Dir. 2016:65

Personuppgiftsbehandling för forskningsändamål

Kommittédirektiv

Personuppgiftsbehandling för forskningsändamål

Beslut vid regeringssammanträde den 7 juli 2016

Sammanfattning

Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå anpassningar och kompletterande författningsbestämmelser på generell svensk nivå. En särskild utredare får nu i uppdrag att föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter.

Utredaren ska bl.a.

  • analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå,
  • analysera vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras,
  • i ett första skede analysera vilka anpassningar som behöver göras av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas och i ett andra skede föreslå långsiktiga regleringar av forskningsdatabaser, och
  • lämna de författningsförslag som behövs. Uppdragen i de två första punkterna och uppdraget att analysera vilka anpassningar som behöver göras av de i tredje punkten nämnda lagarna inför att dataskyddsförordningen ska börja tillämpas och förslag till behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.

Nuvarande regleringar av betydelse för behandling av personuppgifter för forskningsändamål

EU:s dataskyddsdirektiv och personuppgiftslagen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

PUL följer i princip dataskyddsdirektivets struktur och innehåller i likhet med direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Ett av de grundläggande kraven för behandling av personuppgifter är enligt 10 § d PUL att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En viktig princip som framgår av andra stycket i denna paragraf är emellertid att behandling av personuppgifter för historiska, statistiska eller vetenskapliga

ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in.

PUL är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning.

Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling

Enligt regeringsformen (RF) är var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.

Etikprövningslagen och dess förhållande till personuppgiftslagen

För forskning som utförs i Sverige och som avser människor krävs normalt etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor och om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1§). Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL (3 §). Lagen ska därutöver tillämpas bl.a. på forskning som avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa och forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som

har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Den forskning som lagen omfattar får utföras bara om den har godkänts vid en etikprövning. Forskning får godkännas bara om de risker som den kan medföra för försökspersonernas hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 §). Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

I samband med att etikprövningslagen trädde i kraft 1 januari 2004 anpassades regleringen av behandling av känsliga personuppgifter för forskningsändamål i PUL till regleringen i etikprövningslagen. Enligt 19 § PUL får känsliga personuppgifter, t.ex. uppgifter som rör hälsa, behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. Detsamma gäller enligt 21 § uppgifter om lagöverträdelser och liknande uppgifter. En behandling av personuppgifter som inte omfattas av nämnda bestämmelser kräver således inte något godkännande enligt etikprövningslagen, men bestämmelserna i PUL gäller för behandlingen.

EU:s dataskyddsförordning

Europaparlamentet och rådet har under våren 2016 antagit en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen, nedan kallad dataskyddsförordningen, ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Den både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgifts-

behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.

Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Genom förordningen upphävs det nu gällande dataskyddsdirektivet med verkan från den 25 maj 2018, vilket innebär bl.a. att PUL måste upphävas.

En särskild utredare fick den 25 februari 2016 regeringens (Justitiedepartementets) uppdrag att bl.a. föreslå de anpassningar och kompletterande författningsbestämmelser på generell svensk nivå som dataskyddsförordningen ger anledning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utredningens uppdrag att analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen samt analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.

Uppdraget att undersöka vilken nationell kompletterande reglering av behandling av personuppgifter för forskningsändamål som kan behövas

Vissa bestämmelser i dataskyddsförordningen berör särskilt förutsättningarna för att behandla personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål. Artikel 5 med principer för behandling av personuppgifter, artikel 6 om när behandling av personuppgifter är laglig, artikel 9 med reglering av behandling av särskilda kategorier av personuppgifter, artikel 12–20 om den registrerades rättigheter och artikel 89 med särskilda bestämmelser för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål är särskilt viktiga.

Med behandling av personuppgifter för forskningsändamål avses nedan behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål, vilka är de begrepp som används i dataskyddsförordningen.

Vilken särskild rättslig reglering behövs för personuppgiftsbehandling för forskningsändamål?

När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter för forskningsändamål huvudsakligen att vara antingen att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål enligt artikel 6.1(a) eller att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1(e).

