och ska utföras i enlighet med artikel 14 i dataskyddsförordningen.

Uppsala universitet pÄpekar vidare, apropÄ bedömningen i promemorian att nÀmnden sÀllan kommer att behöva tillÀmpa artikel 15 om registrerades rÀtt till tillgÄng till uppgifter hos den personuppgiftsansvarige eftersom den inte Àr tillÀmplig om den personuppgiftsansvarige inte kan identifiera den registrerade, att det till forskningsdata med pseudonymiserade personuppgifter som behandlas vid lÀrosÀten i regel hör en s.k. kodlista eller motsvarande. Med kodlistan kan deltagarna i en studie identifie-

Prop. 2019/20:7

43

Prop. 2019/20:7

44

ras. Om studier baseras pÄ mikrodata frÄn Statistiska centralbyrÄn (SCB) förvaras emellertid kodlistan hos SCB och dÄ kan inte forskningshuvudmannen sjÀlv identifiera deltagarna. Enligt Uppsala universitet torde nÀmnden i det förra fallet kunna stÀllas inför en begÀran frÄn en registrerad om att fÄ tillgÄng till de personuppgifter som nÀmnden behandlar. FörutsÀttningarna för förvaring av kodlistor och tillÀmpningen av artikel 15 bör enligt universitetet eventuellt utredas nÀrmare och universitetet önskar vidare förtydliganden avseende hur en förfrÄgan om registerutdrag ska besvaras av forskningshuvudmannen nÀr den registrerades personuppgifter överlÀmnats till nÀmnden.

SkÀlen för regeringens förslag och bedömning

Dataskyddsförordningen anger under vilka förutsÀttningar de registrerades rÀttigheter kan begrÀnsas

I dataskyddsförordningens tredje kapitel anges den registrerades rĂ€ttigheter i samband med att personuppgifter behandlas (artiklarna 12–23). Som nĂ€rmare utvecklas nedan finns det enligt EU-förordningen möjligheter för en medlemsstat att begrĂ€nsa dessa rĂ€ttigheter.

I artikel 12 finns bestÀmmelser om klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rÀttigheter. I artikel 13 finns bestÀmmelser om information som ska tillhandahÄllas om personuppgifterna samlas in frÄn den registrerade och i artikel 14 finns bestÀmmelser om information som ska tillhandahÄllas om personuppgifterna inte har erhÄllits frÄn den registrerade. Artikel 15 reglerar den registrerades rÀtt till tillgÄng, som huvudsakligen rör den registrerades rÀtt att av den personuppgiftsansvarige fÄ bekrÀftelse pÄ om personuppgifter som rör honom eller henne hÄller pÄ att behandlas och i sÄ fall fÄ tillgÄng till personuppgifterna och viss information. Artikel 16 och 17 reglerar rÀtten till rÀttelse respektive rÀtten till radering (rÀtten att bli bortglömd). RÀtten till begrÀnsning av behandling regleras i artikel 18. I artikel 19 finns bestÀmmelser om anmÀlningsskyldighet avseende rÀttelse eller radering av personuppgifter och begrÀnsning av behandling. Artikel 20 reglerar rÀtten till dataportabilitet, dvs. den registrerades rÀtt att under vissa förutsÀttningar fÄ ut sina personuppgifter i ett strukturerat, allmÀnt anvÀnt och maskinlÀsbart format och sedan överföra dessa till en annan personuppgiftsansvarig. Artiklarna 21 och 22 reglerar rÀtten att göra invÀndningar respektive automatiserat individuellt beslutsfattande, inbegripet profilering.

Av artikel 23.1 följer att sĂ„vĂ€l unionsrĂ€tten som en medlemsstats nationella rĂ€tt fĂ„r begrĂ€nsa tillĂ€mpningsomrĂ„det för de skyldigheter och rĂ€ttigheter som föreskrivs i artiklarna 12–22 och 34 (information till den registrerade om en personuppgiftsincident), samt artikel 5 (principer för behandling av personuppgifter) i den mĂ„n dess bestĂ€mmelser motsvarar de rĂ€ttigheter och skyldigheter som faststĂ€lls i artiklarna 12–22. En sĂ„dan begrĂ€nsning mĂ„ste dock ske med respekt för andemeningen i de grundlĂ€ggande rĂ€ttigheterna och friheterna. Den mĂ„ste ocksĂ„ utgöra en nödvĂ€ndig och proportionell Ă„tgĂ€rd i ett demokratiskt samhĂ€lle i syfte att sĂ€kerstĂ€lla

a)den nationella sÀkerheten, b) försvaret, c) den allmÀnna sÀkerheten, d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkstÀllande av straffrÀttsliga sanktioner, inbegripet skydd mot samt

förebyggande och förhindrande av hot mot den allmÀnna sÀkerheten, e) Prop. 2019/20:7 andra av unionens eller en medlemsstats viktiga mÄl av generellt allmÀnt

intresse, sĂ€rskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, dĂ€ribland penning-, budget- eller skattefrĂ„gor, folkhĂ€lsa och social trygghet, f) skydd av rĂ€ttsvĂ€sendets oberoende och rĂ€ttsliga Ă„tgĂ€rder, g) förebyggande, förhindrande, utredning, avslöjande och lagföring av övertrĂ€delser av etiska regler som gĂ€ller för lagreglerade yrken, h) en tillsyns-, inspektions- eller regleringsfunktion som, Ă€ven i enstaka fall, har samband med myndighetsutövning i fall som nĂ€mns i a–e och g, i) skydd av den registrerade eller andras rĂ€ttigheter och friheter, eller j) verkstĂ€llighet av civilrĂ€ttsliga krav.

I artikel 23.2 anges att sÄdana begrÀnsningar ska innehÄlla specifika bestÀmmelser Ätminstone, nÀr sÄ Àr relevant, avseende a) ÀndamÄlen med behandlingen eller kategorierna av behandling, b) kategorierna av personuppgifter, c) omfattningen av de införda begrÀnsningarna, d) skyddsÄtgÀrder för att förhindra missbruk eller olaglig tillgÄng eller överföring, e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, f) lagringstiden samt tillÀmpliga skyddsÄtgÀrder med beaktande av behandlingens art, omfattning och ÀndamÄl eller kategorierna av behandling, g) riskerna för de registrerades rÀttigheter och friheter, och h) de registrerades rÀtt att bli informerade om begrÀnsningen, sÄvida detta inte kan inverka menligt pÄ begrÀnsningen.

I dataskyddslagen regleras vissa undantag frÄn den registrerades rÀttigheter

I dataskyddslagen anges att artiklarna 13–15 i EU:s dataskyddsförordning (som rör information som ska tillhandahĂ„llas om personuppgifterna samlas in frĂ„n den registrerade, information som ska tillhandahĂ„llas om personuppgifterna inte har erhĂ„llits frĂ„n den registrerade samt den registrerades rĂ€tt till tillgĂ„ng) inte gĂ€ller sĂ„dana uppgifter som den personuppgiftsansvarige inte fĂ„r lĂ€mna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning (5 kap. 1 § första stycket). I andra stycket anges att om den personuppgiftsansvarige inte Ă€r en myndighet, gĂ€ller undantaget i första stycket Ă€ven för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.

I dataskyddslagen anges vidare att artikel 15 i EU:s dataskyddsförordning (som rör den registrerades rÀtt till tillgÄng) inte gÀller personuppgifter i löpande text som inte har fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 § första stycket). I andra stycket anges att undantaget i första stycket inte gÀller om personuppgifterna har lÀmnats ut till tredje part, behandlas enbart för arkivÀndamÄl av allmÀnt intresse eller statistiska ÀndamÄl eller har behandlats under lÀngre tid Àn ett Är i löpande text som inte har fÄtt sin slutliga utformning.

I dataskyddslagen finns ocksÄ ett bemyndigande till regeringen. I detta anges att regeringen fÄr meddela ytterligare föreskrifter om begrÀnsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning (5 kap. 3 §).

45

Prop. 2019/20:7

46

Finns det anledning att begrÀnsa de personuppgiftsansvarigas skyldigheter eller de registrerades rÀttigheter ytterligare?

Nedan görs en genomgĂ„ng och bedömning av huruvida de rĂ€ttigheter och skyldigheter som kan begrĂ€nsas enligt artikel 23.1 i dataskyddsförordningen, dvs. de rĂ€ttigheter som anges i artiklarna 5, 12–22 och 34, bör inskrĂ€nkas.

Tydlig information och kommunikation och tydliga villkor (artikel 12)

Artikel 12 i dataskyddsförordningen innehÄller bestÀmmelser om klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rÀttigheter. BestÀmmelserna i artikel 12 bedöms inte medföra nÄgon onödigt betungande eller omöjlig hantering för den sÀrskilda nÀmnden eller forskningshuvudmÀnnen vid utförandet av de uppgifter som följer av den nya ordningen för att frÀmja god sed och hantera oredlighet i forskning som Äterges i avsnitt 5.6. Det bedöms sÄledes inte behövas nÄgot undantag frÄn artikel 12 i dataskyddsförordningen.

Den registrerades rÀtt till information nÀr personuppgifterna samlas in frÄn den registrerade (artikel 13)

I artikel 13.1–3 i dataskyddsförordningen finns bestĂ€mmelser om information som ska tillhandahĂ„llas om personuppgifterna samlas in frĂ„n den registrerade. Av artikel 13.1 följer en skyldighet för den personuppgiftsansvarige att lĂ€mna viss angiven information till den registrerade i de fall personuppgifter samlas in direkt frĂ„n denne, bl.a. Ă€ndamĂ„len med och den rĂ€ttsliga grunden för behandlingen. Utöver denna information ska den personuppgiftsansvarige, enligt artikel 13.2, vid insamling av personuppgifterna lĂ€mna den registrerade information om bl.a. lagringsperiod och vissa rĂ€ttigheter för den personuppgiftsansvarige och den registrerade, vilken krĂ€vs för att sĂ€kerstĂ€lla rĂ€ttvis och transparent behandling. Av artikel 13.3 följer att om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte Ă€n det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt artikel 13.2.

Vid prövning av frÄgor om oredlighet i forskning kommer den sÀrskilda nÀmnden att behöva inhÀmta forskningsmaterial frÄn forskningshuvudmÀnnen. Detta material kommer sÄledes inte att inhÀmtas frÄn den registrerade och dÀrmed blir artikel 13 inte tillÀmplig i denna del. Den sÀrskilda nÀmnden kommer dock Àven att behöva inhÀmta uppgifter frÄn forskare och andra enskilda, t.ex. uppgifter om den person som Àr föremÄl för prövning i den sÀrskilda nÀmnden. SÄdant inhÀmtande av uppgifter frÄn enskilda bedöms dock inte bli sÀrskilt omfattande. Detta innebÀr att artikel 13 i dataskyddsförordningen inte blir tillÀmplig i nÄgon större utstrÀckning i den sÀrskilda nÀmndens verksamhet.

