Ds 2023:10

En registerlag för Myndigheten för vård- och omsorgsanalys

1. Sammanfattning

I promemorian föreslås en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys som ska komplettera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Förslaget syftar till att ge myndigheten möjlighet att behandla de personuppgifter som är nödvändiga för att myndigheten ska kunna utföra sitt uppdrag på ett så ändamålsenligt sätt som möjligt samtidigt som enskildas personliga integritet värnas.

Lagen föreslås omfatta behandling av personuppgifter i den del av myndighetens verksamhet som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Den föreslagna lagen innehåller olika begränsningar och skyddsåtgärder som syftar till att värna enskildas personliga integritet. Myndigheten för vård- och omsorgsanalys föreslås som huvudregel endast få behandla personuppgifter i det projekt som uppgifterna har samlats in för. Det föreslås vidare att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska förvaras separat från övriga personuppgifter. Dessutom lämnas förslag till bestämmelser om bl.a. personuppgiftsansvar, sökbegränsningar, den enskildes medgivande till viss behandling och tillgången till personuppgifter.

Lagen föreslås träda i kraft den 1 januari 2025.

2. Författningsförslag

Förslag till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Författningsförslag Ds 2023:10

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

1. denna lag och föreskrifter som har meddelats i anslutning till lagen,

2. EU:s dataskyddsförordning, och

3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Begränsning av rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Personuppgiftsansvar

5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål för behandling av personuppgifter

6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för

1. undersökningar om vårdens och omsorgens funktionssätt,

2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg,

3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller

4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg.

Ds 2023:10 Författningsförslag

Inom ramen för sådana undersökningar och utvärderingar får personuppgifter behandlas för att framställa statistik.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning, om sökningen sker för något av ändamålen i 6 §.

Behandling av personuppgifter i projekt

10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestämda ramar.

11 § Behandling av personuppgifter enligt 6 § ska ske i projekt.

Personuppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.

Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Författningsförslag Ds 2023:10

Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske i projekt.

12 § Innan personuppgifter behandlas i ett projekt ska Myndigheten för vård- och omsorgsanalys fastställa

1. syftet med projektet,

2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) som ska analyseras inom ramen för projektet, och

3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats.

Medgivande till behandling av personuppgifter

13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.

Begränsning av möjligheterna att identifiera den registrerade

14 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Ds 2023:10 Författningsförslag

Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid

Myndigheten för vård- och omsorgsanalys.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1. Denna lag träder i kraft den 1 januari 2025.

2. Bestämmelserna i 11–13 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet.

3. Myndigheten för vård- och omsorgsanalys

3.1. Myndighetens uppdrag

Myndigheten för vård- och omsorgsanalys bildades den 1 januari 2011, då under namnet Myndigheten för vårdanalys. År 2015 utvidgades myndighetens uppdrag till att även omfatta omsorgen. I samband med att uppdraget utvidgades fick myndigheten sitt nuvarande namn.

Enligt 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen, har myndigheten till uppgift att ur ett patient-, brukar- och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Av 2 § instruktionen framgår att myndigheten ska – följa upp och analysera vårdens och omsorgens funktionssätt, – effektivitetsgranska statliga åtaganden och verksamheter, samt – inom sitt verksamhetsområde bistå regeringen med underlag och

rekommendationer för effektivisering av statlig verksamhet och styrning.

Av 3 § instruktionen följer att myndigheten även har till uppgift att – kontinuerligt utvärdera sådan information om vården och om-

sorgen som lämnas till den enskilde, i fråga om informationens innehåll, kvalitet, ändamålsenlighet och tillgänglighet, – på regeringens uppdrag bistå med utvärderingar och uppfölj-

ningar av beslutade eller genomförda statliga reformer och andra statliga initiativ, samt

Myndighetsen för vård- och omsorgsanalys Ds 2023:10

inom sitt verksamhetsområde bedriva omvärldsbevakning och genomföra internationella jämförelser.

Resultatet av sådana analyser, granskningar, uppföljningar och utvärderingar som avses i 1–3 §§ instruktionen ska löpande redovisas till regeringen (12 § instruktionen). Myndigheten ska inkludera ett jämställdhetsperspektiv i sitt arbete där det är möjligt (3 a § instruktionen). Myndigheten ska vidare senast den 1 februari varje år i en särskild analys- och granskningsplan ange vilken huvudsaklig inriktning verksamheten ska ha under året (4 § instruktionen).

Myndigheten leds av en styrelse (5 § instruktionen). Vid myndigheten ska det enligt instruktionen också finnas ett patient- och brukarråd. Rådet ska särskilt identifiera och lämna förslag på lämpliga områden för analys och granskning samt bistå myndigheten i arbetet med att identifiera patienters, brukares och medborgares behov av information. Styrelsen beslutar om övriga uppgifter för rådet (8 § instruktionen).

3.2. Myndighetens arbetssätt

Myndigheten för vård- och omsorgsanalys bedriver huvudsakligen sitt arbete med undersökningar och utvärderingar i projektform. Myndigheten bedriver både egeninitierade projekt och projekt på uppdrag av regeringen. Dessa uppdrag lämnas vanligen i myndighetens regleringsbrev eller i särskilda regeringsbeslut.

Projektens omfattning och längd varierar. I många projekt besvaras vissa specifika frågor vid ett tillfälle, men myndigheten gör också vissa återkommande undersökningar.

Arbetet i projekten bedrivs enligt myndighetens projektstyrningsmodell och inleds med att det tas fram ett projektdirektiv, som beskriver bakgrunden till att en analys bör genomföras, syfte och frågor som ska besvaras. Därefter tas en mer detaljerad projektplan fram, innan arbetet med datainsamling, analys m.m. påbörjas. Projektplanen beskriver bl.a. syfte, mål, frågeställningar, omfattning, avgränsningar, bakgrund, intressenter, samverkan och beroenden i förhållande till andra projekt, metod, datainsamling, aktivitets- och tidsplan, juridiska och etiska aspekter att beakta samt en riskanalys.

Ds 2023:10 Myndighetsen för vård- och omsorgsanalys

För att besvara frågeställningarna i projekten använder myndigheten olika metoder, såväl kvalitativa som kvantitativa. I dag genomförs myndighetens informationsinsamling bl.a. genom dokumentstudier, litteraturstudier, intervjustudier och enkätstudier. Myndigheten använder sig ofta av statistiska metoder för insamling, bearbetning, redovisning och analys.

Myndigheten publicerar sina resultat i rapporter och promemorior. Myndighetens rapporter innehåller slutsatser av det genomförda analysarbetet och vissa övergripande rekommendationer till regeringen, statliga myndigheter, regioner och kommuner.

3.3. Myndighetens nuvarande behandling av personuppgifter

Myndigheten för vård- och omsorgsanalys behandlar ofta personuppgifter i sina projekt. Det är många gånger nödvändigt för att kunna besvara projektets frågeställningar. I ett projekt kan en eller flera behandlingar av personuppgifter utföras, som behandlingar av personuppgifter inom ramen för olika intervju- eller enkätundersökningar. Exempel på kategorier av personuppgifter som behandlas i myndighetens projekt är uppgifter om ålder, kön, bostad, utbildning, ekonomi, vård- och omsorgsinsatser och patienters och brukares upplevelser av vården och omsorgen. Myndigheten behandlar känsliga personuppgifter när den bedömer att det är nödvändigt och möjligt utifrån gällande dataskyddsreglering. Känsliga personuppgifter behandlas efter inhämtande av ett uttryckligt samtycke från den registrerade i enlighet med artikel 9.2 a i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

När personuppgifterna har samlats in ersätts eventuella personnummer eller andra personuppgifter som direkt kan hänföras till registrerade med löpnummer med hjälp av en kodnyckel. Det förekommer inte personnummer eller andra personuppgifter som direkt kan hänföras till registrerade i de datafiler som används inom ett projekt. Endast ett fåtal personer har tillgång till kodnyckeln, som

Myndighetsen för vård- och omsorgsanalys Ds 2023:10

är krypterad och förvaras inlåst. Uppgifterna samlas oftast in av en extern leverantör och kodnyckeln lagras då normalt hos leverantören och lämnas inte över till myndigheten. Särskilda s.k. personuppgiftsbiträdesavtal enligt artikel 28 i EU:s dataskyddsförordning reglerar bl.a. hur länge nycklarna får lagras hos leverantören. De datafiler som myndigheten tar emot och använder i projekten innehåller däremot ofta uppgifter som indirekt kan hänföras till den registrerade, dvs. uppgifter som i kombination med varandra kan användas för att identifiera en person. Personuppgifterna används för bearbetning, analys och kvalitetssäkring, och arkiveras senast när projektet avslutas. Om det skulle visa sig att personuppgifterna är nödvändiga att behandla i ett annat projekt, görs en bedömning av om den nya behandlingen av personuppgifterna är tillåten och förenlig med finalitetsprincipen enligt EU:s dataskyddsförordning och om uppgifterna kan lämnas ut till det andra projektet.

Eftersom det inte finns någon särskild reglering om behandling av personuppgifter vid myndigheten tillämpar myndigheten enbart den allmänna dataskyddsregleringen vid behandling av personuppgifter. Som ett sätt att lösa sina uppgifter när den allmänna dataskyddsregleringen inte tillåter viss behandling av personuppgifter vid myndigheten har det förekommit att myndigheten tagit hjälp av externa forskare vid universitet och högskolor som utför forskning inom de aktuella områdena och dessa har utfört studier åt myndigheten. Forskningen etikprövas då i enlighet med lagen (2003:460) om etikprövning av forskning som avser människor. Det förekommer också att Myndigheten för vård- och omsorgsanalys begär ut avidentifierade uppgifter från exempelvis Socialstyrelsen eller Statistiska centralbyrån som då avidentifierar personuppgifter och sammanställer dessa till statistik, innan de lämnas ut till Myndigheten för vård- och omsorgsanalys.

4. Reglering till skydd för den personliga integriteten

4.1. Allmänt om reglering till skydd för den personliga integriteten

Vid behandling av personuppgifter måste Myndigheten för vård- och omsorgsanalys följa flera regelverk. Dessa regelverk behöver också beaktas vid framtagandet av en lag som reglerar behandling av personuppgifter vid myndigheten. Nedan beskrivs, på ett övergripande sätt, de mest centrala bestämmelserna av relevans för myndighetens verksamhet och förslagen i denna promemoria.

4.2. Europakonventionen

Enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och under förutsättning att det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

När det gäller kravet på reglering i lag krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga.

4 Reglering till skydd för den personliga integriteten Ds 2023:10

I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

Europakonventionen gäller som lag i Sverige. Enligt 2 kap. 19 § regeringsformen, förkortad RF, får lag eller annan föreskrift inte meddelas i strid med Sveriges åtaganden på grund av konventionen.

Även i artikel 17 i FN:s konvention om medborgerliga och politiska rättigheter regleras skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv.

4.3. EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen.

Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). För sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria

Ds 2023:10 4 Reglering till skydd för den personliga integriteten

flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet) gäller exempelvis inte heller EU:s dataskyddsförordning (artikel 2.2 d).

För att en behandling av personuppgifter ska vara tillåten, krävs att någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning är tillämplig. Av särskilt intresse för myndigheters verksamhet är artikel 6.1 c som gäller när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e som gäller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Av artikel 5 framgår ett antal grundläggande principer som gäller för all behandling av personuppgifter. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter, kan dock personuppgifter lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artiklarna 5.1 b och 6.4).

Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.

EU:s dataskyddsförordning både förutsätter och medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan

4 Reglering till skydd för den personliga integriteten Ds 2023:10

behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna får innehålla specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.

Av artikel 6.3 framgår att den rättsliga grunden, vid behandling enligt artikel 6.1 c och e, ska fastställas i unionsrätten eller i nationell rätt. Syftet med behandlingen ska i sin tur fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed samman-

Ds 2023:10 4 Reglering till skydd för den personliga integriteten

hängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).

EU:s dataskyddsförordning föreskriver ett antal rättigheter för den registrerade och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artiklarna 16–18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22).

Vissa av de rättigheter och skyldigheter som föreskrivs i EU:s dataskyddsförordning får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.

Om EU:s dataskyddsförordning föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan göras i medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen

4 Reglering till skydd för den personliga integriteten Ds 2023:10

har gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 2123). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning.

4.4. Regeringsformen

I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i paragrafens fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

4.5. Dataskyddslagen

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut

Ds 2023:10 4 Reglering till skydd för den personliga integriteten

samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.

5. Behovet av en särskild reglering

5.1. Det finns behov av en särskild registerlag

Förslag: Det ska införas en lag om behandling av personuppgifter

vid Myndigheten för vård- och omsorgsanalys.

Skälen för förslaget

Behovet av en särskild reglering har framhållits tidigare

I samband med att Myndigheten för vård- och omsorgsanalys bildades uttalade Organisationskommittén för inrättande av Myndigheten för vårdanalys (S 2010:05) att frågan om myndighetens behov av att behandla personuppgifter krävde författningsändringar som borde utredas särskilt. Kommittén konstaterade i sin promemoria Om personuppgiftsbehandling på Myndigheten för vårdanalys (S2010/05864) att myndigheten i viss utsträckning skulle kunna utföra behandling av känsliga personuppgifter, t.ex. uppgifter om hälsa, med stöd av samtycke eller för statistikändamål. Någon mer omfattande behandling av känsliga personuppgifter kunde enligt kommittén dock inte grundas på de undantag från förbudet att behandla känsliga personuppgifter som fanns i den då gällande dataskyddsregleringen. Organisationskommittén ansåg att myndigheten borde ges utökade möjligheter att behandla personuppgifter för att kunna genomföra fler typer av analyser och därmed få fram ytterligare resultat. Det bedömdes finnas ett behov av en särskild författningsreglering om myndigheten skulle tillåtas behandla känsliga personuppgifter, eftersom man antog att myndigheten skulle behöva behandla integritetskänsliga personuppgifter om många personer utan deras samtycke.

5 Behovet av en särskild reglering Ds 2023:10

Myndigheten för vård- och omsorgsanalys har därefter vid flera tillfällen, bl.a. i ett antal remissvar, framhållit behovet av författningsstöd som möjliggör sådan behandling av personuppgifter som behövs i dess kärnverksamhet.

År 2017 fick Socialdataskyddsutredningen i uppdrag att se över frågan om särskild författning med bestämmelser om personuppgiftsbehandling för Myndigheten för vård- och omsorgsanalys (dir. 2017:67). Socialdataskyddsutredningen bedömde att det behövdes en särskild reglering och föreslog en ny lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52). Enligt utredningen har myndigheten i en del fall behov av att behandla personuppgifter på så sätt att behandlingen innebär ett betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen, förkortad RF. För sådan behandling krävs det lagstöd enligt 2 kap. 20 § RF. Utredningen bedömde dessutom att behandling av personuppgifter vid myndighetens analysverksamhet faller under den överenskommelse som finns mellan riksdag och regering om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (SOU 2018:52 s. 145, 146, 206 och 250). Mot den bakgrunden, och eftersom behandlingen bör kringgärdas av mer specifika restriktioner och skyddsåtgärder än vad som följer av den allmänna regleringen, bedömde utredningen att behandlingen bör regleras i en särskild lag. Med en särskild lagreglering skulle det enligt utredningen bli tydligt under vilka förutsättningar myndigheten får behandla personuppgifter (SOU 2018:52 s. 146).