När det gäller samtycke kan det behöva analyseras vilka slutsatser som bör dras av det som anges i beaktandesats 43 i dataskyddsförordningen. Där anges att för att säkerställa att ett samtycke lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansva- rige är en offentlig myndighet och det därför är osannolikt att samtycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

Artikel 6.2 ger medlemsländerna rätt att i nationell rätt behålla eller införa specifika bestämmelser för att anpassa tillämpningen av bestämmelserna för att efterleva bl.a. artikel 6.1(e), dvs. den bestämmelse som anger att personuppgifter får behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Medlemsländerna får närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, bl.a. för behandling av personuppgifter för forskningsändamål.

Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i bl.a. artikel 6.1 (e) fastställas i unionsrätten eller en medlemsstats nationella rätt. Denna rättsliga grund kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling av uppgifter, vilken typ av uppgifter som ska behandlas, berörda registrerade, till vilka uppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer vid behandling enligt kapitel IX (bl.a. forskningsändamål). Den nationella lagstiftningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I dag sker behandling av personuppgifter för forskningsändamål med stöd av bestämmelser i PUL. När personuppgifter behandlas för forskningsändamål sker det normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d i PUL. Denna paragraf i PUL motsvaras av artikel 6.1(e) i dataskyddsförordningen. Artikel 6.3 anger att grunden för behandling av personuppgifter enligt bl.a. 6.1(e) ska fastställs i unionsrätten eller en medlemsstats nationella rätt. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs

behandling av personuppgifter och lämna behövliga och lämpliga författningsförslag. När det gäller behandling av personuppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.

Utredaren ska därför

  • undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, och
  • lämna de författningsförslag som behövs.

Vilket behov av skyddsåtgärder finns vid personbehandling för forskningsändamål?

I och med att dataskyddsförordningen träder i kraft kommer ett krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter att gälla enligt artikel 89.1. Skyddsåtgärderna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, dvs. behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ändamålen med behandlingen kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Det krävs därför en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan exem-

pelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.

Det finns anledning att i detta sammanhang överväga om etikprövning av forskning liksom i dag enbart ska tillämpas på forskning som innefattar behandling av sådana personuppgifter som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål. Om etikprövning även fortsättningsvis ska göras enbart när forskningen innefattar sådana personuppgifter som omfattas av ett särskilda skyddsregler i förhållande till andra personuppgifter i dataskyddsregleringen, behöver det övervägas om andra lämpliga skyddsåtgärder ska tillämpas när det är fråga om behandling av andra personuppgifter för forskningsändamål. Utredarens ställningstagande i dessa frågor kan medföra behov av ändringar i etikprövningslagen. Ett alternativ är att reglera frågorna i en annan författning som kompletterar bestämmelserna i dataskyddsförordningen och den nationella reglering på nationell nivå som Dataskyddsutredningen ska föreslå.

Det behöver också analyseras vilka andra ändringar som behöver göras i etikprövningslagen med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.

Utredaren ska därför

  • lämna förslag på sådana lämpliga skyddsåtgärder för den registrerades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av,
  • överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av etikprövningslagen,
  • se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering Dataskyddsutredningen ska föreslå, och
  • lämna behövliga författningsförslag.

Närmare om känsliga personuppgifter och uppgifter om lagöverträdelser

Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används begreppet känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Förbudet är förenat med en rad viktiga undantag som fastställs i artikel 9.2–9.5. Enligt artikel 9.2 (j) i dataskyddsförordningen gäller inte förbudet mot behandling av dessa särskilda kategorier av personuppgifter om behandlingen är nödvändig för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 på grundval av unionslagstiftning eller en medlemsstats lagstiftning. Denna lagstiftning ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Som nämnts tidigare finns det i PUL vissa undantagsbestämmelser från förbudet mot att behandla känsliga personuppgifter. Enligt 13 § PUL får känsliga personuppgifter behandlas om den registrerade har lämnat sitt samtycke och enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. I direktiven för Dataskyddsutredningen konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag

som i dag finns i PUL. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.