ForskningshuvudmÀnnen kommer huvudsakligen att hantera uppgifter som redan finns tillgÀngliga hos forskningshuvudmannen, men som tidigare samlats in frÄn den registrerade inom ramen för forskning. Det ursprungliga syftet med insamlingen av uppgifterna var alltsÄ att behandla personuppgifterna för forskningsÀndamÄl. NÀr forskningshuvudmÀnnen fullgör de uppgifter som följer av lagen om ansvar för god forskningssed

och prövning av oredlighet i forskning kommer de dÀrför att behöva behandla personuppgifter för ett annat syfte Àn det för vilket de samlades in. Detsamma gÀller nÀr statliga universitet och högskolor hanterar andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas sÀrskilt enligt den nya lagen. BestÀmmelsen i artikel 13.3 om information till de registrerade vid ytterligare behandling för ett annat syfte Àn det för vilket de samlades in blir dÄ tillÀmplig.

Att tillhandahÄlla sÄdan information till alla personer vars personuppgifter ingÄr i ett forskningsprojekt skulle kunna bli en mycket betungande uppgift och i vissa fall visa sig vara nÀrmast omöjligt eller medföra en oproportionell anstrÀngning. Ett forskningsprojekt kan innehÄlla personuppgifter om tusentals personer. Dessutom Àr uppgifterna i mÄnga fall pseudonymiserade, vilket gör att personerna mÄste identifieras med hjÀlp av en kodnyckel för att informationen ska kunna lÀmnas. Pseudonymisering Àr en viktig och grundlÀggande skyddsÄtgÀrd vid all behandling av personuppgifter för forskningsÀndamÄl, vilket ocksÄ framhÄlls uttryckligen i artikel 89.1 i dataskyddsförordningen. Att granska utförd forskning för att utreda misstankar om oredlighet eller andra avvikelser frÄn god forskningssed kan anses vara ett slutligt led i forskningsprocessen, Àven om syftet med sjÀlva behandlingen av personuppgifterna i materialet Àr nÄgot annorlunda mot det ursprungliga ÀndamÄlet vid insamlingen. Att samma forskningshuvudman som har pseudonymiserat personuppgifterna till skydd för de registrerade, i enlighet med dataskyddsförordningens krav, ska tvingas identifiera de registrerade enbart för att informera om att sÄdan granskning ska ske Àr enligt regeringens mening dessutom ett betydande intrÄng i de registrerades integritet som inte uppvÀgs av syftet med informationsskyldigheten. Som Göteborgs universitet pÄpekar kan det ocksÄ ifrÄgasÀttas om det Àr lÀmpligt att informera forskningspersonerna i ett forskningsprojekt om att personuppgifterna hanteras för att utreda misstÀnkt oredlighet i forskning eller en avvikelse frÄn god forskningssed innan en sÄdan utredning avslutats. Att lÀmna sÄdan information skulle enligt universitetet riskera att pÄverka forskningen pÄ ett inte obetydligt sÀtt Àven om det skulle visa sig att det inte fanns nÄgon grund för misstanken. Det Àr inte orimligt att tÀnka sig en situation dÀr forskningspersoner redan innan misstanken utretts skulle vÀlja att t.ex. Äterta ett tidigare lÀmnat samtycke. Enligt offentlighets- och sekretesslagen gÀller vidare viss sekretess innan en utredning Àr avslutad. NÀr utredningen har avslutats ska den sÀrskilda nÀmndens prövning redovisas i ett offentligt beslut. Om beslutet innebÀr att det har förekommit oredlighet i forskning, eller det framgÄr av beslutet att det har förekommit en allvarlig avvikelse frÄn god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsÄt eller grov oaktsamhet har kunnat konstateras, har forskningshuvudmannen en skyldighet att snarast efter att beslutet har fattats informera berörda forskningsfinansiÀrer, myndigheter, vetenskapliga tidskrifter och andra berörda om beslutet. Forskningshuvudmannen ska Àven upplysa om att beslutet kan komma att överklagas (7 och 14 §§ lagen om ansvar för god forskningssed och prövning av oredlighet i forskning och 11 kap. 3 a § andra stycket och 24 kap. 7 a § tredje stycket OSL).

Mot bakgrund av ovanstÄende anser regeringen att det behövs ett undantag frÄn artikel 13.3 i dataskyddsförordningen nÀr forskningshuvudmÀnnen avser att behandla personuppgifter för att fullgöra uppgifter enligt la-

Prop. 2019/20:7

47

Prop. 2019/20:7 gen om ansvar för god forskningssed och prövning av oredlighet i forskning. Som nĂ€mnts ovan följer det av artikel 23.1 att en sĂ„dan begrĂ€nsning mĂ„ste utgöra en nödvĂ€ndig och proportionell Ă„tgĂ€rd i ett demokratiskt samhĂ€lle i syfte att sĂ€kerstĂ€lla vissa syften (a–j), bl.a. av unionen eller en medlemsstats viktiga mĂ„l av generellt allmĂ€nt intresse, sĂ€rskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, dĂ€ribland penning-, budget- eller skattefrĂ„gor, folkhĂ€lsa och social trygghet (e). Regeringen anser att forskning och upprĂ€tthĂ„llandet av förtroendet för forskning, bl.a. genom utredning av oredlighet i forskning, utgör sĂ„dana viktiga generella allmĂ€nna intressen. Ett undantag frĂ„n artikel 13.3 i det hĂ€r sammanhanget utgör enligt regeringen en nödvĂ€ndig och proportionell Ă„tgĂ€rd för att sĂ€kerstĂ€lla att utredning av oredlighet i forskning kan utföras utan onödigt integritetsintrĂ„ng. Det övergripande syftet med lagen om ansvar för god forskningssed och prövning av oredlighet i forskning Ă€r att frĂ€mja förtroendet för forskningen. Förfarandet vid utredning av misstankar om oredlighet mĂ„ste vara tydligt och rĂ€ttssĂ€kert för de personer som har vĂ€ckt frĂ„gor om misstanke om oredlighet och de som misstankar riktas mot. Det direkta syftet Ă€r att oredlighet ska upptĂ€ckas och att felaktiga forskningsresultat ska dras tillbaka eller rĂ€ttas, vilket i sin tur bidrar till ökad tillförlitlighet och kvalitet i forskningen, samt till att oredlighet förebyggs. De bestĂ€mmelser som innebĂ€r att resultatet av den sĂ€rskilda nĂ€mndens prövning ska redovisas i ett offentligt beslut och bestĂ€mmelserna om forskningshuvudmannens informationsskyldighet i de fall beslutet innebĂ€r att det har förekommit oredlighet i forskning, eller det framgĂ„r av beslutet att det har förekommit en allvarlig avvikelse frĂ„n god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsĂ„t eller grov oaktsamhet har kunnat konstateras, fyller det informationsbehov som finns. Regeringen anser dĂ€rför att undantaget frĂ„n artikel 13.3 kan stödjas pĂ„ artikel 23.1 e.

Uppsala universitet vill fÄ bekrÀftat att forskningshuvudmannen vid pÄbörjandet av personuppgiftbehandling för forskning inte behöver informera om att personuppgifterna kan komma att behandlas av nÀmnden, utan att skyldigheten att informera de registrerade om det nya ÀndamÄl som uppstÄr i och med nÀmndens behandling faller pÄ nÀmnden i egenskap av personuppgiftsansvarig och ska utföras i enlighet med artikel 14 dataskyddsförordningen. Det föreslagna undantaget frÄn artikel 13.3 innebÀr att forskningshuvudmannen inte behöver informera de registrerade om att de avser att ytterligare behandla personuppgifterna för ett annat syfte Àn det för vilket de samlades in. Informationsskyldigheten enligt artikel 14 behandlas nedan.

Regeringen bedömer ocksÄ att ett undantag frÄn artikel 13.3 behövs nÀr statliga universitet och högskolor behandlar personuppgifter för att hantera andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska prövas sÀrskilt enligt nÀmnda lag.

48

I övrigt bedöms det inte behövas nÄgot undantag frÄn artikel 13.

Den registrerades rÀtt till information nÀr personuppgifterna inte har erhÄllits frÄn den registrerade (artikel 14)

I artikel 14.1–4 i dataskyddsförordningen finns bestĂ€mmelser om information som ska tillhandahĂ„llas om personuppgifterna inte har erhĂ„llits frĂ„n

den registrerade. Vid prövning av frĂ„gor om oredlighet i forskning kommer den sĂ€rskilda nĂ€mnden att behöva inhĂ€mta forskningsmaterial frĂ„n forskningshuvudmĂ€nnen. Det innebĂ€r att artikel 14 i dataskyddsförordningen blir tillĂ€mplig i stor utstrĂ€ckning. De skyldigheter som följer av artikel 14.1–4 i dataskyddsförordningen skulle kunna bli relativt betungande för nĂ€mnden i det fall det rör sig om forskningsmaterial som rör ett stort antal personer. I artikel 14.5 regleras dock ett antal fall dĂ„ skyldigheterna i artikel 14.1–4 inte ska tillĂ€mpas, bl.a. om erhĂ„llande eller utlĂ€mnande av uppgifterna uttryckligen föreskrivs genom nationell rĂ€tt som faststĂ€ller lĂ€mpliga Ă„tgĂ€rder för att skydda den registrerades berĂ€ttigade intressen. Som Ă„terges i avsnitt 5.6.1 blir forskningshuvudmĂ€nnen skyldiga att lĂ€mna de upplysningar och handlingar om forskningen som nĂ€mnden begĂ€r och att ge nĂ€mnden tillgĂ„ng till datorer och annan utrustning som har anvĂ€nts vid forskningen. Genom denna reglering finns det alltsĂ„ nationella bestĂ€mmelser om erhĂ„llande och utlĂ€mnande av uppgifter. De skyddsĂ„tgĂ€rder som redovisas i avsnitt 6.3 och 6.4 bedöms utgöra lĂ€mpliga Ă„tgĂ€rder för att skydda den registrerades intressen. Skyldigheterna i artikel 14.1–4 ska dĂ€rmed, enligt artikel 14.5, inte tillĂ€mpas. Göteborgs universitet anför att undantaget i artikel 14.5 c i dataskyddsförordningen enbart omfattar utlĂ€mnandet av personuppgifterna frĂ„n forskningshuvudmannen till nĂ€mnden och att övrig personuppgiftsbehandling som kan krĂ€vas hos forskningshuvudmannen inte omfattas av undantaget. ForskningshuvudmĂ€nnen kommer dock huvudsakligen att hantera uppgifter som redan finns tillgĂ€ngliga hos forskningshuvudmannen. NĂ„gon insamling av uppgifter Ă€r alltsĂ„ i de flesta fall inte nödvĂ€ndig. Artikel 14 blir dĂ„ inte tillĂ€mplig. Mot denna bakgrund bedöms det inte behövas nĂ„got undantag frĂ„n artikel 14 i dataskyddsförordningen.

TillgĂ„ng till personuppgifter samt rĂ€ttelse och radering (artiklarna 15– 20)

En viktig och direkt tillĂ€mplig reglering i dataskyddsförordningen Ă€r att den personuppgiftsansvarige inte ska behöva bevara, förvĂ€rva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det Ă€r vanligt att det saknas direkt identifierande uppgifter i sĂ„dant material som behandlas för forskningsĂ€ndamĂ„l, exempelvis nĂ€r uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sĂ„dana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller avgöra om uppgifter om en viss person behandlas. Om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade ska artiklarna 15–20 i dataskyddsförordningen inte gĂ€lla, förutom nĂ€r den registrerade tillhandahĂ„ller ytterligare information som gör identifieringen möjlig (artikel 11, jfr Ă€ven skĂ€l 57). Den sĂ€rskilda nĂ€mnden och forskningshuvudmĂ€nnen behöver alltsĂ„ som huvudregel inte tillĂ€mpa artiklarna 15–20 om de kan visa att de inte kan identifiera den registrerade.