Socialdataskyddsutredningens betänkande remitterades och Integritetsskyddsmyndigheten (tidigare Datainspektionen) angav i sitt remissvar att det behövs kompletterande nationell reglering för Myndigheten för vård- och omsorgsanalys personuppgiftsbehandling, men tillstyrkte inte lagförslaget så som det var utformat.

Myndigheten behöver behandla personuppgifter för att kunna utföra undersökningar och utvärderingar i enlighet med sitt uppdrag

Myndigheten för vård- och omsorgsanalys kan, i vissa fall, uppfylla sitt uppdrag utan att behandla personuppgifter. Myndigheten kan t.ex. undersöka om verksamheten hos andra myndigheter är ändamålsenligt utformad genom att studera styrdokument, årsredovis-

Ds 2023:10 5 Behovet av en särskild reglering

ningar och annat offentligt material. Myndigheten kan även utvärdera offentliggjord information som riktar sig till patienter och brukare. Myndigheten kan också i viss mån använda statistiska uppgifter, som inte innehåller personuppgifter, som någon annan aktör tar fram.

I de flesta fall är det dock nödvändigt för myndigheten att behandla personuppgifter för att kunna utföra de undersökningar och utvärderingar som myndigheten ska göra enligt sitt uppdrag i förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen. Med hjälp av personuppgifter kan myndigheten inhämta mer fördjupad kunskap än genom styrdokument, rapporter och avidentifierad statistik. Det innebär att andra, mer fördjupande och användbara resultat kan presenteras, att mer precisa slutsatser kan dras och att mer konkreta rekommendationer kan lämnas i myndighetens rapporter.

Personuppgiftsbehandling är också nödvändig för att myndigheten ska kunna säkra kvaliteten i sina analyser. Om en annan aktör utför bearbetningen av uppgifterna, som bl.a. är fallet när Socialstyrelsen eller Statistiska centralbyrån avidentifierar uppgifter och sammanställer statistik åt Myndigheten för vård- och omsorgsanalys (se avsnitt 3.3), är det svårt för myndigheten själv att kvalitetssäkra statistiken. I analyser som bygger på stora mängder datamaterial är det svårt för Myndigheten för vård- och omsorgsanalys att få en tillräcklig kännedom och förståelse för datamaterialet, resultaten, den osäkerhet som kan finnas i olika moment och hur analysen har genomförts om en annan aktör bearbetar uppgifterna. En sådan kännedom och förståelse är dock betydande för att myndigheten ska kunna utföra analyser av god kvalitet.

Vilka personuppgifter behöver myndigheten behandla?

Myndigheten för vård- och omsorgsanalys har ett brett uppdrag och det är därför svårt att närmare fastställa vilka personuppgifter myndigheten behöver behandla innan en projektplan har tagits fram i varje enskilt fall. Generellt kan det dock sägas att myndigheten många gånger behöver behandla demografiska uppgifter om t.ex. ålder, kön, bostad och familj för att t.ex. kunna belysa skillnader mellan olika grupper och förstå om en viss statlig satsning varit

5 Behovet av en särskild reglering Ds 2023:10

effektiv. Av samma skäl finns det behov av att behandla socioekonomiska uppgifter om t.ex. utbildning, ekonomi och sysselsättning. Vidare kan uppgifter om socialförsäkringsförmåner behövas, t.ex. för att kunna se samband mellan vård, omsorg och socialförsäkring. Även kontaktuppgifter behöver i vissa fall behandlas för att kunna kontakta enskilda i samband med intervjuer eller enkätundersökningar. I vissa fall behöver även personnummer behandlas. Som anges i avsnitt 3.3 behandlas dessa typer av personuppgifter redan i dag i viss utsträckning. Myndigheten har också behov av att behandla känsliga personuppgifter, t.ex. uppgifter om hälsa, vilket beskrivs närmare i avsnitt 6.7. Som anges i avsnitt 3.3 behandlas känsliga personuppgifter i dag endast efter inhämtande av ett uttryckligt samtycke från den enskilde.

Eftersom myndigheten enligt sin instruktion ska följa upp och analysera verksamheter och förhållanden ur ett patient-, brukar- och medborgarperspektiv kan de uppgifter som myndigheten behöver behandla avse olika patient- och brukargrupper, men också medborgare i allmänhet. Dessutom behöver myndigheten behandla vissa uppgifter om exempelvis chefer och personal inom vård och omsorg och företrädare för vissa organisationer.

Myndigheten kan behöva samla in personuppgifter direkt från de enskilda själva, detta görs då genom intervjuer, enkäter och kontakter på andra sätt. Ett sådant arbetssätt kan vara relevant när myndigheten ska undersöka breda populationers uppfattning om något som de flesta har erfarenhet av. Myndigheten arbetar redan i dag på detta sätt.

I många fall skulle Myndigheten för vård- och omsorgsanlys dock även behöva ta del av personuppgifter som samlats in av andra aktörer. Det handlar främst om uppgifter som finns i register hos exempelvis Socialstyrelsen, Statistiska centralbyrån, vissa andra statliga myndigheter, kommuner och regioner för att göra registerstudier. Det kan även vara fråga om vissa uppgifter som finns hos Sveriges kommuner och regioner. Uppgifter som Myndigheten för vård- och omsorgsanalys har behov av från sådana register är t.ex. uppgifter om hälsa, socioekonomiska uppgifter och uppgifter om väntetider i hälso- och sjukvården. De register som innehåller uppgifter som myndigheten kan behöva ta del av är t.ex. hälsodataregistren vid Socialstyrelsen, som t.ex. patientregistret och registret över insatser i kommunal hälso- och sjukvård, registret över

Ds 2023:10 5 Behovet av en särskild reglering

totalbefolkningen vid Statistiska centralbyrån och väntetidsdatabasen vid Sveriges kommuner och regioner. Fördelar med att ta del av personuppgifter som redan har samlats in av andra aktörer är bl.a. den kostnadsbesparing som det innebär att undvika att flera aktörer samlar in samma uppgifter och den minskade bördan för de registrerade, som inte behöver lämna samma uppgifter till olika aktörer.

När det gäller insamling av uppgifter från andra än den enskilde själv har myndigheten, utöver uppgifter i register, i vissa fall ett behov av att samla in personuppgifter som finns i patientjournaler och personakter hos kommuner, regioner och privata utförare inom vården och omsorgen för att göra journal- och aktstudier. I sådana journaler och akter kan det finnas uppgifter om hälsa, vård- och omsorgsbehov, insatser och resultat av vården och omsorgen som Myndigheten för vård- och omsorgsanalys kan behöva ta del av och analysera för att kunna utföra vissa projekt på ett bra sätt. Flera delar av vården och omsorgen omfattas i dag inte av någon nationell uppföljning i register. Det saknas exempelvis till stora delar statistik på nationell nivå på socialtjänstens område, vilket bl.a. konstaterats av utredningen Framtidens socialtjänst i betänkandet Hållbar socialtjänst – En ny socialtjänstlag (SOU 2020:47 s. 501, 502 och 597607). Samtidigt finns det ett stort behov av kunskapsunderlag, utvärderingar och uppföljningar på socialtjänstens område för att säkerställa att socialtjänstens arbete bygger på relevant kunskap och leder till avsedda effekter. Även delar av hälso- och sjukvårdens och tandvårdens verksamhet saknar statistik på nationell nivå, bl.a. när det gäller primärvården.

Det finns förslag på att utöka registerdata till att täcka fler delar av omsorgen. I betänkandet Hållbar socialtjänst – En ny socialtjänstlag har det lämnats förslag till en lag om socialtjänstdataregister vid Socialstyrelsen (SOU 2020:47 s. 131134). Betänkandet bereds för närvarande i Regeringskansliet. En särskild utredare ska också analysera regelverket för hälsodataregister för att åstadkomma bättre förutsättningar för uppföljning av hälso- och sjukvården (dir. 2023:48). Det kommer dock alltid att finnas vissa uppgifter som inte går att inkludera i registeruppföljningen eller vissa aspekter av vården och omsorgen som inte kan fångas på ett tillfredställande sätt utan att journaler och personakter studeras. Genom att samla in journaler och personakter kan Myndigheten för vård- och

5 Behovet av en särskild reglering Ds 2023:10

omsorgsanalys alltså bidra till att skapa kunskap om vården och omsorgen.

Myndigheten för vård- och omsorganalys har vid några tillfällen anlitat forskare för att studera vissa frågor baserat på dokumentation från omsorgen i enskilda ärenden (se Ljuset på skillnader – En studie om omotiverade skillnader i LSS-verksamhet, äldreomsorg och socialpsykiatri [rapport 2022:6] och Lika läge för alla? – Om omotiverade skillnader inom den sociala barn- och ungdomsvården [rapport 2018:10]). Samtidigt bedömer myndigheten att arbetet hade kunnat utföras på ett mer tids- och resurseffektivt sätt om myndigheten själv hade utfört det.

Personuppgifter som har samlats in av andra aktörer och som myndigheten behöver behandla finns också i exempelvis artiklar, rapporter, litteratur och vissa verksamhetssystem hos huvudmän och utförare inom vården och omsorgen.

Myndigheten har i många fall endast behov av personuppgifter som inte är direkt hänförliga till enskilda, t.ex. i form av uppgifter från register som är kopplade till löpnummer. Myndigheten kan dock i vissa fall behöva direkta identifikatorer, som personnummer eller kontaktuppgifter. Det behövs bl.a. för att möjliggöra sambearbetning av uppgifter som inhämtas från olika källor. Behov av sambearbetning finns t.ex. för att analysera uppgifter om utbildningsnivå från Statistiska centralbyrån tillsammans med uppgifter om vårdåtgärd från Socialstyrelsen, i syfte att belysa eventuella skillnader i vården mellan patienter med olika utbildningsnivå. Direkt hänförliga uppgifter kan också behövas i de fall myndigheten behöver ha kontakter direkt med enskilda, t.ex. vid intervju- eller enkätundersökningar. Dessutom kan det i journaler från vården och personakter från omsorgen finnas olika typer av uppgifter som är svåra att förutse på förhand, däribland personuppgifter som är direkt hänförliga till enskilda.

Det behövs en särskild reglering av behandling av personuppgifter vid myndigheten

I dag behandlas personuppgifter i myndighetens kärnverksamhet med stöd av de generella reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om

Ds 2023:10 5 Behovet av en särskild reglering

det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen.

Myndigheten för vård- och omsorgsanalys bedöms ha begränsade möjligheter att behandla personuppgifter, särskilt känsliga personuppgifter, på det sätt som myndigheten har behov av och som beskrivs ovan med stöd av den generella dataskyddsregleringen. Det bedöms inte heller stå helt klart hur myndigheten får behandla känsliga personuppgifter (se avsnitt 6.7). Det finns därmed behov av en reglering som utformas efter myndighetens behov och som ger tydliga förutsättningar för myndighetens behandling av personuppgifter. Ett sådant stöd skulle förbättra myndighetens förutsättningar att på ett effektivt sätt och med hög kvalitet fullgöra sitt uppdrag.

Ett anpassat och tydligt stöd för behandling av känsliga personuppgifter skapar förutsättningar för myndigheten att behandla personuppgifter på nya sätt i förhållande till i dag, exempelvis genom att utföra register-, akt- och journalstudier. Detta skulle förbättra myndighetens möjligheter att utföra sitt uppdrag på ett ändamålsenligt sätt. Genom att behandla personuppgifter i sådana studier kan myndigheten presentera andra, mer fördjupande och användbara resultat. Det skulle också bidra till ett ökat oberoende i myndighetens arbete, eftersom en del av den information som myndigheten behöver samla in finns hos sådana aktörer som myndigheten har i uppdrag att undersöka och utvärdera. Om myndigheten förlitar sig på sammanställningar och bearbetningar som sådana aktörer gör, i stället för att få tillgång till grundmaterialet, begränsas myndighetens möjligheter att utföra sitt uppdrag på ett oberoende sätt.

Det finns även av effektivitetsskäl behov av ett anpassat och tydligt stöd för myndighetens behandling av personuppgifter. Det finns en risk för att vissa projekt inte kan genomföras över huvud taget eller att det tar alltför lång tid att genomföra dem om myndigheten måste förlita sig på att andra aktörer ska avsätta resurser för att sammanställa och avidentifiera personuppgifter så att de inte längre utgör personuppgifter. Som framgår av avsnitt 3.3 har det också förekommit att myndigheten har anlitat externa forskare för att besvara vissa frågeställningar som kräver sådan personupp-

5 Behovet av en särskild reglering Ds 2023:10

giftsbehandling som myndigheten har bedömt att den inte får göra, vilket har inneburit en större kostnad och tidsåtgång än om myndigheten själv hade genomfört analysen.

Ett ytterligare ett skäl till att det behövs en särskild reglering av myndighetens personuppgiftsbehandling är att det generella regelverket inte föreskriver några anpassade skyddsåtgärder för den stora mängden integritetskänsliga personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla. Det bedöms finnas ett behov av ett mer anpassat skydd med bestämmelser som anger under vilka förutsättningar det är tillåtet att behandla personuppgifter i den aktuella verksamheten. Myndigheten bedöms kunna behandla känsliga personuppgifter med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning (se avsnitt 6.7). För detta krävs dock bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Det är vanligt att verksamheter i vilka det finns behov av att utföra omfattande behandlingar av integritetskänsliga personuppgifter omfattas av särskilda regler om personuppgiftsbehandlingen, som är anpassade efter behovet av behandling av personuppgifter och behovet av särskilt skydd för den personliga integriteten med anledning av behandlingen. Särskild reglering gäller exempelvis för flera av de verksamheter och register varifrån Myndigheten för vård- och omsorgsanalys behöver inhämta personuppgifter. Här kan det bl.a. nämnas att statistikverksamhet vid Statistiska centralbyrån omfattas av lagen (2001:99) om den officiella statistiken och de hälsodataregister vid Socialstyrelsen som är av särskilt intresse för Myndigheten för vård- och omsorgsanalys verksamhet omfattas av lagen (1998:543) om hälsodataregister med tillhörande förordningar. Skyddet för personuppgifter vid Myndigheten för vård- och omsorgsanalys bör som utgångspunkt inte vara svagare än hos de myndigheter som kan komma att lämna ut uppgifter till myndigheten. Integritetsskyddsmyndigheten har vidare gjort bedömningen att verksamheter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd för sin behandling i nationell rätt än vad som föreskrivs i dataskyddslagen (se t.ex. Datainspektionens remissyttranden över SOU 2017:66 och Ds 2017:33).

Mot bakgrund av ovanstående bör en särskild reglering av behandling av personuppgifter vid Myndigheten för vård- och

Ds 2023:10 5 Behovet av en särskild reglering

omsorgsanalys införas. Utgångspunkten för den särskilda regleringen bör vara att myndigheten ges ett tydligt stöd för att behandla personuppgifter i den utsträckning som behövs för att den på ett så ändamålsenligt sätt som möjligt ska kunna fullgöra sitt uppdrag enligt myndighetens instruktion. Samtidigt bör regleringen innehålla lämpliga skyddsåtgärder för att åstadkomma ett starkt skydd för den personliga integriteten.

