Lag (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Innehåll

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid Myndigheten för arbetsmiljökunskap som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsför-ordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd-ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Medgivande när uppgifter samlas in direkt från den enskilde

5 § Om personuppgifterna samlas in direkt från den enskilde, får de behandlas endast om personen har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål med behandlingen

7 § Personuppgifter får endast behandlas om det är nödvändigt för
1. insamling, sammanställning och spridning av kunskap om arbetsmiljö,
2. utvärdering och analys av statliga reformer och andra statliga initiativ,
3. bevakning och analys av utvecklingen på arbetsmiljöområdet, och
4. forskning som myndigheten får bedriva för att utföra sitt kunskaps-, utvärderings- och analysarbete.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett uppgiftslämnande som sker i överens-stämmelse med lag eller förordning.

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

10 § I myndighetens samlingar av personuppgifter får endast sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning behandlas.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Samlingar av personuppgifter

11 § Myndigheten får ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i sådana samlingar som avses i första stycket får inte behandlas i syfte att röja en persons identitet.

12 § Myndigheten får om det är nödvändigt för ett särskilt projekt även ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som förvaras skilt från uppgifterna och som myndigheten kan hänföra till ett personnummer eller motsvarande identitets- beteckning.

Personuppgifter i samlingar som avses i första stycket får inte sambe-arbetas med varandra. Denna begränsning gäller inte för en sådan sambe-arbetning av personuppgifter som är nödvändig för att myndigheten ska kunna upprepa eller följa upp ett tidigare genomfört projekt.

Tillgång till personuppgifter

13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.