I artikel 15 finns bestÀmmelser om den registrerades rÀtt till tillgÄng. Som redovisats ovan följer det av artikel 11 att artikel 15 inte ska gÀlla om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade, förutom nÀr den registrerade tillhandahÄller ytterligare information som gör identifieringen möjlig. Det Àr vanligt att det saknas di-

Prop. 2019/20:7

49

Prop. 2019/20:7 rekt identifierande uppgifter i sÄdant material som behandlas för forsk-
  ningsÀndamÄl, exempelvis nÀr uppgifterna kodats eller pseudonymiserats.
  Det innebÀr att artikel 15 till stor del inte Àr tillÀmplig i frÄga om det forsk-
  ningsmaterial som den sÀrskilda nÀmnden och forskningshuvudmÀnnen
  kommer att hantera. Uppsala universitet anser att förutsÀttningarna för för-
  varing av kodlistor och tillÀmpningen av artikel 15 eventuellt bör utredas
  nÀrmare. HÀr vill regeringen anföra följande. Enligt dataskyddsförord-
  ningen ska uppgifterna vara adekvata, relevanta och inte för omfattande i
  förhÄllande till de ÀndamÄl för vilka de behandlas (artikel 5.1 c uppgifts-
  minimering). Det innebÀr att nÀmnden inte bör begÀra in kodlistan om det
  inte behövs för hanteringen av oredlighetsÀrendet. NÀmnden kommer dÀr-
  med i varje enskilt fall att behöva avgöra om det Àr nödvÀndigt att behandla
  direkt identifierande personuppgifter i forskningsmaterialet för att kunna
  utreda misstankar om oredlighet i forskningen. Om det bedöms nödvÀn-
  digt för nÀmnden att inhÀmta kodlistan omfattas dessa uppgifter av samma
  krav pÄ skydd och sÀkerhet som krÀvs vid motsvarande hantering hos
  forskningshuvudmannen. Alla personuppgiftsansvariga har ansvar för och
  ska kunna visa att förordningens krav pÄ att uppgifterna ska behandlas pÄ
  ett sÀtt som sÀkerstÀller lÀmplig sÀkerhet för personuppgifterna med an-
  vÀndning av lÀmpliga tekniska eller organisatoriska ÄtgÀrder efterlevs. NÀr
  det gÀller artikel 15 innebÀr detta att nÀmnden i de flesta fall sannolikt inte
  kommer att ha tillgÄng till direkt identifierande uppgifter och att artikel 15
  till stor del inte blir tillÀmplig i nÀmndens verksamhet. I de fall nÀmnden
  har möjlighet att identifiera den enskilde anser regeringen att rÀtten till
  tillgÄng Àr en viktig och grundlÀggande rÀttighet för den registrerade och
  att nÄgot undantag inte bör göras.
  Uppsala universitet önskar vidare förtydliganden om hur en förfrÄgan
  om registerutdrag ska besvaras av forskningshuvudmannen nÀr den regi-
  strerades personuppgifter har överlÀmnats till nÀmnden. En sÄdan förfrÄ-
  gan ska behandlas som vanligt, dvs. all information som anges i artikel 15
  ska lÀmnas ut. Detta innebÀr bl.a. att huvudmannen i enlighet med art. 15.1
  c ska informera den registrerade om att uppgifter har lÀmnats till den sÀr-
  skilda nÀmnden. Om huvudmannen har överlÀmnat alla personuppgifter
  till nÀmnden, dvs. forskningshuvudmannen har för tillfÀllet inte sjÀlv till-
  gÄng till uppgifterna, fÄr forskningshuvudmannen upplysa om det. I sÄ fall
  kan den registrerade vÀnda sig till nÀmnden och fÄ ett registerutdrag dÀri-
  frÄn.
  I artikel 16 i dataskyddsförordningen finns bestÀmmelser om rÀtt till rÀt-
  telse. Enligt artikel 16 har den registrerade rÀtt att fÄ felaktiga personupp-
  gifter som rör denne rÀttade utan onödigt dröjsmÄl samt att, med beaktande
  av ÀndamÄlet med behandlingen, fÄ ofullstÀndiga personuppgifter kom-
  pletterade, bl.a. genom att tillhandahÄlla ett kompletterande utlÄtande. Den
  som vill rÀtta en felaktig uppgift i forskningsmaterial kommer sannolikt
  att i första hand vÀnda sig till forskningshuvudmannen för att fÄ uppgiften
  rÀttad eftersom det Àr hos denna materialet finns. Den registrerade bör dÄ
  rimligen ha samma möjligheter att fÄ den felaktiga uppgiften rÀttad Àven i
  sÄdant forskningsmaterial som forskningshuvudmannen kan ha skickat till
  den sÀrskilda nÀmnden i ett oredlighetsÀrende. Kungl. Tekniska högskolan
  vill i sammanhanget uppmÀrksamma att Àndringar i forskningsmaterialet
  innebÀr att informationen inte förblir oförvanskad, dvs. i det skick som den
50 var nÀr forskaren arbetade med informationen. Regeringen gör dock be-

dömningen att nÀmnden, om en sÄdan begÀran om rÀttelse i forskningsmaterialet skulle komma in, kommer att kunna hantera den pÄ ett sÄdant sÀtt att den inte pÄverkar bedömningen av om oredlighet har förekommit eller inte. Den situation som Kungl. Tekniska högskolan pekar pÄ bedöms inte utgöra ett tillrÀckligt skÀl för att begrÀnsa rÀtten till rÀttelse. Det har inte heller i övrigt framkommit nÄgra skÀl som talar för att begrÀnsa rÀtten till rÀttelse. Regeringen gör dÀrför bedömningen att det inte finnas nÄgot behov av undantag frÄn artikel 16.

I artikel 17 i dataskyddsförordningen finns bestÀmmelser om rÀtt till radering. De skyldigheter som följer av artikel 17.1 och 17.2 i dataskyddsförordningen gÀller enligt artikel 17.3 b inte i den utstrÀckning som behandlingen Àr nödvÀndig för att uppfylla en rÀttslig förpliktelse som krÀver behandling enligt unionsrÀtten eller enligt en medlemsstats nationella rÀtt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmÀnt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Samtliga av den sÀrskilda nÀmndens och forskningshuvudmÀnnens uppgifter enligt den nya ordningen för att frÀmja god sed och hantera oredlighet i forskning som Äterges i avsnitt 5.6 bedöms falla in under tillÀmpningsomrÄdet för artikel 17.3 b. Det bedöms dÀrför inte behövas nÄgot undantag frÄn artikel 17 i dataskyddsförordningen.

I artikel 18 i dataskyddsförordningen finns bestÀmmelser om rÀtt till begrÀnsning av behandling. Den registrerade har enligt artikel 18.1 rÀtt att av den personuppgiftsansvarige krÀva att behandlingen begrÀnsas om en av följande fyra förutsÀttningar Àr uppfyllda: a) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna Àr korrekta, b) behandlingen Àr olaglig och den registrerade motsÀtter sig att personuppgifterna raderas och begÀr i stÀllet en begrÀnsning av deras anvÀndning, c) den personuppgiftsansvarige behöver inte lÀngre personuppgifterna för ÀndamÄlen med behandlingen men den registrerade behöver dem för att kunna faststÀlla, göra gÀllande eller försvara rÀttsliga ansprÄk eller d) den registrerade har invÀnt mot behandling i enlighet med artikel 21.1, i vÀntan pÄ kontroll av huruvida den personuppgiftsansvariges berÀttigade skÀl vÀger tyngre Àn den registrerades berÀttigade skÀl. Av artikel 18.2 framgÄr att om behandlingen har begrÀnsats enligt punkt 1 fÄr sÄdana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att faststÀlla, göra gÀllande eller försvara rÀttsliga ansprÄk eller för att skydda nÄgon annan fysisk eller juridisk persons rÀttigheter eller för skÀl som rör ett viktigt allmÀnintresse för unionen eller för en medlemsstat. Med begrÀnsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begrÀnsa behandlingen av dessa i framtiden. Det har inte framkommit nÄgot skÀl för att inskrÀnka den registrerades rÀtt till begrÀnsning av behandling. Det bedöms dÀrför inte behövas nÄgot undantag frÄn artikel 18 i dataskyddsförordningen.

I artikel 19 i dataskyddsförordningen anges att den personuppgiftsansvarige ska underrÀtta varje mottagare till vilken personuppgifterna har lÀmnats ut om eventuella rÀttelser eller radering av personuppgifter eller begrÀnsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell anstrÀngning. Den personuppgiftsansvarige ska informera den regi-

Prop. 2019/20:7

51

Prop. 2019/20:7 strerade om dessa mottagare pÄ den registrerades begÀran. Det bedöms inte finnas behov av nÄgot undantag frÄn artikel 19.

I artikel 20 i dataskyddsförordningen finns bestÀmmelser om rÀtt till dataportabilitet. I artikel 20.1 anges att den registrerade ska ha rÀtt att fÄ ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahÄllit den personuppgiftsansvarige i ett strukturerat, allmÀnt anvÀnt och maskinlÀsbart format och ha rÀtt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahÄllits personuppgifterna hindrar detta, om a) behandlingen grundar sig pÄ samtycke enligt artikel 6.1 a eller artikel 9.2 a eller pÄ ett avtal enligt artikel 6.1 b, och b) behandlingen sker automatiserat. Artikeln blir sannolikt endast tillÀmplig i begrÀnsad utstrÀckning för den sÀrskilda nÀmndens och forskningshuvudmÀnnens del. Det bedöms inte finnas behov av nÄgot undantag frÄn den rÀtt till dataportabilitet som följer av artikel 20 i dataskyddsförordningen.

RÀtt att göra invÀndningar, automatiserat beslutsfattande och information om personuppgiftsincident (artiklarna 21, 22 och 34)

I artikel 21 i dataskyddsförordningen finns bestÀmmelser om rÀtt att göra invÀndningar. Det bedöms inte finnas behov av nÄgra undantag frÄn denna rÀttighet.

I artikel 22 i dataskyddsförordningen finns bestÀmmelser om automatiserat beslutsfattande, inbegripet profilering. Den nya ordningen för att frÀmja god sed och hantera oredlighet i forskning som Äterges i avsnitt 5.6 innefattar inte automatiserat beslutsfattande. Av det skÀlet blir artikel 22 i dataskyddsförordningen inte aktuell att behandla hÀr.