En registerförfattning som på ett tydligt sätt anger förutsättningarna för myndighetens personuppgiftsbehandling bör också kunna underlätta för de myndigheter som lämnar ut uppgifter till Myndigheten för vård- och omsorgsanalys att göra de rättsliga bedömningar som behövs innan uppgifter lämnas ut till myndigheten. En registerförfattning skapar dessutom tydlighet och förutsägbarhet för de registrerade.

Särskilda bestämmelser är tillåtna enligt EU:s dataskyddsförordning

EU:s dataskyddsförordning är direkt tillämplig men förutsätter och tillåter i vissa fall nationella bestämmelser som kompletterar förordningen genom specificeringar eller undantag. Enligt artikel 6.2 i EU:s dataskyddsförordning får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e. Enligt artikel 6.3 i EU:s dataskyddsförordning ska den rättsliga grunden för behandlingen vara fastställd i EU-rätten eller den nationella rätten. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av EU:s dataskyddsförordning. Den kan bl.a. ange de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Regleringen ska dessutom uppfylla ett mål av allmänt

5 Behovet av en särskild reglering Ds 2023:10

intresse och vara proportionell mot det legitima mål som eftersträvas.

All den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra i sin verksamhet och som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg bedöms kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (se avsnitt 6.6.1). Det är därför tillåtet enligt EU:s dataskyddsförordning att införa mer specifika bestämmelser för att anpassa tillämpningen av EU:s dataskyddsförordning till myndighetens verksamhet.

Den särskilda regleringen bör ske i lag

Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Skyddet får således inte begränsas genom förordning.

Personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla rör enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF, vilket omfattar bl.a. identifikationsuppgifter och uppgifter om adress, familjeförhållanden, hälsa, anställning och ekonomi (prop. 2009/10:80 s. 177).

Myndigheten har i vissa fall behov av att samla in personuppgifter från någon annan än den enskilde själv utan att den enskildes samtycke inhämtas, t.ex. vid register-, akt- och journalstudier.

Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket RF är inte det huvudsakliga syftet utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena torde ett stort antal uppgiftssamlingar som det allmänna förfogar över innebära kartläggning av enskildas förhållanden, även om avsikten med samlingarna är en annan (prop. 2009/10:80 s. 180 och 250). Myndigheten för vård- och omsorgs-

Ds 2023:10 5 Behovet av en särskild reglering

analys har inte sällan behov av att behandla ett relativt stort antal personuppgifter om många personer. De datafiler som skapas kan således bli relativt omfattande både sett till antalet personuppgifter och antalet registrerade. Även om myndigheten sällan torde vara i behov av personuppgifter som är direkt hänförliga till enskilda individer, kan det inte uteslutas att uppgifterna skulle kunna innebära övervakning och kartläggning enligt regeringsformen.

Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande. Enligt förarbetena bör flera omständigheter vägas in vid denna bedömning. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan mängden uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen (prop. 2009/10:80 s. 183 och 184). Ändamålet med Myndigheten för vård- och omsorgsanalys behandlingar kan inte bedömas som särskilt integritetskränkande, eftersom det handlar om att göra undersökningar och utvärderingar på en övergripande nivå, som i förlängningen syftar till att bidra till förbättringar inom vård och omsorg. Myndigheten fattar inte beslut eller gör uttalanden eller undersökningar i förhållande till enskilda personer. Som framgår ovan har Myndigheten för vård- och omsorgsanalys dock behov av en relativt omfattande behandling av personuppgifter, vilket inkluderar behov av att behandla flera kategorier av känsliga personuppgifter. Många gånger behöver flera olika personuppgifter kombineras och analyseras tillsammans, varför uppgifter ibland kan behöva samlas in från olika källor och sambearbetas. För att få säkra och representativa resultat behöver myndigheten dessutom ofta behandla personuppgifter om ett relativt stort antal enskilda. Vissa av de behandlingar som myndigheten behöver utföra skulle alltså kunna innebära betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF.

Med hänsyn till de omständigheter som presenteras ovan, skulle den behandling som myndigheten behöver genomföra alltså i vissa fall kunna utgöra en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga inte-

5 Behovet av en särskild reglering Ds 2023:10

griteten som avses i 2 kap. 6 § andra stycket RF. För att personuppgifterna i sådana fall ska kunna behandlas krävs enligt 2 kap. 20 § RF stöd i lag för behandlingen.

Riksdagen och regeringen har uttalat att myndighetsregister som innehåller ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras i lag (prop. 1990/91:60 s. 58, bet. 1990/91:KU11 s. 11, prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 48). Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndigheters behandling av personuppgifter i stort (prop. 1997/98:44 s. 41, bet. 1997/98:KU18 s. 43, prop. 1999/2000:39 s. 78 och prop. 2009/10:80 s. 183). Därför torde även uttalandena från riksdagen och regeringen utgöra ett skäl till att den särskilda regleringen om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys bör vara i form av lag.

En särskild lag om myndighetens behandling av personuppgifter bör införas

Ovan konstateras att det finns ett behov av att särskilt reglera behandlingen av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Det konstateras också att regleringen bör ske i lag. Regleringen bör anpassas till myndighetens behov och innehålla anpassade skyddsåtgärder. Regleringen bör införas i en särskild lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Det finns ingen befintlig lag som skulle lämpa sig bättre för regleringen.

6. En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

6.1. Lagens tillämpningsområde

Förslag: Lagen ska gälla vid behandling av personuppgifter i

verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Skälen för förslaget

Lagen bör gälla i myndighetens analysverksamhet

Tillämpningsområdet för den lag som nu föreslås bör utgå från myndighetens analysverksamhet, dvs. dess kärnverksamhet. Utgångspunkten bör därmed vara myndighetens uppdrag som det anges i 1 § förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen. Lagen bör således vara tillämplig i den del av myndighetens verksamhet som består i att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Myndighetens uppdrag beskrivs närmare i avsnitt 3.1.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Personuppgiftsbehandling i den interna administrationen bör inte omfattas

Myndigheten behandlar också personuppgifter i den interna administrationen, exempelvis vid hantering av ekonomi-, personal- och lokalfrågor. Behandlingen av personuppgifter i den administrativa verksamheten har dock inte någon särskild koppling till fullgörandet av de arbetsuppgifter som myndigheten har inom ramen för sin kärnverksamhet. Behandlingen av personuppgifter inom den administrativa verksamheten skiljer sig inte heller nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag och behöver därför inte regleras särskilt. Myndighetens behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av den lag som nu föreslås. I stället bör den allmänna dataskyddsregleringen även fortsättningsvis tillämpas inom den verksamheten.

Lagen bör gälla automatiserad behandling och register

Tillämpningsområdet för den lag som nu föreslås bör följa tillämpningsområdet för Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och flertalet andra registerförfattningar. Lagen bör därför gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register (jfr artikel 2.1 i EU:s dataskyddsförordning).

I vissa registerlagar återges definitionen av register enligt artikel 4.6 i EU:s dataskyddsförordning, t.ex. i 1 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och 1 § studiestödsdatalagen (2009:287). I flera av de registerlagar som tillkommit under senare år används dock endast uttrycket register utan en definition i registerlagen, se t.ex. 1 § lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 1 kap. 1 § lagen (2020:421) om Rätts-

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

medicinalverkets behandling av personuppgifter. För att undvika att tynga lagtexten i onödan bör endast uttrycket register användas i den lag som nu föreslås. På så sätt ligger utformningen av lagen också i linje med på senare tid utformade registerlagar.

Med register avses här detsamma som i EU:s dataskyddsförordning, dvs. en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6).

Manuell behandling av personuppgifter som inte ingår i en uppgiftssamling som är strukturerad för sökning eller sammanställning, t.ex. minnesanteckningar från intervjuer som enbart förs på papper, bör inte omfattas av den lag som nu föreslås.

6.2. Förhållandet till annan dataskyddsreglering

Förslag: Lagen ska innehålla en upplysning om att den

kompletterar EU:s dataskyddsförordning.

I lagen ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Skälen för förslaget

Lagen bör upplysa om att den kompletterar EU:s dataskyddsförordning

EU:s dataskyddsförordning är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Den lag som nu föreslås kan därför endast innehålla bestämmelser som kompletterar EU:s dataskyddsförordning. För att det ska vara tydligt för tillämparen vilken reglering som gäller bör en bestämmelse med upplysning om att EU:s dataskyddsförordning gäller tas in i lagen.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Lagen bör upplysa om förhållandet till dataskyddslagen och föreskrifter till den

Dataskyddslagen utgör ett komplement till EU:s dataskyddsförordning på en generell nivå och reglerar bara vissa frågor. Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som avviker från dataskyddslagen så ska bestämmelsen i den andra lagen tillämpas. Dataskyddslagen är alltså subsidiär och kommer bara gälla för Myndigheten för vård- och omsorgsanalys om inte den lag som nu föreslås säger något annat. Av tydlighetsskäl bör det i den föreslagna lagen finnas en upplysning om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den gäller om inte annat följer av den föreslagna lagen (jfr prop. 2017/18:171 s. 73).

Även föreskrifter som meddelas i anslutning till lagen bör ha företräde framför dataskyddslagen

I det aktuella lagförslaget lämnas inga förslag till bestämmelser med bemyndiganden för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter. Regeringen har dock möjlighet att utan bemyndigande från riksdagen meddela verkställighetsföreskrifter och föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § regeringsformen). Det kan alltså tillkomma föreskrifter i anslutning till den föreslagna lagen, även om lagen saknar särskilda bemyndiganden. Även sådana föreskrifter bör ha företräde framför dataskyddslagen och föreskrifter som har meddelats i anslutning till den, vilket bör framgå uttryckligen av lagen.

6.3. Uppgifter om avlidna personer

Förslag: Vid behandling av uppgifter om avlidna personer ska

lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Skälen för förslaget: EU:s dataskyddsförordning är inte tillämplig

på uppgifter om avlidna personer och medlemsstaterna får i nationell lagstiftning fastställa vad som ska gälla för behandlingen av sådana uppgifter (skäl 27 i EU:s dataskyddsförordning). Det finns flera exempel på registerförfattningar vars tillämpningsområde har utsträckts på det sättet, t.ex. 1 kap. 1 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 1 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 114 kap. 2 § socialförsäkringsbalken och 1 kap. 7 § lagen om Rättsmedicinalverkets behandling av personuppgifter.

Myndigheten för vård- och omsorgsanalys har behov av att behandla vissa uppgifter om avlidna personer, exempelvis för att kunna analysera uppgifter om livslängd i förhållande till olika diagnoser eller åtgärder. Regeringen har i förarbetena till patientdatalagen (2008:355) konstaterat att det i hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna patienter samt att dessa uppgifter kan vara integritetskänsliga och därför ska omfattas av patientdatalagens bestämmelser i tillämpliga delar (prop. 2007/08:126 s. 52). Eftersom Myndigheten för vård- och omsorgsanalys behöver behandla vissa uppgifter som ursprungligen kommer från hälso- och sjukvården finns det skäl att här göra samma bedömning som regeringen tidigare har gjort i förhållande till patientuppgifter som behandlas enligt patientdatalagen. För efterlevande kan det också vara betydelsefullt att uppgifter om avlidna skyddas.

Myndigheten för vård- och omsorgsanalys har dessutom behov av att behandla ett stort antal uppgifter som inte är direkt hänförliga till en enskild, vilket gör det svårt att särskilja uppgifter om avlidna från uppgifter om levande personer. Att låta samtliga uppgifter om personer omfattas av samma regler så långt som möjligt framstår därför även som praktiskt motiverat.

För att få en enhetlig och heltäckande reglering bör inte bara den nu föreslagna lagen gälla behandling av uppgifter om avlidna personer (jfr prop. 2019/20:106 s. 32). Även EU:s dataskyddsförordning och dataskyddslagen bör gälla vid behandling av uppgifter om avlidna inom den föreslagna lagens tillämpningsområde. Dessutom bör föreskrifter som meddelas i anslutning till den nu

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

föreslagna lagen och dataskyddslagen gälla vid behandling av uppgifter om avlidna inom den nya lagens tillämpningsområde.

Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt kan av naturliga skäl inte gälla för uppgifter om avlidna personer. Någon möjlighet för efterlevande eller andra att göra gällande rättigheter som tillkom den avlidne när denne var i livet finns inte (jfr prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätt till information, rätt till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bestämmelser som avser bl.a. ändamål för behandling och de principer som följer av artikel 5 i dataskyddförordningen.

6.4. Begränsning av rätten att göra invändningar

Förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s

dataskyddsförordning ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde.

Skälen för förslaget

EU:s dataskyddsförordning innehåller en rätt att göra invändningar

Vid myndigheters behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i EU:s dataskyddsförordning ska den registrerade ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för att fastställa, utöva eller försvara rättsliga anspråk. Detta följer av artikel 21.1 i EU:s dataskyddsförordning.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Rättigheten ska senast vid den första kommunikationen med den registrerade uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information, enligt artikel 21.4 i EU:s dataskyddsförordning. Under tiden som en prövning enligt artikel 21.1 pågår har den registrerade enligt artikel 18.1 d i EU:s dataskyddsförordning rätt att kräva att behandlingen av personuppgifterna begränsas. Om det bedöms saknas berättigade skäl för behandlingen har den registrerade enligt artikel 17.1 c i EU:s dataskyddsförordning rätt att få personuppgifterna raderade.

Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade enligt artikel 21.6 i EU:s dataskyddsförordning rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Rätten att göra invändningar får begränsas under vissa förutsättningar

Medlemsstaterna har enligt artikel 23.1 i EU:s dataskyddsförordning möjlighet att genom lagstiftningsåtgärder begränsa vissa av de skyldigheter och rättigheter som följer av förordningen, däribland rätten att göra invändningar mot behandlingen av personuppgifter. En sådan begränsning får göras om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen måste vidare utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. förebyggande av brott, andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska innehålla specifika bestämmelser när så är relevant avseende bl.a. ändamålen med behandlingen, kategorierna av personuppgifter, specificeringen av den personuppgiftsansvarige, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål (artikel 23.2 i EU:s dataskyddsförordning).

Rätten att göra invändningar har begränsats i ett flertal registerförfattningar, t.ex. 3 kap. 3 § lagen (2001:181) om behandling av

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

uppgifter i Skatteverkets beskattningsverksamhet, 5 § studiestödsdatalagen, 3 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och 4 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. Det har i dessa fall ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter, oberoende av den registrerades inställning. Regeringen har vidare i vissa fall uttryckt att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet och att en prövning i enskilda fall därför inte skulle vara motiverad (t.ex. prop. 2018/19:151 s. 17 och 18).

Rätten att göra invändningar bör begränsas i lagen

Behandling av personuppgifter i Myndigheten för vård- och omsorgsanalys analysverksamhet bedöms ha stöd i den rättsliga grunden allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (se avsnitt 6.6.1). Den registrerade har alltså enligt artikel 21.1 i EU:s dataskyddsförordning rätt att invända mot myndighetens behandling.

Myndighetens arbete med att följa upp och utvärdera förhållanden inom hälso- och sjukvården, tandvården och omsorgen ur ett patient-, brukar- och medborgarperspektiv ger sådant underlag som regering, regioner och kommuner har behov av och kan använda som grund för att vidta lämpliga åtgärder avseende vården och omsorgen. På så sätt bedöms myndighetens arbete bidra till att säkerställa intressen inom folkhälsa och social trygghet. Det bör vidare kunna anses utgöra ett generellt allmänt intresse att bedriva sådan uppföljning och utvärdering som Myndigheten för vård- och omsorgsanalys har i uppgift att göra.