Även behandling av personuppgifter om lagöverträdelser och liknande uppgifter, som idag regleras i 21 § PUL, kommer enligt art. 10 i dataskyddsförordningen att vara föremål för särskilda begränsningar. Enligt den artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Dataskyddsutredningen har i uppdrag att anlysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.

Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.

Utredaren ska därför

  • analysera om det, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den

registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla, och

  • lämna de författningsförslag som behövs.

Bör det göras undantag från huvudreglerna om den registrerades rättigheter för personuppgiftsbehandling för forskningsändamål?

Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i dataskyddsförordningen i unionslagstiftningen eller medlemsstaternas lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för att sådana lämpliga skyddsåtgärder tillämpas som behandling av personuppgifter för dessa ändamål ska omfattas av enligt första punkten i artikeln. De nämnda artiklarna handlar om den registrerades rätt till tillgång till uppgift om personuppgifter som rör honom eller henne och som behandlas, rätt till rättelse av personuppgifter, rätt till begränsning av behandling av personuppgifter och rätt att göra invändning mot behandling av personuppgifter. Undantag får bara göras i den utsträckning det är sannolikt att de aktuella rättigheterna skulle göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

I direktiven till Dataskyddsutredningen konstateras att behovet av undantag med stöd av artikel 89.2 (vilken i ett utkast till dataskyddsförordningen och i direktiven till Dataskyddsutredningen numrerades 83.2) i stor utsträckning aktualiseras i sektorsspecifik lagstiftning. Samtidigt framhålls att en ändamålsenlig behandling av personuppgifter för bl.a. vetenskapliga och historiska forskningsändamål behöver garanteras, samtidigt som skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten bör enligt direktiven vara att vissa grundläggande bestämmelser, liknande de som finns i personuppgiftslagen, behöver tas in i den generella regleringen som ska komplettera dataskyddsförordningen. Dataskyddsutredningen ska därför analysera vilka övriga kompletterande bestämmelser

om behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål som bör finnas i den generella regleringen och lämna lämpliga författningsförslag.

Det är av stor vikt att bestämmelserna som reglerar behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål ger goda förutsättningar för behandling av personuppgifter för dessa ändamål, samtidigt som behovet av skydd för den registrerades fri- och rättigheter beaktas för att upprätthålla förtroendet för integritetsskyddet i samband med forskning bland dem som ställer upp och deltar i forskningsprojekt. Det behöver mot denna bakgrund analyseras om det utöver den generella reglering på nationell nivå som Dataskyddsutredningen ska föreslå finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål och hur sådana undantag i så fall bör utformas.

Utredaren ska därför

  • analysera om det utöver den generella reglering som Dataskyddsutredningen ska föreslå finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas, och
  • lämna de författningsförslag som behövs.

Uppdraget att föreslå regleringar för forskningsdatabaser

Det behövs bättre förutsättningar för registerbaserad forskning

En särskild utredare fick i januari 2013 i uppdrag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Vid utformningen av förslagen skulle utredaren göra en avvägning mellan forskningens behov av tillgång till uppgifter och den

enskildes rätt till personlig integritet. Utredningen tog sig namnet Registerforskningsutredningen (U 2013:01).

I betänkandet Unik kunskap genom registerforskning (SOU 2014:45) konstaterar utredaren att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Bland dessa kan nämnas lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Dessutom finns det inom vissa myndigheter, t.ex. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och Statistiska Centralbyrån, några databaser som helt eller delvis används för forskning. Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige.

I betänkandet lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen ska ge stöd för statliga universitet eller högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Med forskningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser och för varje databas ska det finnas en särskild förordning som reglerar t.ex. ändamål och innehåll. Utredningens betänkande har remitterats.

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen. Efter förlängning gäller lagen till och med den 31 december 2017. I och med att ny lagreglering med anledning av förevarande utredningsarbete inte

kommer att kunna vara på plats till nämnda datum har regeringen för avsikt att lämna förslag om ytterligare förlängning av lagens giltighetstid.