I artikel 34 i dataskyddsförordningen finns bestÀmmelser om information till den registrerade om en personuppgiftsincident. Som huvudregel gÀller enligt denna artikel att om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rÀttigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmÄl informera den registrerade om incidenten (artikel 34.1). Detta krÀvs dock inte om nÄgot av de villkor som anges i artikel 34.3 Àr uppfyllda. Ett av dessa villkor Àr att det skulle inbegripa en oproportionerlig anstrÀngning för den personuppgiftsansvarige. I sÄ fall ska i stÀllet allmÀnheten informeras eller en liknande ÄtgÀrd vidtas genom vilken de registrerade informeras pÄ ett lika effektivt sÀtt. BestÀmmelserna i artikel 34 bedöms inte medföra nÄgon onödigt betungande eller omöjlig hantering för den sÀrskilda nÀmnden eller forskningshuvudmÀnnen vid utförandet av de uppgifter som följer av den nya ordningen för att frÀmja god sed och hantera oredlighet i forskning som Äterges i avsnitt 5.6. Det bedöms dÀrför inte behövas nÄgot undantag frÄn artikel 34.

6.7Den lagtekniska lösningen och förhÄllandet till annan dataskyddsreglering

Regeringens förslag: De bestÀmmelser om personuppgiftsbehandling som föreslÄs i denna proposition med anledning av den personuppgiftsbehandling som behövs vid tillÀmpning av lagen om ansvar för god

52

forskningssed och prövning av oredlighet i forskning, ska införas i den lagen.

Det ska Àven införas upplysningsbestÀmmelser om att

–bestĂ€mmelserna kompletterar EU:s dataskyddsförordning,

–dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gĂ€ller vid behandling av personuppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, om inte annat följer av den lagen, och

–det i dataskyddslagen finns bestĂ€mmelser om behandling av kĂ€nsliga personuppgifter för vissa enskilda organ som jĂ€mstĂ€lls med myndigheter.

De hÀnvisningar till EU:s dataskyddsförordning som föreslÄs ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gÀllande lydelsen.

Regeringens bedömning: BestÀmmelser om undantag frÄn sökförbudet i dataskyddslagen och frÄn bestÀmmelserna i EU:s dataskyddsförordning om information till den registrerade, för statliga universitet och högskolor vid hantering av andra misstÀnkta avvikelser frÄn god forskningssed Àn de som ska hanteras enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, bör regleras pÄ förordningsnivÄ.

Promemorians förslag: ÖverensstĂ€mmer delvis med regeringens förslag och bedömning. Även i promemorian föreslĂ„s att bestĂ€mmelser om personuppgiftsbehandling ska regleras i lag. Promemorians lagförslag innehĂ„ller dock delvis andra bestĂ€mmelser Ă€n propositionen. I promemorian görs ingen bedömning om reglering av dataskydd vid hantering av andra misstĂ€nkta avvikelser frĂ„n god forskningssed.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot förslaget.

Göteborgs universitet ifrÄgasÀtter nödvÀndigheten i att i 18 § tredje stycket och 19 § andra stycket lagen om ansvar för god forskningssed och prövning av oredlighet i forskning införa upplysningsbestÀmmelser utöver de som redan finns i 16 och 17 §§ samma lag. Det finns redan hÀnvisningar till dataskyddsförordningen och dataskyddslagen i andra bestÀmmelser i förslaget. Enligt universitetet minskar det tydligheten att ha ytterligare hÀnvisningar i nÀmnda bestÀmmelser.

SkÀlen för regeringens förslag och bedömning

BestÀmmelser om personuppgiftsbehandling som kompletterar lagen om ansvar för god forskningssed och prövning av oredlighet i forskning bör införas i den lagen

I avsnitt 6.3 föreslÄs att personuppgifter som behandlas av den sÀrskilda nÀmnden enbart för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, ska fÄ anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen. I avsnitt 6.4.2 föreslÄs att den sÀrskilda nÀmnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner inte ska omfattas av förbudet i dataskyddslagen mot att utföra sökningar i syfte att fÄ fram

Prop. 2019/20:7

53

Prop. 2019/20:7

54

ett urval av personer grundat pÄ kÀnsliga personuppgifter nÀr de behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnitt 6.4.3 föreslÄs att det ska införas en bestÀmmelse om behandling av kÀnsliga personuppgifter som ska gÀlla för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Slutligen föreslÄs i avsnitt 6.6 att artikel 13.3 i dataskyddsförordningen om information till den registrerade inte ska gÀlla nÀr forskningshuvudmÀnnen behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Dessa förslag omfattar den sÀrskilda nÀmnden och forskningshuvudmÀn som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Vidare Àr förslagen kopplade till uppgifter som följer av nÀmnda lag. Det bör dÀrför underlÀtta för tillÀmparna om dessa bestÀmmelser finns i den aktuella lagen. Det bedöms dÀrför lÀmpligast att de aktuella bestÀmmelserna tas in i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, pÄ motsvarande sÀtt som kompletterande dataskyddsbestÀmmelser för enskilda utbildningsanordnare har införts i bl.a. lagen om tillstÄnd att utfÀrda vissa examina.

Det bör upplysas om bestÀmmelsernas förhÄllande till dataskyddsförordningen och dataskyddslagen

PĂ„ motsvarande sĂ€tt som i lagen om tillstĂ„nd att utförda vissa examina bör de nya bestĂ€mmelserna om behandling av personuppgifter föras in under en ny fetstilsrubrik (se 10–14 §§ den lagen). I en inledande bestĂ€mmelse bör det upplysas om att bestĂ€mmelserna om personuppgiftsbehandling utgör en komplettering till dataskyddsförordningen.

De nya bestÀmmelserna innebÀr bl.a. att det införs ett undantag frÄn förbudet i dataskyddslagen mot att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter. Det Àr alltsÄ i denna del frÄga om en avvikelse frÄn dataskyddslagens reglering. Det finns dÀrför behov av att i den nya lagen införa en bestÀmmelse om att bestÀmmelserna i lagen ska ha företrÀde framför dataskyddslagen.

Det bör upplysas om att det i dataskyddslagen finns bestÀmmelser om behandling av kÀnsliga personuppgifter för vissa enskilda organ som jÀmstÀlls med myndigheter

I avsnitt 6.4.2 föreslÄs att det ska införas en bestÀmmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska fÄ behandla kÀnsliga personuppgifter om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt den lagen. Som framgÄr av det avsnittet Àr Àven vissa bestÀmmelser i dataskyddslagen, som bl.a. avser sÄdan personuppgiftsbehandling som Àr nödvÀndig för diarieföring av allmÀnna handlingar m.m., tillÀmpliga pÄ kommunala bolag, föreningar och stiftelser och sÄdana enskilda organ som anges i bilagan till OSL (3 kap.

3§ tredje stycket dataskyddslagen). I promemorian föreslÄs att det av tydlighetsskÀl, i anslutning till den nya bestÀmmelsen om behandling av kÀnsliga personuppgifter i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, bör upplysas om att det för enskilda forsknings-

huvudmÀn i vars verksamhet bestÀmmelserna om allmÀnna handlingar och sekretess i TF och OSL gÀller, Àven finns bestÀmmelser om behandling av kÀnsliga personuppgifter i dataskyddslagen. Göteborgs universitet ifrÄgasÀtter nödvÀndigheten i att införa denna upplysningsbestÀmmelse eftersom det finns hÀnvisningar till dataskyddsförordningen och dataskyddslagen i andra bestÀmmelser i förslaget. Regeringen anser dock att det finns behov av den aktuella upplysningsbestÀmmelsen eftersom den Àr mer specifik Àn de generella upplysningsbestÀmmelserna som föreslÄs i 16 och 17 §§. Liknande upplysningsbestÀmmelser finns bl.a. i lagen om tillstÄnd att utfÀrda vissa examina.

HÀnvisningarna till bestÀmmelser i dataskyddsförordningen bör ges en dynamisk utformning

Som framgĂ„r ovan innehĂ„ller flera av de föreslagna bestĂ€mmelserna hĂ€nvisningar till bestĂ€mmelser i dataskyddsförordningen. HĂ€nvisningar till EU-rĂ€ttsakter kan göras antingen statiska eller dynamiska. En statisk hĂ€nvisning innebĂ€r att hĂ€nvisningen avser EU-rĂ€ttsakten i en viss angiven lydelse. En dynamisk hĂ€nvisning innebĂ€r att hĂ€nvisningen avser EU-rĂ€ttsak- ten i den vid varje tidpunkt gĂ€llande lydelsen. Motsvarande hĂ€nvisningar i dataskyddslagen har en dynamisk utformning. Även de hĂ€r aktuella hĂ€nvisningarna bör dĂ€rför ges en dynamisk utformning.

Det bör göras en redaktionell justering gÀllande lagens tillÀmpningsomrÄde

Enligt 3 § lagen om ansvar för god forskningssed och prövning av oredlighet i forskning (i lydelsen enligt prop. 2018/19:162) Àr lagen tillÀmplig pÄ forskning som utförs av bl.a. kommuner och regioner och aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller regioner utövar ett rÀttsligt bestÀmmande inflytande (första stycket 5). Utformningen av den i promemorian föreslagna bestÀmmelsen om behandling av kÀnsliga personuppgifter Àr felaktig eftersom den, genom att hÀnvisa till bl.a. 3 § första stycket 5 i nÀmnda lag, görs tillÀmplig Àven för kommuner och regioner. Avsikten har dock inte varit att kommuner och regioner ska omfattas av bestÀmmelsen. För att hÀnvisningen ska bli korrekt föreslÄs att 3 § Àndras sÄ att punkt 5 delas upp i tvÄ punkter: dels en som omfattar kommuner och regioner (punkt 5), dels en ny punkt som omfattar aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller regioner utövar ett rÀttsligt bestÀmmande inflytande (punkt 6). HÀnvisningen i den föreslagna bestÀmmelsen om behandling av kÀnsliga personuppgifter justeras vidare till att avse bl.a. 3 § 6.

BestÀmmelserna om personuppgiftsbehandling vid statliga universitet och högskolors hantering av andra misstÀnkta avvikelser frÄn god forskningssed bör regleras i förordning

Som framgÄr av avsnitt 5.6.2 avser regeringen att reglera i högskoleförordningen att statliga universitet och högskolor ska hantera andra avvikelser frÄn god forskningssed Àn de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnitt

6.4.1görs bedömningen att statliga universitet och högskolor vid sÄdan hantering inte bör omfattas av förbudet i dataskyddslagen mot att utföra

Prop. 2019/20:7

55

Prop. 2019/20:7 sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter nÀr de behandlar personuppgifter. Vidare görs i avsnitt 6.6 bedömningen att regeringen med stöd av artikel 23 ska föreskriva att artikel 13.3 i dataskyddsförordningen om information till den registrerade inte heller ska gÀlla vid sÄdan hantering.

Dataskyddslagen Àr subsidiÀr i förhÄllande till andra författningar, dvs. bestÀmmelser i lag eller förordning som avviker frÄn dataskyddslagen har företrÀde framför den lagen (1 kap. 6 § dataskyddslagen). Det finns ocksÄ ett bemyndigande i dataskyddslagen för regeringen att meddela ytterligare föreskrifter om begrÀnsningar enligt bl.a. artikel 23 i EU:s dataskyddsförordning (5 kap. 3 §). Det Àr dÀrmed ur ett dataskyddsperspektiv möjligt att införa de aktuella undantagsbestÀmmelserna pÄ förordningsnivÄ.