En del av de personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla finns hos andra aktörer, t.ex. andra myndigheter. Myndigheten för vård- och omsorgsanalys behöver för sitt analysarbete många gånger endast ta del av personuppgifter som inte direkt kan hänföras till registrerade. Som huvudregel ska myndigheten därmed samla in uppgifterna utan koppling till personnummer eller annan liknande identitetsbeteckning, i enlighet

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

med uppgiftsminimeringsprincipen i artikel 5.1 c i EU:s dataskyddsförordning. För att hantera en invändning beträffande sådana uppgifter som myndigheten inte direkt kan hänföra till den registrerade skulle Myndigheten för vård- och omsorgsanalys alltså behöva bevara, förvärva eller behandla identifierande information enbart i syfte att identifiera den registrerade och hantera en invändning, vilket myndigheten enligt artikel 11.1 i EU:s dataskyddsförordning inte ska behöva göra. Dessutom är det i princip omöjligt för myndigheten att informera den enskilde om behandlingen när den inte har direkt hänförliga personuppgifter, vilket enligt artikel 14.5 b i EU:s dataskyddsförordning innebär att det inte finns någon informationsskyldighet för myndigheten.

Den sammantagna bedömningen är därför att en rätt att göra invändningar inte skulle få någon praktisk effekt när myndigheten behandlar uppgifter som inte direkt går att hänföra till den registrerade. När det gäller sådan behandling av personuppgifter finns det därför inga skäl att ha en rätt att invända mot behandlingen.

Det kommer dock att finnas vissa situationer när Myndigheten för vård- och omsorgsanalys har behov av uppgifter som direkt kan hänföras till den registrerade, t.ex. när uppgifter har samlats in genom s.k. journal- eller aktstudier. Inte heller vid sådana typer av studier är det ändamålsenligt med en rätt att göra invändningar. Det är av stor betydelse att personuppgifter får behandlas i myndighetens verksamhet oberoende av den registrerades inställning. För att resultaten av myndighetens uppföljningar och utvärderingar ska vara så tillförlitliga och relevanta som möjligt, behöver en viss statistisk säkerhet kunna säkerställas. Det skulle dock inte vara möjligt att uppnå om invändningar från enskilda skulle kunna påverka myndighetens resultat. Myndighetens berättigade skäl att behandla personuppgifter för att kunna utföra sitt uppdrag, vilka beskrivs i avsnitt 5, väger således i regel tyngre än den registrerades intressen. Det kan under sådana omständigheter, i likhet med vad regeringen konstaterat i fråga om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, inte anses motiverat att myndigheten i varje enskilt fall ska behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen innan myndigheten kan fortsätta behandla personuppgifterna (jfr prop. 2018/19:151 s. 17 och 18). Ett sådant förfarande riskerar att leda till en oproportionerlig arbetsbörda för

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

myndigheten, samtidigt som resultatet i princip uteslutande skulle bli att myndigheten har berättigade skäl för behandlingen och vinsterna ur ett integritetsperspektiv alltså skulle vara nästintill obefintliga.

Av ovan angivna skäl får en begränsning av rätten att göra invändningar anses både nödvändig och proportionerlig, i enlighet med artikel 23.1 e i EU:s dataskyddsförordning. Begränsningen skulle underlätta för myndigheten att bedriva sin verksamhet, samtidigt som den skulle ha mycket liten eller ingen påverkan på skyddet för den enskildes personliga integritet eftersom myndigheten ändå inte skulle kunna identifiera den enskilde eller, om identifiering är möjlig för myndigheten, den i regel skulle ha berättigade skäl för att fortsätta behandlingen.

Den nu föreslagna lagen innehåller bestämmelser om bl.a. ändamålen med behandlingen, behandling av personuppgifter i projekt och ett flertal andra skyddsåtgärder. Den föreslagna regleringen minimerar risken för kränkning av den registrerades rättigheter och friheter. Den föreslagna lagen får därför anses uppfylla de krav som uppställs i artikel 23.2 i EU:s dataskyddsförordning.

Det bedöms därmed att det både är tillåtet och lämpligt att begränsa den enskildes rätt att göra invändningar mot behandling av hans eller hennes personuppgifter.

Rätten att göra invändningar bör inte begränsas när personuppgifter samlas in direkt från den enskilde

När det gäller uppgifter som samlas in direkt från den enskilde, t.ex. vid intervjuer eller enkätstudier, väger skälen för ett undantag från rätten att göra invändningar inte lika tungt som vid behandling av personuppgifter som samlas in på annat sätt. En enskild som väljer att lämna sina uppgifter till myndigheten bör så långt som möjligt ges inflytande över personuppgifterna. Det talar för att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning inte bör begränsas när uppgifterna samlas in direkt från den enskilde. Dessutom behandlas direkt hänförliga personuppgifter i regel i större utsträckning när uppgifterna samlas in direkt från den enskilde än när uppgifterna samlas in på annat sätt. En sådan behandling blir mer integritetskänslig och kräver därför generellt ett

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

starkare skydd. Även detta talar för att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning inte bör begränsas i dessa fall. För myndigheten bör det också generellt sett vara lättare att tillgodose rätten att göra invändningar i dessa fall eftersom myndigheten lättare kan identifiera den enskilde när dennes direkta personuppgifter behandlas.

Sammanfattningsvis bör rätten att göra invändningar när personuppgifter samlas in direkt från den enskilde inte begränsas.

6.5. Personuppgiftsansvar

Förslag: Myndigheten för vård- och omsorgsanalys ska vara

personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

Skälen för förslaget: Uttrycket personuppgiftsansvarig är centralt

inom all dataskyddsreglering. Skyldigheten att se till att behandling av personuppgifter sker i enlighet med gällande bestämmelser åvilar den som är personuppgiftsansvarig och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundläggande principerna i artikel 5.1 i EU:s dataskyddsförordning följs (artikel 5.2). Därutöver ska den personuppgiftsansvarige bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att säkerställa en lämplig säkerhetsnivå (artikel 32.1).

Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgår att det med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen eller medlen för behandlingen bestäms i unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses dock föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

tillåtet att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter.

Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. När Myndigheten för vård- och omsorgsanalys behandlar personuppgifter inom ramen för sin kärnverksamhet finns det oftast inga oklarheter i fråga om personuppgiftsansvaret. En bestämmelse om personuppgiftsansvar bidrar dock till tydlighet för både myndigheten och de registrerade. Det bör därför framgå av lagen att Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom lagens tillämpningsområde.

6.6. Ändamål för behandling av personuppgifter

6.6.1. Rättslig grund för behandling av personuppgifter

Bedömning: Den behandling av personuppgifter som Myndig-

heten för vård- och omsorgsanalys behöver utföra med anledning av sitt uppdrag är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning.

Skälen för bedömningen

Behandling för att utföra en uppgift av allmänt intresse

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 a–f i EU:s dataskyddsförordning. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling (prop. 2017/18:105 s. 46). Alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för sin befogenhet är i normalfallet sådana uppgifter av allmänt intresse som avses i artikel 6.1 e (prop. 2017/18:105 s. 56 och 57). De uppgifter som Myndigheten för vård- och omsorgsanalys utför till följd av uppgifter i myndighetens instruktion, regleringsbrev, specifika regeringsuppdrag och myndighetsförordningen (2007:515) är således generellt uppgifter av allmänt intresse. I

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

normalfallet torde myndigheters uppgifter och uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i EU:s dataskyddsförordning, dvs. på grundval av att uppgiften eller uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 och 54).

En behandling enligt artikel 6.1 e är bara tillåten om den också är nödvändig. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EUdomstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). En bedömning av om nödvändighetskravet är uppfyllt måste göras inför varje behandling.

De grunder för behandlingen som avses i artikel 6.1 e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket i EU:s dataskyddsförordning). Med detta avses, enligt skäl 41 i EU:s dataskyddsförordning, inte att den rättsliga grunden nödvändigtvis måste fastställas i lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). I 2 kap. 2 § 1 dataskyddslagen finns en upplysningsbestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 i EU:s dataskyddsförordning framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (prop. 2017/18:105 s. 51).

Myndigheten för vård- och omsorgsanalys uppgifter regleras i instruktionen. Uppgifterna är således fastställda i förordning. För de särskilda uppdrag som regeringen ger myndigheten anges det dessutom mer specifikt i regleringsbrev eller separata regeringsbeslut vad en undersökning eller utvärdering ska omfatta. Myndighetens verksamhet omfattas också av allmän förvaltningsrättslig reglering, som förvaltningslagen (2017:900) och myndighetsförordningen. Den nu föreslagna lagen kommer dessutom att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Kravet på att grunden för de behandlingar som myndigheten behöver utföra ska vara rättsligt fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning får därmed anses uppfyllas genom befintlig reglering och den lag som nu föreslås.

Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3 andra stycket). De ändamål som anges i den föreslagna lagen måste alltså vara nödvändiga för att Myndigheten för vård- och omsorgsanalys ska kunna utföra sitt uppdrag. Detta krav får anses uppfyllt så länge ändamålen knyts till Myndigheten för vård- och omsorgsanalys uppgifter enligt instruktionen och det inte finns någon diskrepans mellan ändamålen och de uppgifter som myndigheten förväntas utföra.

Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50). Kravet på proportionalitet kan också tillgodoses genom särskilt reglerade skyddsåtgärder (jfr avsnitt 7).

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Även andra rättsliga grunder kan vara tillämpliga

All den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra i sin verksamhet som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg bedöms, som framgår ovan, kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning.

Vid behandling av personuppgifter kan dock flera rättsliga grunder vara tillämpliga avseende en och samma behandling (prop. 2017/18:105 s. 46). I vissa fall kan den rättsliga grunden vara att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt artikel 6.1 c i EU:s dataskyddsförordning. Som Socialdataskyddsutredningen redogjort för, kan samtycke enligt artikel 6.1 a i EU:s dataskyddsförordning också vara en tillämplig rättslig grund för Myndigheten för vård- och omsorgsanalys behandlingar (SOU 2018:52 s. 114116).

6.6.2. Primära ändamål

Förslag: Myndigheten för vård- och omsorgsanalys ska få

behandla personuppgifter om det är nödvändigt för 1. undersökningar om vårdens och omsorgens funktionssätt, 2. undersökningar om effektiviteten i statliga åtaganden och

verksamheter inom vård och omsorg, 3. utvärderingar av information om vård och omsorg som lämnas

till enskilda, eller 4. utvärderingar av statliga reformer och andra statliga initiativ

inom vård och omsorg. Lagen ska innehålla en upplysning om att personuppgifter får behandlas för att framställa statistik inom ramen för sådana undersökningar och utvärderingar som avses i bestämmelsen.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Skälen för förslaget

Ett ändamål är en grundläggande förutsättning för behandlingen

Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Denna princip kallas för principen om ändamålsbegränsning. Möjligheten att senare behandla personuppgifterna för andra ändamål är begränsad. Den registrerade skyddas därigenom mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. I skäl 39 i EU:s dataskyddsförordning klargörs det att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Utifrån ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet (artiklarna 13.1 c, 14.1 c och 15.1 a). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32.1). Ändamålet bestäms av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artikel 4.7). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a).

I den nu föreslagna lagen bedöms det vara relevant att införa ändamålsbestämmelser för att på ett tydligt sätt ange de ramar inom vilka behandling av personuppgifter är tillåten. De föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser som anpassar tillämpningen av EU:s dataskyddsförordning och säkerställer en laglig och rättvis behandling. Därmed är de tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

De primära ändamålen bör avse sådana undersökningar och utvärderingar som myndigheten har i uppdrag att göra

I avsnitt 5 beskrivs Myndigheten för vård- och omsorgsanalys behov av att behandla personuppgifter för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Där framgår att myndigheten har behov av att i olika sammanhang behandla ett relativt stort antal personuppgifter på olika sätt. Exakt vilka kategorier av personuppgifter

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

som myndigheten behöver behandla, vilka registrerade som berörs, hur uppgifterna behöver behandlas och för vilka konkreta ändamål beror på de specifika förutsättningarna i varje projekt. Gemensamt för alla behandlingar av personuppgifter i myndighetens kärnverksamhet är dock att de ska ske inom ramen för det uppdrag som regleras i myndighetens instruktion. Det bedöms därför vara lämpligt att myndighetens instruktionsreglerade uppdrag utgör utgångspunkt för utformningen av den primära ändamålsbestämmelsen i lagen.

Enligt 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, gäller sekretess för uppgifter om enskildas personliga och ekonomiska förhållanden i Myndigheten för vård- och omsorgsanalys undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Sekretessbestämmelsen är utformad för att möjliggöra för myndigheten att få tillgång till sådana uppgifter som den behöver för att följa upp och analysera verksamheter inom sitt ansvarsområde.

Det bedöms vara lämpligt att formulera bestämmelsen om de primära ändamålen på liknande sätt som bestämmelsen om sekretess för uppgifter om enskildas personliga och ekonomiska förhållanden vid myndigheten i 7 § OSF. Detta är fallet eftersom sekretessbestämmelsen på ett överskådligt sätt ringar in de ändamål för vilka myndigheten behöver behandla uppgifter. En sådan ändamålsbestämmelse bedöms täcka in alla behandlingar av personuppgifter som myndigheten behöver göra för att utföra sitt uppdrag enligt 1– 3 §§ instruktionen.

Uttrycken undersökningar och utvärderingar i den föreslagna lagen bör förstås på samma sätt som i 7 § OSF. Det finns dock ingen definition av uttrycken undersöka och utvärdera i OSF. Enligt Svensk ordbok utgiven av Svenska Akademien definieras undersöka som att noggrant studera för att skaffa fram fakta om en viss, vanligen sammansatt företeelse i fråga om dess uppbyggnad, funktionssätt etc. Utvärdera definieras i samma ordbok som att noggrant bedöma värdet av (resultatet av) ny verksamhet eller dylikt.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Genom att utforma den primära ändamålsbestämmelsen utifrån omfattningen av den sekretess som gäller i myndighetens analysverksamhet säkerställs dessutom ett starkt sekretesskydd för samtliga personuppgifter som får behandlas enligt den lag som nu föreslås.

Mot bakgrund av hur 7 § OSF är utformad bedöms det vara lämpligt att i lagen ange att Myndigheten för vård- och omsorgsanalys får behandla personuppgifter om det är nödvändigt för undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda och utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Inom de förslagna ändamålen ryms den omvärldsbevakning och de internationella jämförelser myndigheten gör inom sitt verksamhetsområde (jfr 3 § 3 instruktionen). Myndighetens omvärldsbevakning kan exempelvis handla om att ta del av nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Internationella jämförelser gör myndigheten bl.a. inom ramen för arbetet med den årliga studien International Health Policy Survey. Myndigheten behandlar personuppgifter för omvärldsbevakningar eller internationella jämförelser när behandlingen är nödvändig för sådana undersökningar eller utvärderingar som anges i den föreslagna ändamålsbestämmelsen. Även planering av myndighetens verksamhet får anses ingå i ändamålsbestämmelsen eftersom planering är nödvändig för sådana undersökningar och utvärderingar som anges i bestämmelsen.