En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av om förslaget till lag om forskningsdatabaser är förenligt med dataskyddsförordningen och vilka anpassningar av förslaget som kan krävas till förordningen och den generella reglering som Dataskyddsutredningen ska föreslå.

När det gäller registerforskning är beaktandesats 33 i dataskyddsförordningen av intresse. I denna beaktandesats, som infördes med svenskt stöd, konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Den registrerade bör därför kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas, behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till dess att dataskyddsförordningen ska börja tillämpas.

Utredaren ska därför

  • föreslå behövliga anpassningar i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen ska börja tillämpas, och
  • föreslå långsiktiga regleringar av forskningsdatabaser.

Lagen om rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras.

Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §). I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.

I den proposition som ligger till grund för lagen om rättspsykiatriskt forskningsregister uttalade regeringen att behovet av forsknings- och utvecklingsarbete inom rättspsykiatrin är stort. Regeringen konstaterade att det behövs ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är outforskade och kräver grundläggande forskning (prop. 1998/99:72 s. 26 f.).

För att genomföra sådan angelägen forskning på området krävs tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt innehåller rättspsykiatriskt forskningsregister uppgifter av mycket integritetskänslig natur och forskningsbehoven måste hela tiden vägas mot respekten för den enskildes personliga integritet. En utgångspunkt måste vara att endast de uppgifter som är nödvändiga bör få förekomma i ett sådant register och att de endast bör få användas i ett sammanhang som har ett verkligt samhällsintresse.

Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna måste en sådan reglering som det bedöms finnas behov av också vara anpassad till dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå. Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras av lagen om rättspsykiatriskt forskningsregister till dess att dataskyddsförordningen ska börja tillämpas.

Utredaren ska därför

  • undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,
  • föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas,
  • analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och
  • lämna behövliga författningsförslag.

En lag om Nationella biobanksregistret

Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) trädde i kraft 2003. Lagen tillkom för att, med

respekt för den enskilda människans integritet, reglera hanteringen av humanbiologiskt material som tagits från framförallt patienter inom hälso- och sjukvården. Socialstyrelsen har påpekat att biobankslagen är svår att tillämpa och att lagen har lett till ökad administration i den kliniska hälso- och sjukvården. Regeringen har beslutat att biobankslagen ska bli föremål för en genomgripande översyn. Utredningen En ändamålsenlig reglering för biobanker (S 2016:04) har bl.a. i uppdrag att se över biobankslagen och andra angränsande författningar som har betydelse på området. Syftet med utredningen är att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov.

Enligt biobankslagen är en biobank biologiskt material (s.k. vävnadsprover) från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör. De personuppgifter som är kopplade till vävnadsproverna i en biobank ingår inte i begreppet biobank och omfattas som huvudregel inte av lagen. Regleringen i denna del finns främst i PUL och i patientdatalagen (2008:355).

Svenska biobanksregistret är landstingens gemensamma register över sparade vävnadsprover tagna inom vården. Registret som sedan 2009 förvaltas av ett landstingsägt bolag är fortfarande i en uppbyggnadsfas. Syftet med registret är att underlätta administration såsom hantering av provgivares samtycken och spårbarhet av prover. För att skapa ett nationellt register som kan nyttjas för de tänkta syftena krävs särskild rättslig reglering.

I Registerforskningsutredningens betänkande föreslogs att Socialstyrelsen ska vara personuppgiftsansvarig för Svenska biobanksregistret och att det ska regleras i en särskild lag, lagen om Nationella biobanksregistret. Lagförslaget innehåller bl.a. bestämmelser om förhållandet till PUL, den registrerades inställning till personuppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den registrerade. Enligt förslaget ska

det vara frivilligt för vårdgivare att lämna uppgifter till registret, men ett krav på registrering bör införas på sikt. Vidare föreslog utredaren att det bör finnas en möjlighet för andra huvudmän än vårdgivare att registrera sina uppgifter i det nationella registret.