Som framgÄr av avsnitt 5.5 mÄste dock Àven regeringsformens (RF) bestÀmmelser om skydd för den personliga integriteten beaktas. Enligt 2 kap. 6 § andra stycket Àr var och en gentemot det allmÀnna skyddad mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden. Detta skydd kan under vissa förutsÀttningar begrÀnsas genom lag (2 kap. 20 § första stycket 2 och 21 §). I förarbetena till dessa bestÀmmelser exemplifieras ett antal verksamheter dÀr ÀndamÄlet med behandlingen av personuppgifter i sig kan indikera att det handlar om en omfattande kartlÀggning av den enskildes personliga förhÄllanden. Det Àr t.ex. fallet med behandling av personuppgifter inom brottsbekÀmpande verksamhet, pÄ skatt- och tullomrÄdet, inom socialtjÀnsten och hÀlso- och sjukvÄrden samt inom socialförsÀkringen och indrivningen (prop. 2009/10:80 s. 180 f.). Ut- redning av avvikelser frÄn god forskningssed nÀmns inte bland sÄdana verksamheter dÀr ÀndamÄlet med behandlingen av personuppgifter förutsÀtter en omfattande kartlÀggning av den enskildes personliga förhÄllanden. Som framgÄr av avsnitt 6.6 handlar det ofta om att behandla pseudonymiserade uppgifter i forskningsmaterial. Uppgifter om den eller de forskare som misstÀnks ha avvikit frÄn god forskningssed kommer dock inte att vara pseudonymiserade. De senare uppgifterna rör dock ett mycket begrÀnsat antal personer. Regeringen gör bedömningen att den behandling av personuppgifter som statliga universitet och högskolor mÄste göra för att hantera andra avvikelser frÄn god forskningssed Àn de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning inte Àr av sÄdan karaktÀr att den innebÀr ett sÄdant betydande integritetsintrÄng som avses i 2 kap. 6 § RF (jfr prop. 2017/18:218 s. 114 f.).

Regeringen avser införa de aktuella undantagsbestÀmmelserna pÄ förordningsnivÄ.

6.8Enskildas integritet skyddas

56

Regeringens bedömning: Den behandling av personuppgifter som möjliggörs genom förslagen i denna proposition medför enbart begrÀnsade risker för de intressen som dataskyddsregleringen avser att skydda. Behandlingen av personuppgifter stÄr i rimlig proportion till den nytta som förslagen förvÀntas medföra.

Promemorians bedömning: ÖverensstĂ€mmer med regeringens bedömning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot bedömningen.

Högskolan Dalarna anser att forskningsdata ska överlĂ€mnas frĂ„n huvudmannen till den sĂ€rskilda nĂ€mnden pĂ„ ett sĂ„dant sĂ€tt att behandlingen inte medför att risk för krĂ€nkning av integritet uppstĂ„r, och efterfrĂ„gar ett förtydligande om hur lĂ€nge data fĂ„r lagras hos den sĂ€rskilda nĂ€mnden efter att granskningen Ă€r avslutad. Högskolan i BorĂ„s pĂ„pekar att det kan föreligga behov av att överföra ej psedonymiserade personuppgifter frĂ„n forskningshuvudmannen till nĂ€mnden. Detta kan bl.a. bero pĂ„ att forskningsunderlaget, t.ex. stora databaser, ljud och/eller bildmaterial, inte kan pseudonymiseras med hĂ€nsyn till att Ă€ndamĂ„let med forskningen inte kan uppfyllas pĂ„ det sĂ€ttet. Även om de bĂ„da personuppgiftsansvariga verksamheterna alltid har att samverka kring hur överföringen av informationen ska genomföras, kan det enligt Högskolan BorĂ„s finnas behov av att övervĂ€ga eventuell författningsreglering kring detta alternativt uttalanden som kan fungera som stöd för forskningshuvudmannen och nĂ€mnden i dess hantering avseende sĂ€kerheten. Kungl. Tekniska högskolan vill lyfta fram vikten av det finns tekniskt sĂ€kra metoder för eventuell överföring och lagring av data frĂ„n forskningshuvudmannen till nĂ€mnden, inklusive kryptering, för att forskningsmaterial inte ska komma obehöriga tillhanda.

Högskolan VÀst hÀvdar att den personuppgiftsbehandling som nÀmnden mÄste utföra inom ramen för sin prövning av oredlighet i forskning kan hamna i konflikt med annan integritetsskyddande lagstiftning Àn dataskyddslagstiftningen, exempelvis patientdatalagens regelverk för grundlÀggande bestÀmmelser om inre sekretess och elektronisk Ätkomst inom en vÄrdgivares verksamhet. Högskolan VÀst vill rikta uppmÀrksamhet mot att sÄdana konflikter kan hindra nÀmndens arbete och att sÄdana hinder bör identifieras och ÄtgÀrdas pÄ ett för respektive situation ÀndamÄlsenligt sÀtt.

SkÀlen för regeringens bedömning: I avsnitt 6.1 redogörs för de personuppgiftsbehandlingar som blir nödvÀndiga för den sÀrskilda nÀmnden, statliga universitet och högskolor, övriga statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar med anledning av den nya ordningen för att frÀmja god sed och hantera oredlighet i forskning som redovisas i avsnitt 5.6.

Vid behandlingen av personuppgifter Àr dataskyddsförordningen och dataskyddslagen tillÀmplig. DÀrutöver kommer den reglering som föreslÄs i denna proposition att vara tillÀmplig. Den föreslagna regleringen innebÀr att behandling av kÀnsliga personuppgifter som annars hade varit förbjuden blir tillÄten, att forskningshuvudmÀnnen inte Àr skyldiga att informera den registrerade nÀr uppgifter lÀmnas till den sÀrskilda nÀmnden, att den sÀrskilda nÀmnden och forskningshuvudmÀnnen inte omfattas av sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen och att nÀmnden omfattas av en anvÀndningsbegrÀnsning. Utöver den anvÀndningsbegrÀnsning som föreslÄs finns det sekretessbestÀmmelser för forskningshuvudmÀnnen och den sÀrskilda nÀmnden som utgör generella skyddsÄtgÀrder. Vidare förordar dataskyddsförordningen pseudonymisering vid all behandling av personuppgifter för forskningsÀndamÄl. Genom dessa skyddsÄtgÀrder begrÀnsas integritetsintrÄnget. Dessutom fÄr kÀnsliga personuppgifter bara behandlas om det Àr nödvÀndigt för att de enskilda forsknings-

Prop. 2019/20:7

57

Prop. 2019/20:7 huvudmÀnnen ska kunna fullgöra sina uppgifter enligt den nya lagen. Det
  finns vidare en sÀrskilda skyddsÄtgÀrd vid behandlingen av kÀnsliga per-
  sonuppgifter i den forskning som ska lÀmnas över för granskning av den
  sÀrskilda nÀmnden, i form av kravet i etikprövningslagen pÄ etikgodkÀn-
  nande för all forskning som innefattar behandling av kÀnsliga personupp-
  gifter.
  Den sÀrskilda nÀmnden och forskningshuvudmÀnnen Àr personuppgifts-
  ansvariga för de behandlingar av personuppgifter som blir nödvÀndiga
  inom respektive organ med anledning av den nya ordningen för att frÀmja
  god sed och hantera oredlighet i forskning. Den personuppgiftsansvarige
  ska enligt dataskyddsförordningen bl.a., med beaktande av behandlingens
  art, omfattning, sammanhang och ÀndamÄl samt riskerna, av varierande
  sannolikhetsgrad och allvar, för fysiska personers rÀttigheter och friheter,
  genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀker-
  stÀlla och kunna visa att behandlingen utförs i enlighet med förordningen.
  Dessa ÄtgÀrder ska ses över och uppdateras vid behov (artikel 24.1).
  Personuppgiftsbehandling kan komma att utföras av sÄvÀl anstÀlld per-
  sonal som av tillfÀlligt anlitade experter och sakkunniga. Vanligtvis bör
  den krets som ska fÄ tillgÄng till uppgifterna kunna begrÀnsas till ett fÄtal
  personer inom forskningshuvudmÀnnens organisation. NÀr det gÀller den
  sÀrskilda nÀmnden behöver samtliga nÀmndledamöter ta del av material
  för att kunna avgöra ett oredlighetsĂ€rende. Även nĂ€mndens kanslipersonal
  kommer att behöva ta del av materialet.
  Som anges i avsnitt 6.4 kommer forskningsmaterial i mÄnga fall sanno-
  likt att vara pseudonymiserat. Vidare omfattas statliga universitet och hög-
  skolor, övriga statliga myndigheter samt kommuner och landsting av vissa
  bestÀmmelser om sekretess till skydd för enskild inom forskning i 24 kap.
  OSL och bestÀmmelsen om överföring av sekretess i forskningsverksam-
  het i 11 kap. 3 § första stycket OSL. Detsamma gÀller för kommunala bo-
  lag, föreningar och stiftelser samt för de enskilda utbildningsanordnarna
  Stiftelsen Högskolan i Jönköping och vissa bolag som Àgs av stiftelsen
  samt Stiftelsen Chalmers tekniska högskola och det av stiftelsen Àgda
  Chalmers tekniska högskola AB eftersom de finns upptagna i bilagan till
  OSL (se avsnitt 6.4.2). Detta begrÀnsar risken för oönskad spridning av
  personuppgifter.
  NÀr det gÀller eventuella risker för oönskad spridning av personuppgif-
  ter i samband med att uppgifter överförs till den sÀrskilda nÀmnden gÀller
  sekretess hos den sÀrskilda nÀmnden i Àrenden enligt lagen om ansvar för
  god forskningssed och prövning av oredlighet i forskning för uppgift om
  en enskilds personliga förhÄllanden, om det inte stÄr klart att uppgiften kan
  röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider men, och
  om en enskilds ekonomiska förhÄllanden, om det kan antas att den enskilde
  lider skada om uppgiften röjs. Sekretessen gÀller inte för uppgift om vem
  som har vÀckt frÄgan om oredlighet eller för uppgift om vem misstanken
  riktas mot och inte heller för beslut i ett Àrende. För uppgift i en allmÀn
  handling gÀller sekretessen i högst sjuttio Är för uppgift om en enskilds
  personliga förhÄllanden, och tjugo Är för uppgift om en enskilds ekono-
  miska förhÄllanden. Vidare gÀller att om den sÀrskilda nÀmnden i sin verk-
  samhet enligt lagen om ansvar för god forskningssed och prövning av
  oredlighet i forskning fÄr en sekretessreglerad uppgift frÄn en forsknings-
58 huvudman ska sekretessbestÀmmelsen vara tillÀmplig pÄ uppgiften Àven

hos nÀmnden. Den överförda sekretessen gÀller inte för en uppgift som ingÄr i ett beslut hos nÀmnden. Dessa sekretessbestÀmmelser begrÀnsar risken för oönskad spridning av personuppgifter.