Den primära ändamålsbestämmelse som nu föreslås bedöms utgöra en lämplig begränsning av myndighetens personuppgiftsbehandling, givet att det med hänsyn till myndighetens breda uppdrag inte är möjligt att på förhand i lag uttömmande ange konkreta ändamål för myndighetens personuppgiftsbehandling. Myndigheten för vård- och omsorgsanalys bör dock normalt, på samma sätt som exempelvis Rättsmedicinalverket, formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet för att leva upp till EU:s dataskyddsförordnings krav på särskilda, uttryckligt angivna och berättigade ändamål (jfr prop. 2019/20:106 s. 39).

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Det bör införas en upplysning om att personuppgifter får behandlas för att framställa statistik

Myndigheten för vård- och omsorgsanalys ansvarar inte för framställning av officiell statistik enligt lagen (2001:99) och förordningen (2001:100) om den officiella statistiken. För att myndigheten ska kunna genomföra undersökningar och uppföljningar i enlighet med sin instruktion behöver den dock bearbeta information på olika sätt, bl.a. genom att framställa statistik.

Enligt skäl 162 i EU:s dataskyddsförordning avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Det statistiska resultatet kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen av personuppgifter inte består av personuppgifter, utan av aggregerade uppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Regeringen har uttalat att med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information (prop. 2017/18:107 s. 19). Även resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns ofta statistik. Regeringen har också uttryckt att personuppgifter, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i myndighetens uppdrag (prop. 2017/18:105 s. 122).

Myndigheten för vård- och omsorgsanalys behöver framställa viss statistik för att säkerställa att resultaten av undersökningar och utvärderingar blir relevanta och tillräckligt säkra. I flera fall behöver statistiska metoder användas för insamling, bearbetning, redovisning och analys. Myndigheten bedriver allmänt utredande verksamhet i fråga om förhållanden i hälso- och sjukvården, tandvården och omsorgen. Det förekommer alltså inte myndighetsutövning och inte heller någon annan handläggning eller något annat beslutsfattande som rör enskilda personer eller organ. Myndighetens verksamhet är oberoende och resultaten av myndighetens analyser utformas inte för att tjäna vissa syften, även om avsikten är att regeringen ska

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

kunna använda dem som kunskapsunderlag. Resultatet av myndighetens behandling av personuppgifter består vidare inte av personuppgifter, utan av avidentifierade och aggregerade uppgifter. Dessutom offentliggörs myndighetens resultat så att de är lätt åtkomliga för patienter, brukare och andra medborgare. Stora delar av Myndigheten för vård- och omsorgsanalys analysverksamhet bör därmed kunna anses ske för statistiska ändamål (jfr prop. 1991/92:118 s. 1214).

Även vid utlämnande av uppgifter som skyddas av statistiksekretess kan det vara relevant att bedöma om uppgifterna ska behandlas för statistikändamål, utifrån hur begreppet ska förstås enligt den lagstiftningen (se 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen [2009:400], förkortad OSL, prop. 1994/95:200 s. 38, prop. 2013/14:162 s. 811 och SOU 2018:52 s. 253256).

Den framställning av statistik som myndigheten genomför får anses ske inom ramen för det uppdrag som regleras i 1–3 §§ i myndighetens instruktion eftersom det är nödvändigt att framställa statistik för att utföra de uppgifter som myndigheten åläggs i instruktionen. Därmed sker framställning av statistik också inom ramen för de föreslagna primära ändamålen.

För de aktörer som kan komma att lämna ut uppgifter till Myndigheten för vård- och omsorgsanalys, som Socialstyrelsen och Statistiska centralbyrån, och andra som berörs av myndighetens personuppgiftsbehandling är det viktigt att det är tydligt att myndigheten får behandla personuppgifter för statistikändamål. Även för den enskilde är det viktigt att det tydligt framgår hur myndigheten får behandla hans eller hennes personuppgifter. Därför bör det införas en upplysning i den nu föreslagna lagen om att myndigheten får behandla personuppgifter för att framställa statistik inom ramen för sådana undersökningar och utvärderingar som avses i den föreslagna bestämmelsen om de primära ändamålen.

6.6.3. Sekundära ändamål

Förslag: Personuppgifter som behandlas enligt de primära ända-

målen ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Skälen för förslaget: Myndigheten för vård- och omsorgsanalys

lämnar endast i begränsad omfattning ut personuppgifter. I vissa fall finns dock behov av att behandla personuppgifter för att lämna ut uppgifterna till en annan myndighet eller någon annan i enlighet med författning, exempelvis vid utlämnande till andra myndigheter eller till forskare för statistik- eller forskningsändamål.

Myndigheten för vård- och omsorgsanalys kan med stöd av EU:s dataskyddsförordning behandla personuppgifter för att lämna ut uppgifter enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av artikel 6.1 e (uppgift av allmänt intresse). Frågan är då om det ändå behövs en bestämmelse som anger att personuppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för detta ändamål och kan därmed ses som en integritetshöjande åtgärd i förhållande till EU:s dataskyddsförordning. Sådana uppgifter som kan bli aktuella att behandla för att fullgöra uppgiftslämnande bör enbart vara sådana uppgifter som redan är föremål för behandling enligt den primära ändamålsbestämmelsen. Med anledning av intresset av att det ska vara tydligt för den registrerade att uppgifter kan komma att lämnas ut bör det i lagen införas en sådan bestämmelse.

Myndigheten för vård- och omsorgsanalys omfattas inte av någon sådan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § OSL, men myndigheten kan lämna ut uppgifter i syfte att bl.a. fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen eller skyldigheten enligt 6 kap. 5 § OSL för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (jfr prop. 2014/15:148 s. 41 och 42).

Den nu föreslagna bestämmelsen om sekundära ändamål innebär inte några utökade möjligheter för myndigheten att lämna ut personuppgifter i förhållande till vad som gäller i dag. Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lämnas ut. Den frågan aktualiseras redan när den bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det när en sådan bestämmelse tas fram görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

integritet. Den avvägningen torde säkerställa att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Ett utlämnande av personuppgifter som sker i överensstämmelse med lag eller förordning får alltså anses uppfylla kraven i artikel 6 i EU:s dataskyddsförordning. En ändamålsbestämmelse med det föreslagna innehållet får regleras i nationell rätt (artikel 6.2 och 6.3).

6.6.4. Finalitetsprincipen

Bedömning: Det bör inte införas en bestämmelse som ger

uttryck för finalitetsprincipen.

Skälen för bedömningen: Enligt artikel 5.1 b i EU:s dataskydds-

förordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i EU:s dataskyddsförordning beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen.

Flera registerlagar innehåller bestämmelser som ger uttryck för finalitetsprincipen genom att ange att personuppgifter som behandlas för något av de i lagen angivna ändamålen även får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Sådana bestämmelser finns bl.a. i 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och i 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Bestämmelser som ger uttryck för finalitetsprincipen har införts av tydlighetsskäl och avser främst att klargöra att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen (se t.ex. prop. 2018/19:151 s. 24, prop. 2019/20:106 s. 40).

I fråga om den nu aktuella lagen görs bedömningen att en särskild bestämmelse om finalitetsprincipen inte bör införas. I den föreslagna lagen föreslås det primära ändamålet vara så brett att det täcker Myndigheten för vård- och omsorgsanalys kärnuppdrag. Som en följd av detta bör det inte finnas anledning att behandla personuppgifter för andra ändamål än de som anges i lagen. Det torde alltså i dagsläget alltså inte vara möjligt att vidarebehandla personuppgifter för något ändamål utöver de ändamål som redan föreslås. Det behöver därför inte förtydligas att finalitetsprincipen gäller i förhållande till ändamålsbestämmelsen i den föreslagna 6 §.

Artikel 5.1 b i EU:s dataskyddsförordning gäller dock alltjämt och finalitetsprincipen kan tillämpas när myndigheten behandlar personuppgifter i enlighet med den föreslagna lagen. Som beskrivs i avsnitt 6.6.2 förutsätts det att myndigheten fastställer mer konkreta ändamål inom ramen för de primära ändamål som föreslås. Om myndigheten senare behöver behandla personuppgifter för ett annat konkret ändamål, som också är inom ramen för de i lagen föreslagna ändamålen, behöver alltså en bedömning göras av om vidarebehandlingen är förenlig med finalitetsprincipen i EU:s dataskyddsförordning.

6.7. Känsliga personuppgifter

Förslag: Känsliga personuppgifter ska få behandlas med stöd av

artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Skälen för förslaget

Allmänt om förbudet mot behandling av känsliga personuppgifter

Av artikel 9.1 i EU:s dataskyddsförordning framgår att behandling av särskilda kategorier av personuppgifter, sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, är förbjuden. I svensk rätt kallas sådana uppgifter för känsliga personuppgifter (se t.ex. 3 kap. 1 § dataskyddslagen). I förarbetena till dataskyddslagen anges att det tidigare begreppet känsliga personuppgifter används eftersom det begreppet är väl inarbetat, även på EU-nivå, och dessutom språkligt enklare att använda och förstå än begreppet särskilda kategorier av personuppgifter, inte minst i författningstext (prop. 2017/18:105 s. 75). Även i den lag som nu föreslås bör därför begreppet känsliga personuppgifter användas.

Förbudet i artikel 9.1 i EU:s dataskyddsförordning kompletteras av ett antal undantag i artikel 9.2, som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas. Några av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske. I 3 kap. dataskyddslagen finns kompletterande bestämmelser om behandling av känsliga personuppgifter.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om hälsa

Som konstateras i avsnitt 5 behöver Myndigheten för vård- och omsorgsanalys för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt behandla ett stort antal personuppgifter, däribland känsliga personuppgifter. För att kunna följa upp och analysera hälso- och sjukvården och sådana delar av omsorgen där hälsotillståndet är relevant för omsorgsinsatsen behöver myndigheten analysera personuppgifter om hälsa.

Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning som personuppgifter som rör en fysisk persons fysiska

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

Myndighetens behov kan handla om övergripande uppgifter om vårdområden eller mer specifika uppgifter om diagnoser, funktionsnedsättningar, vård- och omsorgsbehov, vård- och omsorgsinsatser, uppgifter om patienters och brukares upplevelser samt medicinska resultat. Det förekommer exempelvis att myndigheten ges i uppdrag av regeringen att följa upp en viss statlig satsnings effekter eller att granska en viss typ av vård- eller omsorgsverksamhet. I sådana fall behöver myndigheten ofta behandla uppgifter om berörda patient- och brukargrupper eller relevanta uppgifter om det specifika vårdområdet i fråga. För att myndighetens analyser ska bli tillräckligt relevanta krävs ofta uppgifter på så detaljerad nivå att det är fråga om personuppgifter. Uppgifterna kan samlas in på olika sätt, exempelvis från register hos Socialstyrelsen, från patientjournaler eller direkt från de enskilda själva vid intervju- eller enkätstudier. Myndigheten behöver dock inte alltid behandla direkt hänförliga personuppgifter.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om etniskt ursprung

I vissa fall finns det behov av att beakta uppgifter om medborgarskap eller ursprungsland i myndighetens analyser för att kunna se om vården och omsorgen skiljer sig åt mellan olika grupper utifrån sådana faktorer. En isolerad uppgift om exempelvis medborgarskap anses normalt inte avslöja etniskt ursprung. Skulle emellertid en sådan uppgift i det enskilda fallet avslöja etniskt ursprung faller den in under förbudet (jfr prop. 2009/10:85 s. 325). Det kan i vissa fall också vara relevant att beakta uppgifter om modersmål i analysarbetet, t.ex. för att studera om språkliga faktorer påverkar insatser eller resultat i vården och omsorgen. Även sådana uppgifter torde i vissa enskilda fall kunna betraktas som uppgifter om etniskt ursprung.

Uppgifter om medborgarskap eller ursprungsland skulle kunna ingå i beställningar av registeruppgifter från Statistiska centralbyrån och därmed samlas in i samband med registerstudier. Uppgifter om modersmål skulle kunna framgå i samband med intervjuundersökningar med enskilda eller ingå i patientjournaler eller personakter från socialtjänsten som myndigheten har behov av att begära ut.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om sexuell läggning och sexualliv

Myndigheten har ett visst behov av att analysera personuppgifter om sexuell läggning och sexualliv. Uppgifter om sådana förhållanden skulle kunna utläsas ur vissa uppgifter om hälsa, vård eller boendeförhållanden eller förhållanden till anhöriga som myndigheten behöver analysera. Om myndigheten exempelvis ska följa upp och analysera vården inom ett vårdområde som uteslutande eller nästintill uteslutande ges till personer av viss sexuell läggning, kan för analysen relevanta uppgifter om vården även avslöja uppgifter om sexuell läggning. Vilka som har tagit del av vård på ett visst vårdområde kan exempelvis framgå av uppgifter som myndigheten begär ut från Socialstyrelsens hälsodataregister. Oftast behöver myndigheten endast ta del av sådana uppgifter utan uppgift om namn eller personnummer till enskilda, men i kombination med andra uppgifter finns en risk för att enskilda trots det kan identifieras indirekt.

Även vid undersökningar av anhörigas roll i vården och omsorgen skulle det kunna bli relevant att hantera uppgifter om sexuell läggning, t.ex. i form av att i intervjuer eller enkätundersökningar behandla namn eller kontaktuppgifter till den anhörige och uppgift om dennes relation till en patient eller brukare. Namnuppgifter om make, sambo eller partner har av EU-domstolen ansetts avslöja uppgifter om sexuell läggning (se punkt 117–128 i EU-domstolens dom i målet Vyriausioji tarnybinės etikos komisija, C-184/20). Uppgifter om sexuell läggning kan också behöva behandlas för att studera om det finns skillnader i vården och omsorgen beroende på sexuell läggning.

Uppgifter om sexualliv kan exempelvis behöva behandlas inom ramen för analyser av vården i samband med könsbyte. Datalagskommittén, vars förslag låg till grund för den tidigare gällande personuppgiftslagen (1998:204), bedömde att en uppgift om att någon har bytt kön förmodligen är en uppgift som kan anses röra den personens hälsa eller sexualliv (SOU 1997:39 s. 371). Uppgifter om sexualliv skulle också kunna behöva behandlas i undersökningar eller uppföljningar om ungdomsmottagningars eller barnmorskemottagningars verksamhet. Uppgifter om vilka som har fått vård i samband med könsbyte eller vård vid ungdomsmottagningar och barnmorskemottagningar kan framgå av registerdata som finns hos

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

bl.a. Socialstyrelsen. I det material som Myndigheten för vård- och omsorgsanalys behöver ta del av kan det finnas personuppgifter om sådana förhållanden, även om myndigheten oftast inte behöver ta del av direkt hänförliga uppgifter som namn eller personnummer.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter om religiös eller filosofisk övertygelse

Även uppgifter om religiös eller filosofisk övertygelse kan i vissa fall behöva behandlas av myndigheten, t.ex. för att det ska vara möjligt att studera om vården eller omsorgen skiljer sig åt mellan olika grupper utifrån sådana faktorer. Sådana uppgifter kan också behöva behandlas i undersökningar om socialtjänstens verksamhet där barns och ungas uppväxtmiljö, vilket bl.a. kan innefatta kontakter med olika församlingar eller samfund, har haft betydelse för beslutade insatser. Uppgifterna kan exempelvis finnas i personakter från socialtjänsten som Myndigheten för vård- och omsorgsanalys behöver samla in. Även om behovet av att behandla sådana uppgifter bedöms uppstå vid få tillfällen, bör den lag som nu föreslås ta hänsyn till att det finns ett sådant behov vid myndigheten och att det finns ett värde att behandla sådana uppgifter när behovet uppstår.