Utredningen bedömde dock att frågan om hur ett krav på uppgiftslämnande för vårdgivare och frågan om de närmare förutsättningarna för att andra biobanker ska kunna registrera uppgifter i registret behöver utredas närmare. Dessa frågor ingår i uppdraget för utredningen En ändamålsenlig reglering för biobanker (S 2016:04).

En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av vilka anpassningar av förslaget som kan krävas till dataskyddsförordningen och den kompletterande generella reglering som Dataskyddsutredningen ska föreslå.

Utredaren ska därför

  • lämna förslag till en reglering av Nationella biobanksregistret.

Uppdraget att analysera om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning

Etikprövningslagen blir i vissa fall tillämplig när forskningen rör avlidna personer. Lagen är bl.a. tillämplig på forskning som innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Då uppgifter om avlidna personer behandlas för forskningsändamål kan forskningen i vissa fall behöva prövas enligt etikprövningslagen. Enligt 3 § PUL avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt PUL. Om sådana uppgifter direkt eller indirekt kan hänföras till levande personer är dock PUL tillämplig. Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna

får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer.

I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna, exempelvis patientdatalagen (2008:355) och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I den tidigare nämnda rapporten från RMV anser myndigheten att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Det kan därför vara lämpligt att närmare undersöka om vissa uppgifter om avlidna behöver ett särskilt skydd när uppgifterna behandlas inom ramen för forensisk forskning.

Utredaren ska

  • kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,
  • analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och
  • vid behov föreslå de författningsändringar som behövs.

Uppdraget att se över förfarandereglerna i etikprövningslagen

I Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45) föreslogs en möjlighet till enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndighetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. Dessa skulle enligt förslaget kunna behandlas betydligt enklare eftersom risken för intrång i den enskildes integritet vid denna typ av personuppgiftsbehandling är liten. Det föreslogs att sådana ärendena skulle kunna avgöras av ordföranden ensam utan att behandlas av hela avdelningen. En variant av förslaget skulle kunna vara att ordföranden skulle kunna avgöra sådana ärendena med s.k. pseudonymiserade personuppgifter i samråd med vetenskaplig ledamot.

Som tidigare nämnts ska utredaren överväga om etikprövning av forskning bör utvidgas till att gälla all forskning som

innefattar behandling av personuppgifter. Om utredaren föreslår en utvidgning av etikprövningslagen ska det också beaktas att en sådan utvidgning ökar antalet ärenden hos etikprövningsnämnderna. Det behöver då övervägas hur ärendehanteringen kan ske på ett effektivt sätt och om samma krav på prövningen behöver gälla i alla ärenden. I samband med ställningstagande till frågan om utökning av kravet på etikprövning behöver det därför också analyseras om ändringar behöver göras i bestämmelserna i etikprövningslagen som reglerar handläggningen av ärendena.

Utredaren ska därför

  • analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena,
  • överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och
  • lämna de författningsförslag som behövs.

Konsekvensbeskrivningar

Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer av 1415 a §§kommittéförordningen (1998:1474) ska utredaren redovisa förslagens konsekvenser för den personliga integriteten.

Genomförandet av uppdraget

Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Utredaren ska därför hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, främst Dataskyddsutredningen (Ju

2016:04) och Utredningen om personuppgiftsbehandling inom utbildningsområdet (U 2016:03).

Utredaren ska vidare hålla sig informerad om utredningen En ändamålsenlig reglering för biobanker (S 2016:04), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och Utredningen om en översyn av regelverken för forskningsetik och gränsområdet mellan klinisk forskning och hälso- och sjukvård (U 2016:45).

Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, inhämta upplysningar från Vetenskapsrådet, ett urval av universitet och högskolor, representanter för etikprövningsorganisationerna, RMV, Datainspektionen, SCB och andra relevanta myndigheter och organisationer som kan vara berörda av aktuella frågor.

Redovisning av uppdraget

Uppdraget att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, att analysera vilka anpassningar av etikprövningslagen som behöver göras och att lämna behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Detsamma gäller för uppdraget att föreslå behövliga anpassningar av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.

(Utbildningsdepartementet)