Högskolan Dalarna, Högskolan i BorÄs och Kungl. Tekniska högskolan pekar pÄ vikten av sÀker överföring av personuppgifter frÄn forskningshuvudmannen till nÀmnden. TvÄ av de grundlÀggande principerna för all personuppgiftsbehandling enligt dataskyddsförordningen Àr principen om uppgiftsminimering, dvs. att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhÄllande till de ÀndamÄl för vilka de behandlas, och principen om integritet och konfidentialitet, dvs. att uppgifterna ska behandlas pÄ ett sÀtt som sÀkerstÀller lÀmplig sÀkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillÄten behandling och mot förlust, förstöring eller skada genom olyckshÀndelse, med anvÀndning av lÀmpliga tekniska eller organisatoriska ÄtgÀrder (artikel 5.1 c och f). Det Àr den personuppgiftsansvarige som ska ansvara för och kunna visa att detta efterlevs (artikel 5.2). Det Àr dÀrmed forskningshuvudmannens och nÀmndens respektive ansvar att se till att efterleva dataskyddsförordningens krav pÄ bl.a. sÀker hantering i samband med all behandling av personuppgifter i den egna verksamheten, inklusive i samband med sjÀlva överföringen av personuppgifter.

Högskolan Dalarna efterfrÄgar Àven ett förtydligande om hur lÀnge data fÄr lagras hos den sÀrskilda nÀmnden efter att granskningen Àr avslutad. Lagringsminimering Àr en grundlÀggande princip vid all personuppgiftsbehandling enligt dataskyddsförordningen, vilket innebÀr att personuppgifter inte fÄr förvaras i en form som möjliggör identifiering av den registrerade under en lÀngre tid Àn vad som Àr nödvÀndigt för de ÀndamÄl för vilka personuppgifterna behandlas. Det enda undantaget frÄn denna princip Àr dÄ personuppgifter enbart behandlas för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1. I dessa fall fÄr uppgifterna lagras under lÀngre perioder, under förutsÀttning att de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs enligt denna förordning genomförs för att sÀkerstÀlla den registrerades rÀttigheter och friheter. NÀmndens behandling av personuppgifter för arkivÀndamÄl regleras i den generella arkivregleringen för myndigheter.

Högskolan VĂ€st pĂ„pekar att den personuppgiftsbehandling som nĂ€mnden mĂ„ste utföra inom ramen för sin prövning av oredlighet i forskning mĂ„ste vara förenlig med annan integritetsskyddande lagstiftning Ă€n dataskyddslagstiftningen. Regeringen har dock inte identifierat nĂ„gra konflikter med annan lagstiftning. NĂ€r det gĂ€ller patientdatalagen (2008:535) sĂ„ ska den tillĂ€mpas vid vĂ„rdgivares behandling av personuppgifter inom hĂ€lso- och sjukvĂ„rden (1 kap. 1 § första stycket). De uppgifter som nĂ€mnden fĂ„r tillgĂ„ng till inom ramen för sin prövning av oredlighet i forskning kommer huvudsakligen att utgöra forskningsmaterial. I vissa fall kan uppgifterna i forskningsmaterialet hĂ€rröra frĂ„n hĂ€lso- och sjukvĂ„rden. NĂ€mndens behandling av dessa uppgifter kan dock inte anses ske ”inom hĂ€lso- och sjukvĂ„rd”. Patientdatalagen saknar dĂ€rför relevans för nĂ€mndens behandling av personuppgifter. Regeringen kommer dock att noga följa det nya regelverkets tillĂ€mpning för att bl.a. kunna identifiera eventuella problem av nĂ€mnda slag.

Prop. 2019/20:7

59

Prop. 2019/20:7 Sammanfattningsvis gör regeringen bedömningen att den behandling av personuppgifter som möjliggörs genom förslagen i denna proposition enbart medför begrÀnsade risker för de intressen som dataskyddsregleringen avser att skydda. Regeringen anser dÀrmed att behandlingen av personuppgifter stÄr i rimlig proportion till den nytta som förslagen förvÀntas medföra.

7 IkrafttrÀdande

Regeringens förslag: LagÀndringarna ska trÀda i kraft samma dag som lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, dvs. den 1 januari 2020.

Promemorians bedömning: ÖverensstĂ€mmer med regeringens förslag.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invÀnda mot bedömningen. Svenskt NÀ- ringsliv önskar ett klargörande av vilka regler som ska gÀlla under tiden mellan det att dataskyddsförordningen trÀdde i kraft 25 maj 2018 och den 1 januari 2020.

SkÀlen för regeringens förslag: Lagen om ansvar för god forskningssed och prövning av oredlighet i forskning trÀder i kraft den 1 januari 2020 (prop. 2018/19:58, bet. 2018/19:UbU21, rskr. 2018/19:273). Som nÀmnts i avsnitt 6.7 har det i propositionen En ny beteckning för kommuner pÄ regional nivÄ och vissa frÄgor om regionindelning (prop. 2018/19:162) föreslagits en Àndring i 3 § i nÀmnda lag. De i denna proposition föreslagna bestÀmmelserna om personuppgiftsbehandling föreslÄs i avsnitt 6.7 föras in i samma lag. DÀrutöver föreslÄs en följdÀndring i 3 §. Eftersom det redan Àr beslutat nÀr lagen ska trÀda i kraft behövs det nu inga sÀrskilda bestÀmmelser om ikrafttrÀdande. Med anledning av synpunkten frÄn Svenskt NÀringsliv vill regeringen förtydliga att det för statliga universitet och högskolor finns gÀllande bestÀmmelser om utredning av misstankar om oredlighet i forskning i 1 kap. 16 § högskoleförordningen. För övriga forskningshuvudmÀn Àr det inte författningsreglerat hur de ska utreda misstankar om oredlighet i forskning. De instanser som för nÀrvarande hanterar frÄgor om oredlighet i forskning fÄr finna stöd i allmÀnna dataskyddsregler för den hanteringen.

60

8 Konsekvenser

8.1Konsekvenser för den personliga integriteten

Förslagen i denna proposition syftar till att möjliggöra personuppgiftsbehandling som Àr nödvÀndig för att utföra de uppgifter som följer av förslagen i propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning. Den behandling av personuppgifter som möjliggörs genom

förslagen bedöms medföra enbart begrÀnsade risker för de intressen som Prop. 2019/20:7 dataskyddsregleringen avser att skydda.

8.2Ekonomiska konsekvenser och konsekvenser i övrigt

Regeringen bedömer att förslagen i propositionen inte fÄr nÄgra kostnadsmÀssiga eller andra ekonomiska konsekvenser. Förslagen bedöms inte heller fÄ nÄgra konsekvenser för företag eller konkurrensförhÄllanden, den kommunala sjÀlvstyrelsen, jÀmstÀlldheten mellan mÀn och kvinnor, miljön, brottsligheten eller det brottsförebyggande arbetet, möjligheten att nÄ de integrationspolitiska mÄlen eller Sveriges medlemskap i Europeiska unionen.

9 Författningskommentar

9.1Förslaget till lag om Àndring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning

15 § BestĂ€mmelserna i 16–20 §§ kompletterar Europaparlamentets och rĂ„dets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pĂ„ behandling av personuppgifter och om det fria flödet av sĂ„dana uppgifter och om upphĂ€vande av direktiv 95/46/EG (allmĂ€n dataskyddsförordning), hĂ€r benĂ€mnd EU:s dataskyddsförordning.

Paragrafen Ă€r ny och anger att 16–20 §§ innehĂ„ller kompletterande bestĂ€mmelser till dataskyddsförordningen. Det innebĂ€r att bestĂ€mmelserna inte kan tillĂ€mpas fristĂ„ende, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen Ă€r direkt tillĂ€mplig i varje medlemsstat i EU. I vissa avseenden förutsĂ€tter eller tillĂ„ter dataskyddsförordningen emellertid att medlemsstaterna inför bestĂ€mmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. BestĂ€mmelserna i 16–20 §§ innehĂ„ller sĂ„dana kompletterande bestĂ€mmelser.

HÀnvisningarna till dataskyddsförordningen i denna lag Àr dynamiska, dvs. avser förordningen i dess gÀllande lydelse vid varje tidpunkt.

ÖvervĂ€gandena finns i avsnitt 6.7.

16 § Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, hÀr benÀmnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

61

Prop. 2019/20:7 Paragrafen Àr ny och upplyser om hur lagen förhÄller sig till dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen.

BestÀmmelsen innehÄller en upplysning om att det i dataskyddslagen och anslutande föreskrifter finns generella bestÀmmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som dÀrmed i tillÀmpliga delar Àven gÀller vid behandling enligt denna lag. Vidare anges att dataskyddslagen och anslutande föreskrifter Àr subsidiÀra i förhÄllande till denna lag. Det innebÀr att dataskyddslagens bestÀmmelser endast gÀller i den mÄn inte annat föreskrivs i denna lag.

ÖvervĂ€gandena finns i avsnitt 6.7.

17 § Artikel 13.3 i EU:s dataskyddsförordning om informationsskyldighet för den personuppgiftsansvarige gÀller inte nÀr en forskningshuvudman som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.

Paragrafen Àr ny och innehÄller ett undantag frÄn artikel 13.3 i dataskyddsförordningen. I den artikeln anges att om den personuppgiftsansvarige avser att ytterligare behandla personuppgifter för ett annat syfte Àn det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt artikel 13.2.

BestÀmmelsen innebÀr att artikel 13.3 inte gÀller nÀr de forskningshuvudmÀn som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.

HÀnvisningen till dataskyddsförordningen Àr dynamisk, dvs. avser förordningen i dess gÀllande lydelse vid varje tidpunkt.

ÖvervĂ€gandena finns i avsnitt 6.6.

18 § BestÀmmelsen i 3 kap. 3 § andra stycket dataskyddslagen om sökförbud i frÄga om kÀnsliga personuppgifter gÀller inte nÀr nÀmnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.

Paragrafen Àr ny och innehÄller ett undantag frÄn 3 kap. 3 § andra stycket dataskyddslagen. I 3 kap. 3 § första stycket dataskyddslagen anges att kÀnsliga personuppgifter fÄr behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning 1. om uppgifterna har lÀmnats till myndigheten och behandlingen krÀvs enligt lag, 2. om behandlingen Àr nödvÀndig för handlÀggningen av ett Àrende, eller 3. i annat fall, om behandlingen Àr nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den registrerades personliga integritet. I 3 kap. 3 § andra stycket dataskyddslagen anges att vid behandling som sker enbart med stöd av första stycket Àr det förbjudet att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter. Förevarande bestÀmmelse innebÀr att detta sökförbud inte gÀller nÀr nÀmnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.

ÖvervĂ€gandena finns i avsnitt 6.4.1.

62

19 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr med stöd av artikel 9.2 g i samma förordning behandlas av de forskningshuvudmÀn som avses i 3 § första stycket 3, 4, 6 och 7 om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt denna lag.

För sÄdana forskningshuvudmÀn som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestÀmmelserna om allmÀnna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gÀller, finns det Àven bestÀmmelser om behandling av kÀnsliga personuppgifter i dataskyddslagen.

Paragrafen Àr ny.

Av första stycket framgÄr att sÄdana forskningshuvudmÀn som avses i

3 § första stycket 3, 4, 6 och 7 fÄr behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning. De personuppgifter som avses, kÀnsliga personuppgifter, Àr personuppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa och uppgifter om en fysisk persons sexualliv eller sexuella lÀggning. Personuppgifterna fÄr dock behandlas bara om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt denna lag. Att behandlingen mÄste vara nödvÀndig innebÀr bl.a. att bara sÄdana uppgifter som behövs för hanteringen fÄr behandlas. Begreppet nödvÀndig innebÀr inte ett krav pÄ att behandlingsÄtgÀrden ska vara oundgÀnglig. Behandlingen kan anses nödvÀndig och dÀrmed tillÄten om den leder till effektivitetsvinster (jfr prop. 2017/18:218 s. 46 f. och 204 f.).