Myndigheten bedöms ha behov av att behandla personuppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse för att göra studier om omotiverade skillnader inom sina analysområden

Ovan beskrivs flera skäl till att det är nödvändigt för Myndigheten för vård- och omsorgsanalys att behandla uppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse. Ett skäl som är gemensamt för behovet av alla de kategorierna av personuppgifter är att möjliggöra undersökningar och utvärderingar om omotiverade skillnader och jämlikhet i vården och omsorgen.

Enligt 3 kap. 1 § hälso- och sjukvårdslagen (2017:30) är målet för hälso- och sjukvården en god hälsa och en vård på lika villkor för hela befolkningen. Att vården ska vara på lika villkor innebär enligt förarbetena att det i princip bör vara möjligt för alla – oavsett var de

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

bor i landet – att vid behov och på lika villkor få del av hälso- och sjukvårdens tjänster. Därav följer bl.a. att ekonomiska, sociala, språkliga, religiösa, kulturella och geografiska förhållanden inte får hindra den enskilde att erhålla vård (prop. 1981/82:97 s. 27). Motsvarande mål gäller för tandvården (2 § tandvårdslagen [1985:125] och prop. 1984/85:79 s. 14 och 15). Ett av målen för socialtjänsten är enligt 1 kap. 1 § socialtjänstlagen (2001:453) att på demokratins och solidaritetens grund främja människornas jämlikhet i levnadsvillkor.

Det är viktigt att Myndigheten för vård- och omsorgsanalys kan följa upp om och hur dessa mål för vården och omsorgen uppfylls och synliggöra omotiverade skillnader på dessa områden. Ett av de analysområden som myndigheten själv har beslutat om i sin analysplan är en jämlik vård och omsorg utan omotiverade skillnader mellan befolknings- och behovsgrupper (Myndigheten för vård- och omsorgsanalys, Analysplan 2023, s. 46–58). Myndigheten har också publicerat flera rapporter som belyser frågor om jämlikhet i vården och omsorgen utifrån olika dimensioner (se t.ex. Myndigheten för vård- och omsorgsanalys, Ljuset på skillnader – En studie om omotiverade skillnader i LSS-verksamhet, äldreomsorg och socialpsykiatri [rapport 2022:6], Besök via nätet – Resursutnyttjande och jämlikhet kopplat till digitala vårdbesök [rapport 2022:1] och Omotiverat olika – Socioekonomiska och regionala skillnader i cancervården [rapport 2019:8]). För att myndigheten ska ges goda förutsättningar att följa upp och analysera frågor om jämlikhet i vården och omsorgen behöver myndigheten kunna behandla personuppgifter i fråga om hälsa, etniskt ursprung, sexuell läggning och sexualliv samt religiös och filosofisk övertygelse.

Myndigheten bedöms ha behov av att behandla känsliga personuppgifter som kan utgöra överskottsinformation

Myndigheten för vård- och omsorgsanalys har ett visst behov av att behandla andra kategorier av känsliga personuppgifter än uppgifter om hälsa, etniskt ursprung, sexuell läggning och sexualliv och religiös och filosofisk övertygelse. För andra känsliga personuppgifter är det dock svårt att konkretisera vilka typer av uppgifter som behövs för att kunna göra olika typer av studier, på samma sätt som gjorts i fråga om de ovan beskrivna kategorierna av uppgifter.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Detta är fallet eftersom det kan vara svårt att förutse vilka kategorier av känsliga personuppgifter som förekommer i sådant underlag som myndigheten behöver ta del av.

Detta gäller framför allt i fråga om s.k. journal- eller aktstudier som myndigheten har ett behov av att genomföra i vissa fall (se avsnitt 5). I sådana studier kan myndigheten behöva begära ut ett stort antal patientjournaler från vården eller personakter från socialtjänsten, vars innehåll är svårt att förutse fullt ut. Myndigheten kan känna till att det i sådant material finns uppgifter som är nödvändiga att beakta i en analys, såsom vissa uppgifter om hälsa. Men det kan förekomma att sådant material även innehåller annan information som egentligen inte är relevant för myndigheten att beakta i sina analyser men som behöver samlas in för att andra uppgifter i materialet ska kunna analyseras. För de aktörer som myndigheten skulle begära journalerna och akterna ifrån, riskerar det att bli en i princip omöjlig uppgift att gå igenom dessa för att ta bort sådana uppgifter som Myndigheten för vård- och omsorgsanalys inte behöver analysera. En sådan ordning framstår inte som proportionerlig i förhållande till den integritetsrisk den avser att reducera. Skälet till det är framför allt att de aktörer som myndigheten främst skulle begära journaler och akter ifrån skulle vara kommuner, regioner och privata utförare i vården och omsorgen, vilka redan har en hög arbetsbelastning. Om den utlämnande aktören skulle gå igenom samtliga journaler eller akter och ta bort känsliga personuppgifter som myndigheten inte har behov av att analysera, skulle en sådan genomgång i sig dessutom innebära ett intrång i den personliga integriteten. Det finns också risker för att en sådan ordning gör myndigheten beroende av den utlämnande aktörens urval av uppgifter. Det skulle vara problematiskt utifrån att en av grundförutsättningarna för myndigheten är att den ska vara oberoende i förhållande till exempelvis vårdgivare och andra intressenter, vilket framhölls i direktivet för inrättandet av myndigheten (dir. 2010:58). Risken finns också att uppgifter som faktiskt behövs för myndighetens arbete med undersökningar och utvärderingar skulle tas bort före utlämnande.

För att det ska vara möjligt för Myndigheten för vård- och omsorgsanalys att göra journal- eller aktstudier bedöms det därför vara nödvändigt att utlämnande aktörer kan lämna ut materialet i sin helhet och att myndigheten kan ta emot det. Eftersom myndigheten

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

har till uppdrag att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg behöver myndigheten kunna ta del av sådana uppgifter som förekommer i de verksamheterna. Att begränsa vilka kategorier av känsliga personuppgifter som myndigheten får behandla skulle begränsa myndighetens möjligheter att följa upp och analysera verksamheter och förhållanden enligt myndighetens instruktion.

Även i vissa andra typer av studier skulle det kunna förekomma att myndigheten behöver samla in uppgifter som den inte har behov av att analysera för sina undersökningar och utvärderingar. Det handlar om enkät- och intervjustudier där det i vissa fall kan vara svårt att förutse vilka uppgifter som kommer in till myndigheten. Myndigheten kan och bör, i enlighet med uppgiftsminimeringsprincipen i artikel 5.1 c i EU:s dataskyddsförordning, vidta nödvändiga åtgärder för att se till att det inte samlas in fler uppgifter än nödvändigt. Det kan handla om att i enkäter och intervjuer tydligt ange vilka uppgifter som är av intresse för myndigheten och att noggrant överväga vilka intervjuer som behöver spelas in och vilka som i stället kan dokumenteras genom anteckningar, vilket innebär en lägre risk för att registrera överskottsinformation. Samtidigt är det svårt att fullt ut kunna förutse vilka uppgifter som kan komma in i exempelvis ett enkätsvar eller vad en enskild kommer att säga vid en intervju som spelas in. Även i sådana typer av studier är det alltså svårt att på förhand helt kunna konkretisera vilka personuppgifter myndigheten behöver behandla.

Det kan även vara svårt att förutse vilka kategorier av känsliga personuppgifter som finns i artiklar, rapporter och litteratur som myndigheten behöver ta del av, även om sådant material sällan innehåller känsliga personuppgifter.

Behandling av känsliga personuppgifter för ett viktigt allmänt intresse

Enligt artikel 9.2 g i EU:s dataskyddsförordning får känsliga personuppgifter behandlas om behandling är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Artikel 9.2 g i EU:s dataskyddsförordning är direkt tillämplig, men det är enligt artikel 6.2 och 6.3 möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser även avseende känsliga personuppgifter.

Myndigheten för vård- och omsorgsanalys uppdrag regleras i nationell rätt genom myndighetens instruktion. I förarbetena till dataskyddslagen gör regeringen bedömningen att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 85). När Myndigheten för vård- och omsorgsanalys behandlar känsliga personuppgifter som är nödvändiga för att utföra de uppgifter som ålagts myndigheten i dess instruktion rör det sig således om en sådan behandling som avses i artikel 9.2 g i EU:s dataskyddsförordning, dvs. en behandling som är av ett viktigt allmänt intresse på grundval av nationell rätt.

I 3 kap. 3 och 4 §§ dataskyddslagen regleras myndigheters behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Där framgår att känsliga personuppgifter, med stöd av artikel 9.2 g i EU:s dataskyddsförordning, får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1), om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2) eller, i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

I vissa fall kan myndigheten behandla personuppgifter enligt 3 kap. 3 § första stycket 1 dataskyddslagen, för att uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, exempelvis enligt offentlighets- och sekretesslagen.

Myndigheten bör däremot inte kunna behandla känsliga personuppgifter i sin kärnverksamhet enligt 3 kap. 3 § första stycket 2 dataskyddslagen, som rör sådan behandling som är nödvändig för handläggningen av ett ärende. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Uttrycket handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

avslutas (prop. 2017/18:105 s. 87 och prop. 2016/17:180 s. 2325 och 286). Myndigheten för vård- och omsorgsanalys uppgift är att undersöka allmänna förhållanden och att analysera och följa upp viss verksamhet på ett generellt plan. Myndighetens arbete är inte avsett att få några faktiska verkningar i enskilda fall på det sätt som avses i förarbetena. Därför kan myndighetens verksamhet inte anses utgöra sådan verksamhet som har anknytning till ett särskilt ärende i den mening som avses i 3 kap. 3 § första stycket 2 dataskyddslagen.

Hanteringen av personuppgifter inom myndighetens kärnverksamhet kan inte heller ske med stöd av det undantag som avser ett viktigt allmänt intresse när behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet, eftersom 3 kap. 3 § 3 dataskyddslagen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten (prop. 2017/18:105 s. 194).

Dataskyddslagen bedöms därmed inte ge tillräckliga förutsättningar för all den behandling av känsliga personuppgifter som behöver utföras vid Myndigheten för vård- och omsorgsanalys. För att myndigheten ska kunna behandla känsliga personuppgifter i sin kärnverksamhet, krävs således att en särskild bestämmelse om detta införs i den föreslagna lagen. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär, i likhet med vad som gäller enligt artikel 6.3 i EU:s dataskyddsförordning, att uppgiften av viktigt allmänt intresse ska ha stöd i rättsordningen (prop. 2017/18:105 s. 4952 och s. 84). För Myndigheten för vård- och omsorgsanalys är kravet på en rättslig grund uppfyllt i fråga om behandlingar som sker för de ändamål som anges i lagen (se avsnitt 6.6.1). Kravet på att den rättsliga grunden ska vara förenlig med det väsentliga innehållet i rätten till dataskydd bedöms inte tillföra något utöver de krav som gäller enligt artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 84). Som framgår av avsnitt 7 bedöms kravet på proportionalitet vara uppfyllt. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen föreslås i avsnitt 6.9–6.14.

För att det ska vara tillåtet att behandla känsliga personuppgifter enligt artikel 9.2 g i EU:s dataskyddsförordning måste behandlingen vara nödvändig av hänsyn till det viktiga allmänna intresset. Kravet på nödvändighet i artikel 9 innebär detsamma som kravet på nödvändighet i artikel 6 (prop. 2017/18:105 s. 75 och 76). Att behandlingen ska vara nödvändig innebär således inte att det måste

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

vara omöjligt att utföra uppdraget om inte känsliga personuppgifter behandlas. Behandling av känsliga personuppgifter kan alltså anses nödvändig om den medför effektivitetsvinster, även om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas på visst sätt. När behandlingen av känsliga personuppgifter tillför relevant information till Myndigheten för vård- och omsorgsanalys undersökningar och utvärderingar och undersökningarna och utvärderingarna inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses nödvändig i den mening som avses i artikel 9.2 g i EU:s dataskyddsförordning. Även sådana uppgifter som egentligen utgör överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om de behöver samlas in för att uppgifter som är nödvändiga att analysera ska kunna samlas in av myndigheten, såsom uppgifter som finns i akter och journaler. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste dock avgöras i varje enskilt fall, varvid EU:s dataskyddsförordnings grundläggande principer om bl.a. uppgiftsminimering (artikel 5.1 c) och lagringsminimering (artikel 5.1 e) behöver beaktas för att säkerställa att inte fler uppgifter än nödvändigt samlas in.

En särskild bestämmelse om behandling av känsliga personuppgifter vid myndigheten gör det tydligt att myndigheten har ett stöd för den behandling av uppgifter som är nödvändig i myndighetens verksamhet. Myndighetens personuppgiftsbehandling kommer vidare att innebära betydande intrång i enskildas personliga integritet som måste förenas med särskilda skyddsåtgärder (se avsnitt 5). En ökad tydlighet skapar förutsättningar för myndigheten att utföra sitt uppdrag på bästa möjliga sätt, utan att rättslig osäkerhet begränsar arbetet. Tydligheten bidrar också till transparens i förhållande till exempelvis de registrerade, tillsynsmyndigheten och de aktörer som lämnar uppgifter till myndigheten.

Sammantaget görs bedömningen att det i lagen bör införas en bestämmelse som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Det handlar om en sådan specifik bestämmelse som är tillåten enligt artikel 6.2 och 6.3. Hänvisningen till EU:s dataskyddsförordning bör vara dynamisk, dvs. avse förordningen i den vid varje tidpunkt

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag.

Det finns även visst utrymme för myndigheten att tillämpa andra undantag

Ovan bedöms att behandling av känsliga personuppgifter hos Myndigheten för vård- och omsorgsanalys kan ske med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning. Därutöver kan det, beroende på omständigheterna i det enskilda fallet, finnas andra undantag från förbudet att behandla känsliga personuppgifter som skulle kunna aktualiseras i Myndigheten för vård- och omsorgsanalys kärnverksamhet, bl.a. uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning. En prövning av om det undantaget kan tillämpas måste dock göras i varje enskilt fall. Att tillämpa undantaget för uttryckligt samtycke i artikel 9.2 a i EU:s dataskyddsförordning är ofta förenat med praktiska svårigheter. Det skulle dessutom endast vara möjligt vid vissa typer av undersökningar, t.ex. intervju- och enkätstudier, eftersom möjligheten att på förhand kontakta registrerade för att inhämta ett samtycke inte finns vid exempelvis registerstudier.

I ett fåtal situationer, främst vid intervjuer med medlemmar i region- eller kommunfullmäktige eller företrädare för vissa organisationer, bör också undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning kunna tillämpas. Någon mer omfattande behandling av personuppgifter kommer myndigheten dock inte kunna utföra med stöd av det undantaget.

Regeringen har angett att undantaget för hälso- och sjukvård och social omsorg i artikel 9.2 h i EU:s dataskyddsförordning och 3 kap. 5 § dataskyddslagen kan tillämpas för behandling av känsliga personuppgifter vid Myndigheten för vård- och omsorgsanalys (prop. 2017/18:105 s. 93). Trots förarbetsuttalandet bedöms det råda en viss osäkerhet om i vilken utsträckning Myndigheten för vård- och omsorgsanalys kan tillämpa undantaget i sin verksamhet med undersökningar och utvärderingar, bl.a. eftersom regeringen har angett att det är svårt att närmare avgränsa innebörden av begreppet social omsorg (prop. 2017/18:105 s. 93). Socialdataskyddsutredningen förde också ett resonemang om undantagets tillämplighet i Myndigheten för vård- och omsorgsanalys verksamhet.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Utredningen bedömde att myndigheten möjligen i vissa fall skulle kunna sägas bedriva kvalitetskontroll, men att den inte kan anses ingå i förvaltningen av hälso- och sjukvården eller den sociala omsorgen och inte är en hälsovårdsmyndighet i enlighet med vad som avses i skäl 53 i EU:s dataskyddsförordning (SOU 2018:52 s. 139).

Myndigheten för vård- och omsorgsanalys bör kunna tillämpa undantaget för statistiska ändamål i artikel 9.2 j i EU:s dataskyddsförordning och 3 kap. 7 § dataskyddslagen. Detta gäller under förutsättning att behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Villkoret att samhällsintresset av statistikprojektet ska klart väga över risken för otillbörligt integritetsintrång utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i EU:s dataskyddsförordning (prop. 2017/18:105 s. 124).

6.8. Behandling av personuppgifter som rör lagöverträdelser

Bedömning: Möjligheterna att behandla uppgifter som rör lag-

överträdelser bör inte begränsas.

Skälen för bedömningen: Enligt artikel 10 i EU:s dataskydds-

förordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. I förarbetena till dataskyddslagen angavs att den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig och i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:105 s. 99). I linje med detta anges i 3 kap. 8 § dataskyddslagen att person-

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

uppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.

Behandling av uppgifter om lagöverträdelser kan dock anses som särskilt riskfylld. Därför är sådan behandling särreglerad i EU:s dataskyddsförordning och brukar ofta regleras särskilt i registerförfattningar för myndigheter. Dessutom har begreppet uppgifter om lagöverträdelser en bredare innebörd i bl.a. 3 § lagen (2003:460) om etikprövning av forskning som avser människor, här benämnd etikprövningslagen, 2 kap. 7 § patientdatalagen och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten än i artikel 10 i EU:s dataskyddsförordning. I de lagarna regleras behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Mot bakgrund av att behandling av lagöverträdelser, både i den vidare och smalare definitionen, kan anses som särskilt riskfylld bör det övervägas om det ska tas in särskilda begränsningar i fråga om behandling av sådana uppgifter i den lag som nu föreslås.

Myndigheten för vård- och omsorgsanalys har endast i begränsad utsträckning behov av att behandla uppgifter om lagöverträdelser. I den mån det finns behov är det dock inte möjligt att på förhand i lag på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål det finns sådana behov. Behov kan exempelvis uppstå för att göra analyser om socialtjänstens brottsförebyggande arbete, arbete med unga lagöverträdare och stöd till brottsutsatta. Behovet kan också uppstå i analyser av vård till personer med missbruksproblematik, vården vid straffrättsliga vårdpåföljder, vård och omsorg vid administrativa frihetsberövanden samt vid studier av samarbetet mellan polis, socialtjänst och hälso- och sjukvård. Många gånger torde det räcka med att myndigheten tar del av helt avidentifierad statistik för sådana studier, men i vissa fall krävs det, för att arbetet ska leda till värdefulla resultat, uppgifter på så pass detaljerad nivå att det kan bli fråga om personuppgifter. Dessutom kan det förekomma uppgifter om lagöverträdelser i sådana akter från socialtjänsten eller patientjournaler som myndigheten i vissa fall kan komma att behöva ta del av. Mot bakgrund av detta bedöms det inte vara möjligt att införa en bestämmelse som begränsar i vilka typer av undersökningar eller

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

utvärderingar som uppgifter om lagöverträdelser får behandlas eller för vilka konkreta ändamål sådana uppgifter får behandlas.

Även om det inte föreslås någon specifik bestämmelse som begränsar behandling av personuppgifter om lagöverträdelser, säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i denna lag. Uppgifter ska enligt artikel 5.1 c i EU:s dataskyddsförordning vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Denna princip begränsar myndighetens möjligheter att över huvud taget samla in personuppgifter om lagöverträdelser. I den mån sådana uppgifter behandlas ska de, enligt artiklarna 5.1 f och 32.1 i EU:s dataskyddsförordning, omfattas av ett skydd som säkerställer lämplig säkerhet för uppgifterna och lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till risken. Uppgifterna omfattas enligt 24 kap. 8 § OSL och 7 § OSF som huvudregel av absolut sekretess i myndighetens verksamhet. Dessutom föreslås här flera skyddsåtgärder som omfattar behandling av personuppgifter om lagöverträdelser. Det föreslås bl.a. att myndigheten redan på förhand ska fastställa vilka kategorier av uppgifter om lagöverträdelser som ska analyseras i ett projekt (avsnitt 6.11), uppgifterna får som huvudregel endast behandlas inom ramen för det projekt i vilket de samlas in (avsnitt 6.10) och direkt hänförliga uppgifter om lagöverträdelser ska som huvudregel kodas (avsnitt 6.13).

6.9. Sökbegränsningar

Förslag: Sökningar ska inte få utföras i syfte att få fram ett urval

av personer grundat på känsliga personuppgifter.

Sökningar ska dock få utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning om sökningen sker för något av de primära ändamålen.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Skälen för förslaget

Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten

EU:s dataskyddsförordning saknar särskilda bestämmelser om sökning eller användning av sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordnings bestämmelser. På grund av detta måste en sökning uppfylla de krav som ställs vid behandling av personuppgifter, bl.a. när det gäller att personuppgifterna enligt artikel 5.1 c ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten. En bestämmelse om sökbegränsningar kan därför vara ett ändamålsenligt sätt att begränsa dessa risker. Sådana bestämmelser finns exempelvis i 3 kap. 3 § andra stycket dataskyddslagen, 2 kap. 3 och 4 §§ lagen om Rättsmedicinalverkets behandling av personuppgifter, 8 § studiestödsdatalagen och 13 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen. Regeringen har bedömt att det med en sökbegränsning uppnås ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna, dvs. möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter (prop. 2017/18:105 s. 90).

Det bör införas sökbegränsningar i lagen som anpassas till myndighetens behov och behovet av skydd för den personliga integriteten

Myndigheten för vård- och omsorgsanalys behöver behandla stora mängder känsliga personuppgifter. En bestämmelse som begränsar möjligheterna att göra sökningar baserat på känsliga personuppgifter bedöms därför vara en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen i enlighet med vad som föreskrivs i artikel 9.2 g i EU:s dataskyddsförordning. En bestämmelse om sökbegränsningar bör därmed införas. En sådan

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

bestämmelse utgör en bestämmelse om skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

Som skyddsåtgärd måste en bestämmelse om sökbegränsningar utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet är dock inte att omöjliggöra sådana sökningar som behövs för att myndighetens verksamhet ska kunna fungera. Bestämmelsen bör i stället utformas med hänsyn tagen till de särskilda behov som gäller i Myndigheten för vård- och omsorgsanalys verksamhet. En sökbegränsning som utgår från syftet med sökningen hindrar inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, exempelvis för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 195).

Till skillnad mot sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen, som endast gäller vid behandling av känsliga personuppgifter med stöd av det generella myndighetsundantaget i 3 kap. 3 § första stycket, bör en bestämmelse om sökbegränsningar för Myndigheten för vård- och omsorgsanalys ges en mer generell utformning. En sådan bestämmelse bör också kompletteras med de undantag som är nödvändiga för att myndigheten ska kunna fullgöra sina uppgifter på ett ändamålsenligt sätt. På så sätt tas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt till vara, samtidigt som myndighetens behov av att behandla personuppgifter för att utföra sitt uppdrag tillgodoses.

I Myndigheten för vård- och omsorgsanalys verksamhet finns ett stort behov av att göra sökningar avseende uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och en fysisk persons sexualliv eller sexuella läggning. Som beskrivs i avsnitt 6.7 är det ofta helt centralt för myndigheten att kunna analysera uppgifter om sådana förhållanden för att kunna utföra undersökningar och utvärderingar om vården och omsorgen i enlighet med sitt uppdrag. Inom ramen för analyserna behöver myndigheten systematisera informationen på olika sätt, ofta genom att använda statistikprogram och med hjälp av sådana göra sökningar baserat på relevanta faktorer. Skälen för att myndigheten behöver kunna göra sökningar avseende uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och en fysisk persons sexualliv eller sexuella läggning är därmed desamma som de redovisade skälen för behovet av behandling av de kategorierna av känsliga personuppgifter (se avsnitt 6.7). Myndig-

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

heten kan exempelvis behöva sortera information utifrån vissa vårdåtgärder. Om uppgifter t.ex. behöver sorteras utifrån vårdåtgärden könsbyte, vilket skulle kunna vara uppgifter om såväl hälsa som sexualliv, är det viktigt att det finns ett tydligt stöd för att en sådan sortering är tillåten.

Med tanke på myndighetens behov av att kunna få fram ett urval av personer baserat på uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och en fysisk persons sexualliv eller sexuella läggning bör det föreslagna sökförbudet inte omfatta sådana sökbegrepp, förutsatt att uppgifterna behandlas för de i lagen angivna primära ändamålen. Myndigheten lämnar endast i begränsad omfattning ut personuppgifter. Myndigheten bedöms därför inte ha behov av att kunna utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

För de kategorier av känsliga personuppgifter som föreslås undantas från sökförbudet säkerställs integritetsskyddet genom de övriga skyddsbestämmelser som föreslås ingå i lagen, de generella dataskyddsreglerna och uppgifternas sekretesskydd. Risken för integritetsintrång begränsas bl.a. av den föreslagna bestämmelsen om att myndigheten som huvudregel inte får behandla personuppgifter i andra projekt än det som de samlats in i (se avsnitt 6.10). Det betyder att det inte finns någon möjlighet för myndigheten att bygga upp en stor databas på uppgifter från olika projekt vari sökningar kan göras. Sökningar kan i stället endast göras inom mer begränsade ramar. Integritetsrisken med att tillåta sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa och en fysisk persons sexualliv eller sexuella läggning får därmed anses vara relativt begränsad.

Det bör inte införas sökbegränsningar i lagen för uppgifter om lagöverträdelser

Myndigheten för vård- och omsorgsanalys har endast i begränsad utsträckning behov av att behandla uppgifter om lagöverträdelser. Behovet av att göra sökningar i fråga om sådana uppgifter bedöms vara än mer begränsat. Det kan dock förekomma att myndigheten

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

behöver strukturera uppgifter utifrån brott, t.ex. för att analysera socialtjänstens åtgärder i fråga om barn och unga som begår vissa brott. Vid uppföljningar av vården vid straffprocessuella tvångsmedel kan det också finnas behov av att strukturera uppgifter utifrån specifika tvångsmedel. Det kan inte uteslutas att det finns fler exempel på analyser som kräver att myndigheten gör sökningar och sammanställningar utifrån uppgifter om lagöverträdelser. I avsnitt 6.8 anges skäl för att möjligheterna att behandla uppgifter som rör lagöverträdelser inte bör begränsas. Samma skäl talar även för att det inte bör införas några sökbegränsningar i fråga om sådana personuppgifter. I den mån det kan finnas behov av att behandla personuppgifter om lagöverträdelser är det inte möjligt att på förhand i lag på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål det finns sådana behov.

Även om det inte föreslås någon specifik sökbegränsning för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i denna lag.

6.10. Behandling av personuppgifter i projekt

Förslag: Behandling av personuppgifter för primära ändamål ska

ske i projekt, utom när behandling av personuppgifter utförs för omvärldsbevakning eller planering av verksamheten. Med projekt ska avses en planerad arbetsinsats som genomförs inom bestämda ramar.

Personuppgifter som samlas in i ett projekt ska inte få behandlas i ett annat projekt. Personuppgifter ska dock få behandlas i ett annat projekt än det de samlats in i om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Skälen för förslaget

Behandling av personuppgifter bör ske i projekt

I avsnitt 6.6.2 föreslås att Myndigheten för vård- och omsorgsanalys ska få behandla personuppgifter om det är nödvändigt för undersökningar om vårdens och omsorgens funktionssätt, undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg, utvärderingar av information om vård och omsorg som lämnas till enskilda eller utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg. Sådana undersökningar och utvärderingar medför ofta behov av att studera förhållanden utifrån flera olika vinklar. Det är därför inte ovanligt att Myndigheten för vård- och omsorgsanalys utför flera olika behandlingar av personuppgifter inom ramen för ett och samma projekt. I ett projekt kan exempelvis enkät- och intervjustudier behöva göras liksom registerstudier. Det sammanhang som de olika behandlingarna tillsammans bildar för ett gemensamt syfte bör ges en gemensam benämning.

Uttrycket projekt används i flera andra lagstiftningar. Enligt 6 § etikprövningslagen ska ett etikgodkännande avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. I förarbetena till etikprövningslagen konstateras att ett projekt oftast är avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner som ska delta, forskningsledningen, antalet forskare och annan personal som ska ingå i projektet, finansiering och budgetering osv. (prop. 2002/03:50 s. 195). I 15 § lagen om den officiella statistiken används uttrycken forskningsprojekt och statistikprojekt och i 3 kap. 7 § dataskyddslagen återkommer uttrycket statistikprojekt. Myndigheten för arbetsmiljökunskap får enligt 12 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap ha samlingar av personuppgifter om det är nödvändigt för ett särskilt projekt.

Ett projekt är enligt Svenska Akademiens ordlista ett planerat arbete av större omfattning. Enligt Svensk ordbok betyder ordet projekt idé och utkast för metod att uppnå visst (större) resultat. I Nationalencyklopedin anges ett projekt vara en idé eller plan för uppnåendet av ett visst resultat och ofta även arbetet med att genomföra planen inom vissa givna ramar, t.ex. i fråga om tid och ekonomi.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Uttrycket projekt bör därmed kunna användas för att tydligt avgränsa vilken behandling som är nödvändig för specifika undersökningar och utvärderingar. Projektet som helhet måste, i likhet med de enskilda behandlingarna av personuppgifter, bedrivas i syfte att fullgöra myndighetens uppdrag. I avsnitt 6.11 föreslås att Myndigheten för vård- och omsorgsanalys ska fastställa vissa ramar för de projekt myndigheten bedriver. Ramarna avser projektets syfte, vilka känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom projektet och genomförandetiden för projektet. Det kan dock vara aktuellt att fastställa även andra ramar, t.ex. när det gäller metod och resursåtgång. Genom noggranna förberedelser och planeringsarbete kan lämpliga ramar utformas.

Myndigheten för vård- och omsorgsanalys projekt har en central betydelse för integritetsskyddet enligt den föreslagna lagen. Genom att knyta behandlingen av personuppgifter till olika projekt kan behandlingen avgränsas och därmed begränsas på olika sätt, bl.a. i fråga om återanvändning av personuppgifter, åtkomst till personuppgifter och tid. Det bör därför förtydligas vad som avses med projekt i den nya lagen. Mot bakgrund av projektets avgränsande funktion och behovet av förberedelser bör ett projekt i den föreslagna lagens mening vara en planerad arbetsinsats som genomförs inom bestämda ramar.