För att underlÀtta tillÀmpningen innehÄller andra stycket en upplysning om att det för sÄdana forskningshuvudmÀn som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestÀmmelserna om allmÀnna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gÀller, Àven finns bestÀmmelser om behandling av kÀnsliga personuppgifter i dataskyddslagen. De bestÀmmelser som avses finns i 3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen och de klargör att det Àr tillÄtet att utföra sÄdan behandling av kÀnsliga personuppgifter som krÀvs i verksamheten som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens (2017:900) bestÀmmelser om hur allmÀnna handlingar ska hanteras, exempelvis genom krav pÄ diarieföring och skyldighet att ta emot e-post (se avsnitt 6.4.2). De nu nÀmnda bestÀmmelserna i 3 kap. 3 § första stycket 1 dataskyddslagen omfattar dock inte, trots lagtextens generella lydelse, sÄdan behandling som kan komma att krÀvas enligt den nya lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Detta innebÀr att de nÀmnda bestÀmmelserna i dataskyddslagen inte ensamma tillgodoser det behov av författningsstöd för behandling av kÀnsliga personuppgifter som nu aktuella forskningshuvudmÀn har. För att kunna fullgöra dessa uppgifter behöver forskningshuvudmÀnnen dÀrför Àven tillÀmpa bestÀmmelsen i förevarande paragrafs första stycke.

I 3 kap. 3 § andra stycket dataskyddslagen anges att vid behandling som sker enbart med stöd av första stycket Àr det förbjudet att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgif-

Prop. 2019/20:7

63

Prop. 2019/20:7 ter. Denna sökbegrÀnsning blir tillÀmplig för de forskningshuvudmÀn som avses i 3 § första stycket 3, 4, 6 och 7 vid behandling av kÀnsliga personuppgifter som utförs med stöd av 3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen.

HÀnvisningarna till dataskyddsförordningen Àr dynamiska, dvs. avser förordningen i dess gÀllande lydelse vid varje tidpunkt.

ÖvervĂ€gandena finns i avsnitt 6.4.2 och 6.7.

20 § Personuppgifter som behandlas av nÀmnden enbart för att fullgöra uppgifter enligt denna lag fÄr anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen.

Paragrafen Àr ny och faststÀller begrÀnsningar för hur personuppgifter som behandlas av nÀmnden enbart för att fullgöra uppgifter enligt denna lag fÄr anvÀndas.

Enligt bestÀmmelsen fÄr personuppgifter som behandlas enbart för att fullgöra uppgifter enligt denna lag anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen. BegrÀnsningen gÀller alla typer av personuppgifter och inte bara kÀnsliga sÄdana. Med vitala intressen avses intressen som Àr av avgörande betydelse för den registrerades liv. Ett exempel pÄ en situation dÄ det finns behov av att kunna anvÀnda personuppgifter för att vidta ÄtgÀrder som avser de registrerade Àr nÀr personuppgifter som behandlas behöver anvÀndas för att varna den registrerade. Det kan t.ex. förekomma om nÀmnden, i samband med granskning av forskningsmaterial i ett oredlighetsÀrende, upptÀcker att det finns ett samband mellan intag av en medicin och nÄgon allvarlig sjukdom, och dÀrför anvÀnder registeruppgifter för att varna de registrerade som har fÄtt sÄdan medicin sÄ att de kan lÄta undersöka sig och fÄ behandling. Det fÄr bedömas frÄn fall till fall om det Àr lÀmpligast att nÀmnden eller forskningshuvudmannen vidtar ÄtgÀrder i frÄga om de registrerade i ett sÄdant fall. Det Àr nÀmnden som har att visa att det finns sÄdana omstÀndigheter som utgör synnerliga skÀl enligt förevarande paragraf.

Paragrafen motsvarar delvis 4 kap. 3 § dataskyddslagen (se SFS 2018:2002). Enligt den paragrafen fÄr personuppgifter som behandlas enbart för forskningsÀndamÄl anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen.

ÖvervĂ€gandena finns i avsnitt 6.3.

  9.2 Förslaget till lag om Àndring i lagen (2019:000)
    om Àndring i lagen (2019:504) om ansvar för
    god forskningssed och prövning av oredlighet i
    forskning
  3 § Denna lag tillÀmpas pÄ forskning som utförs av
  1. universitet och högskolor som har staten som huvudman och som om-
64 fattas av högskolelagen (1992:1434),

2.andra statliga myndigheter,

3.staten i form av aktiebolag, om bolagets verksamhet Àr reglerad i lag eller nÄgon annan författning eller om staten som Àgare eller genom tillskott av statliga anslagsmedel eller genom avtal eller pÄ nÄgot annat sÀtt har ett bestÀmmande inflytande över verksamheten,

4.staten i form av stiftelse, om stiftelsens verksamhet Àr reglerad i lag eller nÄgon annan författning eller om stiftelsen Àr bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,

5.kommuner och regioner,

6.aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dÀr kommuner eller regioner utövar ett rÀttsligt bestÀmmande inflytande, och

7.enskilda utbildningsanordnare som har tillstÄnd att utfÀrda examina enligt lagen (1993:792) om tillstÄnd att utfÀrda vissa examina.

Regeringen fÄr meddela föreskrifter om undantag frÄn lagens tillÀmpningsomrÄde för forskningshuvudmÀn som bedriver forskning inom det försvars- och sÀkerhetspolitiska omrÄdet. Regeringen fÄr ocksÄ besluta om sÄdana undantag i enskilda fall.

Paragrafen innehÄller bestÀmmelser om lagens tillÀmpningsomrÄde.

I första stycket har punkt 5 delats upp i tvĂ„ punkter. InnehĂ„llet i paragrafen Ă€r i sak oförĂ€ndrat. Ändringarna innebĂ€r att ”aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser dĂ€r kommuner eller regioner utövar ett rĂ€ttsligt bestĂ€mmande inflytande” förs över frĂ„n punkt 5 till punkt 6 och att innehĂ„llet i den punkten förs över till en ny punkt, punkt 7.

ÖvervĂ€gandena finns i avsnitt 6.7.

Prop. 2019/20:7

65

Prop. 2019/20:7

Bilaga 1

66

Sammanfattning av promemorian Förslag om dataskyddsbestÀmmelser som komplettering till propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning

I promemorian analyseras förslagen i propositionen Ny ordning för att frÀmja god sed och hantera oredlighet i forskning (prop. 2018/19:58) och vissa förslag pÄ förordningsnivÄ i betÀnkandet med samma namn (SOU 2017:10) ur ett dataskyddsperspektiv. Det lÀmnas Àven nödvÀndiga förslag om kompletterande dataskyddsbestÀmmelser.

I propositionen föreslÄs att frÄgor om oredlighet i forskning ska prövas av en sÀrskild nÀmnd. Vidare föreslÄs att statliga universitet och högskolor, övriga statliga myndigheter, statliga bolag och stiftelser, kommuner och landsting, kommunala bolag, stiftelser och föreningar samt enskilda utbildningsanordnare ska överlÀmna misstankar om oredlighet i forskning till nÀmnden, pÄ begÀran lÀmna upplysningar och handlingar om den aktuella forskningen till nÀmnden och informera berörda forskningsfinansiÀrer m.fl. om nÀmndens beslut. I propositionen föreslÄs att detta ska regleras i en ny lag om ansvar för god forskningssed och prövning av oredlighet i forskning. Den sÀrskilda nÀmnden och de ovan nÀmnda forskningshuvudmÀnnen kommer att behöva behandla personuppgifter i flera olika avseenden med anledning av nÀmnda lagförslag och kommande förordningar.

I promemorian görs bedömningen att rÀttsliga grunder i EU:s dataskyddsförordning och bestÀmmelser i lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, i det följande benÀmnd dataskyddslagen, kan tillÀmpas pÄ den behandling av personuppgifter som kommer att utföras av den sÀrskilda nÀmnden och de forskningshuvudmÀn som omfattas av den föreslagna lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Detta gÀller dock inte fullt ut för sÄdan behandling av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som utförs av enskilda utbildningsanordnare som har tillstÄnd att utfÀrda examina enligt lagen (1993:792) om tillstÄnd att utfÀrda vissa examina eller av andra bolag, stiftelser och föreningar som omfattas av den föreslagna lagen. För dem bedöms det behövas kompletterande reglering. Det föreslÄs dÀrför att det i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning införs bestÀmmelser om att de enskilda organ som omfattas av lagen ska fÄ behandla kÀnsliga personuppgifter respektive personuppgifter som rör lagövertrÀdelser om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt den lagen. Det föreslÄs vidare att det ska vara förbjudet för dessa forskningshuvudmÀn att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter. NÄgot motsvarande sökförbud bedöms inte behövas för personuppgifter som rör lagövertrÀdelser.

Den sÀrskilda nÀmnden och de forskningshuvudmÀn som omfattas av den föreslagna lagen om ansvar för god forskningssed och prövning av oredlighet i forskning bedöms kunna utföra de personuppgiftsbehandlingar som blir nödvÀndiga med anledning av föreskrifter om arkiv med stöd av dataskyddsförordningen och dataskyddslagen.

Vidare bedöms det inte vara nödvĂ€ndigt med nĂ„gon lagstiftningsĂ„tgĂ€rd som begrĂ€nsar tillĂ€mpningsomrĂ„det för den registrerades rĂ€ttigheter och de skyldigheter som föreskrivs i artiklarna 5, 12–22 och 34 i dataskyddsförordningen.

Promemorians lagförslag trÀder i kraft samma dag som lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, dvs. den 1 januari 2020.

Prop. 2019/20:7

Bilaga 1

67

Prop. 2019/20:7

Bilaga 2

68

Promemorians lagförslag

Förslag till lag om Àndring i lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning

HÀrigenom föreskrivs i frÄga om lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning

dels att nuvarande 15 § ska betecknas 20 §,

dels att rubriken nĂ€rmast före 15 § ska sĂ€ttas nĂ€rmast före den nya 20 §, dels att det ska införas fem nya paragrafer, 15–19 §§, och nĂ€rmast före

15 § en ny rubrik av följande lydelse.

Lydelse enligt propositionen Ny Föreslagen lydelse
ordning för att frÀmja god sed och
hantera oredlighet i forskning
(prop. 2018/19:58)

Behandling av personuppgifter

15 §

BestĂ€mmelserna i 18 och 19 §§ tillĂ€mpas vid behandling av personuppgifter som utförs med stöd av denna lag hos de forskningshuvudmĂ€n som avses i 3 § första stycket 3–6.

16 §

BestÀmmelserna i 18 och 19 §§ kompletterar Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

17 §

BestÀmmelser om behandling av personuppgifter finns Àven i lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, hÀr benÀmnd dataskyddslagen, och i föreskrifter som

har meddelats i anslutning till den Prop. 2019/20:7
lagen.   Bilaga 2
18 §    
Personuppgifter som avses i arti-  
kel 9.1 i EU:s dataskyddsförord-  
ning (kÀnsliga personuppgifter) fÄr  
med stöd av artikel 9.2 g i samma  
förordning behandlas om behand-  
lingen Àr nödvÀndig för att fullgöra  
uppgifter enligt denna lag. med  
NÀr uppgifter behandlas  
stöd av första stycket Àr det förbju-  
det att utföra sökningar i syfte att fÄ  
fram ett urval av personer grundat  
pÄ kÀnsliga personuppgifter.    
För sÄdana forskningshuvudmÀn  
som avses i 3 § första stycket 3–6  
och i vars verksamhet bestÀmmel-  
serna om allmÀnna handlingar och  
sekretess i tryckfrihetsförordningen  
och offentlighets- och sekretessla-  
gen (2009:400) gÀller, finns det  
Àven bestÀmmelser om behandling  
av kÀnsliga personuppgifter och  

om sökbegrÀnsningar i dataskyddslagen.

19 §

Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning fÄr behandlas om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt denna lag.

För sĂ„dana forskningshuvudmĂ€n som avses i 3 § första stycket 3–6 och för vilkas arkiv föreskrifter om arkiv gĂ€ller finns det Ă€ven bestĂ€mmelser i dataskyddslagen om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.

69

Prop. 2019/20:7

Bilaga 3

70

Förteckning över remissinstanserna

Remissvar har lĂ€mnats av Arbetsgivarverket, Blekinge tekniska högskola, Brottsförebyggande rĂ„det, Chalmers tekniska högskola AB, Datainspektionen, Domstolsverket, Etikprövningsmyndigheten, ForskningsrĂ„det för hĂ€lsa, arbetsliv och vĂ€lfĂ€rd, ForskningsrĂ„det för miljö, areella nĂ€ringar och samhĂ€llsbyggande, Försvarshögskolan, FörvaltningsrĂ€tten i Stockholm, Gymnastik- och idrottshögskolan, Göteborgs universitet, Högskolan Da- larna, Högskolan i BorĂ„s, Högskolan i GĂ€vle, Högskolan i Halmstad, Högskolan i Skövde, Högskolan Kristianstad, Högskolan VĂ€st, Inspektionen för vĂ„rd och omsorg, Institutet för sprĂ„k och folkminnen, Justitiekanslern, Jönköpings lĂ€ns landsting, KammarrĂ€tten i Jönköping, Karlstads universitet, Karolinska institutet, Kungl. Musikhögskolan i Stockholm, Kungl. Tekniska högskolan, Kungl. Vitterhets Historie och Antikvitets Akademien, Linköpings universitet, LinnĂ©universitetet, Livsmedelsverket, LuleĂ„ kommun, LuleĂ„ tekniska universitet, Lunds universitet, LĂ€kemedelsindustriföreningen, Malmö tingsrĂ€tt, Malmö universitet, Mittuniversitetet, Na- turhistoriska riksmuseet, NaturvĂ„rdsverket, Polismyndigheten, RiksantikvarieĂ€mbetet, Riksarkivet, RISE Research Institutes of Sweden AB, Rymdstyrelsen, SkĂ„ne lĂ€ns landsting, Socialstyrelsen, Sophiahemmet, Ideell förening, Statens ansvarsnĂ€mnd, Statens energimyndighet, Statens veterinĂ€rmedicinska anstalt, Statskontoret, Stiftelsen Högskolan i Jönköping, Stockholms kommun, Stockholms lĂ€ns landsting, Svea hovrĂ€tt, Svenska LĂ€karesĂ€llskapet, Svenskt NĂ€ringsliv, Sveriges geologiska undersökning, Sveriges Kommuner och Landsting, Sveriges lantbruksuniversitet, Sveriges meteorologiska och hydrologiska institut, Södertörns högskola, Totalförsvarets forskningsinstitut, Trafikverket, UmeĂ„ universitet, UniversitetskanslersĂ€mbetet, Uppsala universitet, Verket för innovationssystem, VetenskapsrĂ„det, VĂ€rmlands lĂ€ns landsting, VĂ€sternorrlands lĂ€ns landsting, Örebro lĂ€ns landsting, Örebro universitet, Östergötlands lĂ€ns landsting, ÖverklagandenĂ€mnden för etikprövning och ÖverklagandenĂ€mnden för högskolan.

Följande remissinstanser har avstÄtt frÄn att lÀmna synpunkter pÄ förslagen i promemorian eller har inte svarat pÄ remissen: Ericsson Research, Ersta Sköndal högskola AB, Filipstads kommun, Försvarets materielverk, Försvarsmakten, Göteborgs kommun, Handelshögskolan i Stockholm, Institutet för rymdfysik, KK-stiftelsen, Konstfack, Kungl. Ingenjörsvetenskapsakademien, Kungl. Konsthögskolan, Kungl. Skogs- och Lantbruksakademien, Kungl. Vetenskapsakademien, Landsorganisationen i Sverige, Linköpings kommun, Ljungby kommun, LÀkemedelsverket, Malmö kommun, MÀlardalens högskola, RegelrÄdet, Riksbanken, Riksdagens ombudsmÀn, Riksrevisionen, Skövde kommun, Statens beredning för medicinsk och social utvÀrdering, Statens medicinsk-etiska rÄd, Statens vÀg- och transportforskningsinstitut, Stiftelsen för miljöstrategisk forskning, Stiftelsen för strategisk forskning, Stiftelsen Rödakorshemmet, Stockholms konstnÀrliga högskola, Stockholms universitet, Sundsvalls kommun, Sveriges akademikers centralorganisation, Sveriges universitets- och högskoleförbund, TjÀnstemÀnnens Centralorganisation, Uppsala kommun, Uppsala lÀns landsting, Wallenberg Foundations AB, VÀsterbottens lÀns landsting och VÀstra Götalands lÀns landsting.

LagrÄdsremissens lagförslag Prop. 2019/20:7
   
    Bilaga 4
Förslag till lag om Àndring i lagen (2019:504) om  
ansvar för god forskningssed och prövning av oredlighet  
i forskning    
HÀrigenom föreskrivs i frÄga om lagen (2019:000) om ansvar för god  
forskningssed och prövning av oredlighet i forskning  
dels att nuvarande 15 § ska betecknas 21 §,  
dels att 3 § ska ha följande lydelse,    
dels att rubriken nÀrmast före 15 § ska sÀttas nÀrmast före den nya 21 §,  
dels att det ska införas sex nya paragrafer, 15–20 §§, och nĂ€rmast före  
15 § en ny rubrik av följande lydelse.    
Lydelse enligt SFS 2019:504 Föreslagen lydelse  

3 §

Denna lag tillÀmpas pÄ forskning som utförs av

1.universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434),

2.andra statliga myndigheter,

3.staten i form av aktiebolag, om bolagets verksamhet Àr reglerad i lag eller nÄgon annan författning eller om staten som Àgare eller genom tillskott av statliga anslagsmedel eller genom avtal eller pÄ nÄgot annat sÀtt har ett bestÀmmande inflytande över verksamheten,

4.staten i form av stiftelse, om stiftelsens verksamhet Àr reglerad i lag eller nÄgon annan författning eller om stiftelsen Àr bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,

5. kommuner och landsting, eller 5. kommuner och landsting,
av aktiebolag, handelsbolag, eko- 6. aktiebolag, handelsbolag, eko-
nomiska föreningar och stiftelser nomiska föreningar och stiftelser
dÀr kommuner eller landsting utö- dÀr kommuner eller landsting utö-
var ett rÀttsligt bestÀmmande infly- var ett rÀttsligt bestÀmmande infly-
tande, och tande, och
6. enskilda utbildningsanordnare 7. enskilda utbildningsanordnare
som har tillstÄnd att utfÀrda exami- som har tillstÄnd att utfÀrda exami-
na enligt lagen (1993:792) om till- na enligt lagen (1993:792) om till-
stÄnd att utfÀrda vissa examina. stÄnd att utfÀrda vissa examina.

Regeringen fÄr meddela föreskrifter om undantag frÄn lagens tillÀmpningsomrÄde för forskningshuvudmÀn som bedriver forskning inom det försvars- och sÀkerhetspolitiska omrÄdet. Regeringen fÄr ocksÄ besluta om sÄdana undantag i enskilda fall.

71

Prop. 2019/20:7

Bilaga 4

72

Behandling av personuppgifter

15 §

BestĂ€mmelserna i 17–20 §§ kompletterar Europaparlamentets och rĂ„dets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pĂ„ behandling av personuppgifter och om det fria flödet av sĂ„dana uppgifter och om upphĂ€vande av direktiv 95/46/EG (allmĂ€n dataskyddsförordning), hĂ€r benĂ€mnd EU:s dataskyddsförordning.

16 §

Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, hÀr benÀmnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

17 §

Artikel 13.3 i EU:s dataskyddsförordning om informationsskyldighet för den personuppgiftsansvarige gÀller inte nÀr en forskningshuvudman som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.

18 §

BestÀmmelsen i 3 kap. 3 § andra stycket dataskyddslagen om sökförbud i frÄga om kÀnsliga personuppgifter gÀller inte nÀr nÀmnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.

19 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr med stöd av artikel 9.2 g i samma

förordning behandlas av de forskningshuvudmÀn som avses i 3 § första stycket 3, 4, 6 och 7 om behandlingen Àr nödvÀndig för att fullgöra uppgifter enligt denna lag.

För sÄdana forskningshuvudmÀn som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestÀmmelserna om allmÀnna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gÀller, finns det Àven bestÀmmelser om behandling av kÀnsliga personuppgifter i dataskyddslagen.

20 §

Personuppgifter som behandlas av nÀmnden enbart för att fullgöra uppgifter enligt denna lag fÄr anvÀndas för att vidta ÄtgÀrder i frÄga om den registrerade endast om det finns synnerliga skÀl med hÀnsyn till den registrerades vitala intressen.

Prop. 2019/20:7

Bilaga 4

73

Prop. 2019/20:7

Bilaga 5

74

LagrÄdets yttrande

Utdrag ur protokoll vid sammantrÀde 2019-08-27

NÀrvarande: F.d. justitierÄden Eskil Nord och Lena Moore samt justitierÄdet Dag Mattsson

Behandling av personuppgifter vid hantering av oredlighet i forskning

Enligt en lagrÄdsremiss den 18 juli 2019 har regeringen (Utbildningsdepartementet) beslutat inhÀmta LagrÄdets yttrande över förslag till lag om Àndring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning.

Förslaget har inför LagrĂ„det föredragits av kanslirĂ„det Magnus Granlund, bitrĂ€dd av Ă€mnesrĂ„det Carolina Östgren.

LagrÄdet lÀmnar förslaget utan erinran.

Utbildningsdepartementet

Utdrag ur protokoll vid regeringssammantrÀde den 12 september 2019

NÀrvarande: statsminister Löfven, ordförande, och statsrÄden Lövin, Baylan, Hallengren, Andersson, Bolund, Shekarabi, Ygeman, Eriksson, Ekström, Nilsson, Lindhagen, Hallberg, Nordmark

Föredragande: statsrÄdet Ekström

Regeringen beslutar proposition Behandling av personuppgifter vid hantering av oredlighet i forskning

Prop. 2019/20:7

75