Genom att varje projekt ges en tydlig målbild och ramar att förhålla sig till skapas goda förutsättningar för en väl avvägd behandling av personuppgifter. De olika undersökningar som kan aktualiseras inom ramen för projektet måste ha som ändamål att besvara frågeställningar som är relevanta för den gemensamma målbilden. För att säkerställa att behandlingen av personuppgifter begränsas på ett ändamålsenligt sätt, bör behandlingen därmed ske i projekt.

Personuppgifter bör som huvudregel behandlas i det projekt de samlats in i

En viktig förutsättning för att Myndigheten för vård- och omsorgsanalys ska kunna bedriva sin verksamhet är att myndigheten får del av uppgifter för bearbetning och analyser. Behovet av uppgifter kan tillgodoses genom att myndigheten begär in de uppgifter som behövs i varje enskilt projekt. På så sätt säkerställs att

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

uppgifterna är aktuella och korrekta utan att Myndigheten för vård- och omsorgsanalys måste ombesörja eventuell uppdatering och komplettering av uppgifterna.

När stora mängder personuppgifter samlas in är det viktigt att behandlingen begränsas och är förutsägbar. Det bör därför som utgångspunkt endast vara tillåtet att behandla de insamlade personuppgifterna i det projekt som de samlats in i. På så sätt blir det tydligt både för vilket ändamål uppgifterna samlas in och hur länge uppgifterna kommer att behandlas. Det begränsar också tillgången till personuppgifterna, både i fråga om antal personer och tid. Tillgång till personuppgifter som behandlas i ett projekt bör i huvudsak endast medges personer som arbetar i det aktuella projektet under den tid projektet pågår (se avsnitt 6.14 och 6.15). Dessutom begränsas myndighetens möjlighet att söka och bearbeta personuppgifter som finns i verksamheten till att avse sådana uppgifter som behandlas inom ramen för aktuellt projekt.

En begränsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet. Begränsningen utgör en skyddsåtgärd som är tillåten att införa i den föreslagna lagen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan då behövas som utgångspunkt för arbetet eller för jämförande studier. Det kan således finnas behov av att behandla personuppgifter som samlats in i det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hänföras till den registrerade ska separeras från övriga personuppgifter, är en eventuell återanvändning av uppgifter dock i vissa fall avhängig tillgång till kodnyckel. En kodnyckel kan skapas hos den myndighet som lämnat uppgifterna till Myndigheten för vård- och omsorgsanalys. Dessa myndigheter gallrar då nyckeln utifrån de regler som gäller för den egna myndigheten. När Myndigheten för vård- och omsorgsanalys skapar en kodnyckel, får den enligt artikel 5.1 e i EU:s dataskyddsförordning inte sparas under längre tid än vad som är nödvändigt för ändamålet (se avsnitt 6.15). I många fall kan dock Myndigheten för vård- och omsorgsanalys göra upprepningar och uppföljningar av tidigare projekt genom underlag som inte innehåller direkt hänförliga personuppgifter, dvs. utan användning av kodnyckel. Även i sådana fall kan

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

de tidigare uppgifterna dock utgöra personuppgifter om det finns möjlighet att bakvägsidentifiera den registrerade.

Eftersom möjligheterna att koppla tidigare insamlade personuppgifter till nya uppgifter begränsas av både praktiska omständigheter och skyddsåtgärder, har personuppgifter sällan ett faktiskt användningsområde i ett annat projekt än det de samlats in i. Det får dock anses motiverat att myndigheten, i den mån det ändå kan konstateras ett behov, kan vidarebehandla personuppgifter om det är nödvändigt för att upprepa eller följa upp ett tidigare projekt eller del av projekt. Att i sådana situationer kräva att myndigheten på nytt ska inhämta personuppgifter som den redan har samlat in i ett annat projekt skulle vara ineffektivt och onödigt betungande för såväl Myndigheten för vård- och omsorgsanalys som uppgiftslämnande myndigheter och enskilda. Eftersom avsikten är att ta tidigare resultat vidare i ett kompletterande projekt, bör ändamålen för behandlingarna oftast ligga relativt nära varandra. Vidarebehandlingen bör därmed vara förenlig med finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning).

När personuppgifter vidarebehandlas i ett nytt projekt blir samtliga skyddsåtgärder enligt den föreslagna lagen tillämpliga. Vidarebehandlade personuppgifter ska alltså behandlas på samma sätt som personuppgifter som samlas in från externa aktörer till ett projekt.

Sammantaget bör personuppgifter som samlats in i ett projekt som huvudregel inte få behandlas i ett annat projekt. Personuppgifter bör dock få behandlas i ett annat projekt än det de samlats in i om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Undantag för omvärldsbevakning och planering av verksamheten

Myndigheten för vård- och omsorgsanalys utför omvärldsbevakning löpande och utan föregående planering eller förberedelse. Det kan handla om att myndighetens medarbetare läser nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Sådant material kan också samlas i ett e-bibliotek. Syftet med omvärldsbevakning är att bevaka utvecklingen på de områden om ryms inom myndigheten

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

uppdrag. Bevakningen är nödvändig för medarbetarnas kompetensutveckling och för att inhämta uppslag till nya projekt. Myndigheten bör därför ha möjlighet att samla in och behandla sådant material löpande utan att det finns en koppling till ett specifikt projekt.

Planering av verksamheten äger rum innan myndigheten inleder ett projekt. Planeringen skapar förutsättningar för att arbete senare ska kunna ske i projektform. Det är därför inte möjligt att kräva att planering av verksamheten ska ske i projektform.

Behandling som undantas från projektkravet kommer även att undantas från övriga föreslagna skyddsåtgärder som är knutna till projektramen. Det medför en ökad risk för intrång i den personliga integriteten. Det kan dock sällan anses nödvändigt att behandla stora mängder personuppgifter för omvärldsbevakning och planering av myndighetens verksamhet. Syftet med sådan verksamhet är att inhämta kunskap och att få uppslag till nya projekt. Det handlar därför inte om att göra breda analyser. Enligt förslag i avsnitt 6.13 ska dessutom personuppgifter som kan hänföras direkt till den registrerade som huvudregel separeras från övriga personuppgifter. Ofta bör det vara möjligt att använda avidentifierade uppgifter eller statistikuppgifter vid omvärldsbevakning och planering. Riskerna för den personliga integriteten bedöms därmed inte vara så omfattande att behandling av personuppgifter i dessa fall bör kopplas till ett projekt. Behandling av personuppgifter för omvärldsbevakning och planering av verksamheten bör sammantaget undantas från kravet på att all behandling av personuppgifter ska ske i projekt.

6.11. Fastställande av ramarna för projektet

Förslag: Innan personuppgifter behandlas i ett projekt ska

Myndigheten för vård- och omsorgsanalys fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet och när projektet senast ska vara avslutat.

Det syfte som har fastställts ska inte få ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats.

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Skälen för förslaget

Myndigheten bör fastställa vissa ramar för projektet

I avsnitt 6.10 görs bedömningen att en begränsning av behandlingen av personuppgifter till projekt med vissa bestämda ramar är fördelaktigt ur integritetssynpunkt och skapar förutsägbarhet. För att sådan förutsägbarhet ska uppnås bör de grundläggande ramarna för projektet fastställas på förhand.

Genom att syftet är fastställt säkerställs att alla undersökningar och utvärderingar inom ramen för projektet sker för projektets övergripande syfte och därmed att personuppgiftsbehandlingen inte går utöver syftet med projektet. Det bör därför som en skyddsåtgärd finnas krav på att Myndigheten för vård- och omsorgsanalys ska fastställa syftet med projektet innan personuppgifter behandlas i projektet.

För att ytterligare konkretisera de huvudsakliga ramarna för personuppgiftsbehandlingen bör det ställas krav på att myndigheten fastställer vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras i projektet och när projektet senast ska vara avslutat. Med analyseras avses här att myndigheten ska bearbeta, systematisera, strukturera och utifrån en analysmodell eller liknande använda uppgifterna i syfte att se samband, göra jämförelser och dra slutsatser. Sådana kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som myndigheten behandlar enbart av det skäl att de finns i samma material som de uppgifter som myndigheten behöver analysera behöver alltså inte fastställas på förhand.

Uttrycket lagöverträdelser föreslås ha samma innebörd som i bl.a. 3 § 2 etikprövningslagen, 2 kap. 7 § patientdatalagen och 7 § lagen om behandling av personuppgifter inom socialtjänsten vilket alltså är en bredare definition än de uppgifter som avses i artikel 10 i EU:s dataskyddsförordning (se avsnitt 6.8). Det bedöms lämpligt att uttrycket lagöverträdelser ges samma innebörd i denna lag som i de lagar som reglerar personuppgiftsbehandling inom vården, omsorgen och forskningen, eftersom det finns många likheter mellan myndighetens personuppgiftsbehandling och behandling av personuppgifter i sådana verksamheter. Dessutom kommer vissa av de personuppgifter som myndigheten behöver behandla ursprungligen från vården eller omsorgen.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

De fastställda ramarna för projektet bör som huvudregel ligga fast under hela den tid som projektet utförs för att den eftersträvade förutsägbarheten ska uppnås, men det bör finnas viss möjlighet att göra ändringar i fråga om projektets tidsramar och kategorierna av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras. Sådana ändringar behöver fastställas innan personuppgifter som omfattas av ändringen i fråga behandlas. Syftet med projektet bör dock inte få ändras sedan det har fastställts, eftersom det skulle motverka hela syftet med bestämmelsen.

Den föreslagna bestämmelsen skapar en tydlig ram för personuppgiftsbehandlingen, vilket innefattar en yttersta ram för möjliga ändamål för behandling av personuppgifter i respektive projekt. Därutöver är det nödvändigt att säkerställa att respektive behandling av personuppgifter i projektet uppfyller de krav som finns i dataskyddslagstiftningen i övrigt, bl.a. vad gäller ändamålsbestämning.

Myndigheten bör hålla information om vad som fastställts tillgänglig på sin webbplats

För att ytterligare bidra till tydlighet och förutsägbarhet kring behandlingen bör myndigheten på sin webbplats hålla information tillgänglig om vad som har fastställts i fråga om ett projekts syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras och när projektet senast ska vara avslutat. Genom att sådan information hålls tillgänglig på myndighetens webbplats ges alla berörda eller intresserade, som de registrerade, allmänheten, tillsynsmyndigheten och aktörer som myndigheten begär uppgifter från, möjlighet till insyn i myndighetens behandlingar. Dessutom följer det av artiklarna 13 och 14 i EU:s dataskyddsförordning att den registrerade ska ges viss information. Det krav som nu föreslås avser inte ersätta EU:s dataskyddsförordnings krav på information.

Förslaget ger myndigheten frihet att bedöma det mest lämpliga sättet att utforma den information som ska tillgängliggöras på webbplatsen. Förslaget innebär inte att en viss handling, som ett beslut eller en projektplan, måste publiceras i sin helhet. Myndigheten bör vid utformningen av informationen i stället ta hänsyn till vilka som kan komma att ha intresse av informationen och anpassa

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

utformningen av informationen till de målgrupperna. Det viktiga är att det tydligt framgår av den information som hålls tillgänglig på webbplatsen vad syftet med projektet är, när projektet senast ska avslutas, och, i förekommande fall, vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet.

Förslaget innebär att myndigheten på sin webbplats även ska tillgängliggöra information om eventuella ändringar i fråga om vilka kategorier av känsliga personuppgifter eller uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet samt när projektet senast ska avslutas.

6.12. Medgivande till behandling av personuppgifter

Förslag: Om personuppgifter samlas in direkt från den enskilde,

ska de endast få behandlas om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen ska dock få fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.

Skälen för förslaget

Det bör införas ett krav på uttryckligt medgivande vid insamling av personuppgifter direkt från den enskilde

Myndigheten för vård- och omsorgsanalys har behov av att samla in personuppgifter direkt från enskilda på olika sätt, exempelvis i enkät- och intervjuundersökningar. Deltagande i sådana undersökningar bygger på frivillighet. För att värna den frivilligheten och så långt som möjligt säkerställa de registrerades kontroll över de personuppgifter som behandlas, bör det införas ett krav på att inhämta ett uttryckligt medgivande från den enskilde för att myndigheten ska få behandla personuppgifter som samlas in direkt

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

från denne. Genom ett sådant krav blir det tydligt för den enskilde att denne själv kan välja om den vill lämna uppgifter till myndigheten eller inte. Ett sådant krav bidrar därmed till att skydda den enskildes personliga integritet. Kravet utgör en skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning (jfr prop. 2017/18:171 s. 140 och 141).

Ett sådant uttryckligt medgivande som avses i den nu föreslagna bestämmelsen ska anses utgöra en integritetshöjande åtgärd, som inte ska förväxlas med kravet på samtycke som rättslig grund för behandlingen. För att den integritetshöjande åtgärden inte ska uppfattas som den rättsliga grunden bör ordet medgivande användas i stället för ordet samtycke på motsvarande sätt som i t.ex. 5 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.

Även om det är fråga om en integritetshöjande åtgärd, bör det ställas i princip samma krav på ett uttryckligt medgivande enligt den nu föreslagna bestämmelsen som på ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning. Det bör alltså vara fråga om en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11 i EU:s dataskyddsförordning). Enligt Europeiska dataskyddsstyrelsen krävs för att samtycket ska uppfylla kravet på att vara informerat att information bl.a. lämnas om syftet med behandlingen och vilken information som kommer att samlas in och användas (EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 16). Med att medgivandet ska vara uttryckligt avses hur medgivandet lämnas. I Europeiska dataskyddsstyrelsens riktlinjer anges att kravet i artikel 9.2 a i EU:s dataskyddsförordning innebär att den enskilde ska lämna en uttrycklig samtyckesförklaring på något sätt, exempelvis skriftligt, i ett elektroniskt formulär, i ett e-postmeddelande eller muntligt (EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21).

Kraven på ett uttryckligt medgivande behöver dock inte vara lika strikta som de krav som ställs på ett samtycke som utgör en rättslig grund. Ett samtycke som används som en integritetshöjande åtgärd har enligt tidigare förarbeten ansetts kunna användas även i ojämlika

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

situationer (jfr prop. 2017/18:171 s. 140). Regeringen har vidare anfört att utrymmet för att bedöma samtycke som frivilligt, då det är fråga om en integritetshöjande åtgärd, torde vara större än när samtycket utgör den rättsliga grunden för behandlingen (prop. 2021/22:177 s. 116).

Ett lämnat medgivande bör kunna återkallas

För att ytterligare värna den enskildes kontroll över uppgifter som han eller hon lämnar till myndigheten bör det vara möjligt för den registrerade att när som helst återkalla ett lämnat medgivande. Därefter bör det inte längre vara tillåtet för myndigheten att behandla personuppgifter som omfattas av det återkallade medgivandet. Den registrerade ges på så sätt en möjlighet att ångra sitt val att lämna uppgifter till myndigheten.

Det föreslås endast vara sådana personuppgifter som omfattas av det återkallade medgivandet som inte längre får behandlas. Om medgivandet endast delvis återkallas behöver Myndigheten för vård- och omsorgsanalys inte upphöra med behandlingen av de övriga uppgifterna. Ett medgivande skulle t.ex. kunna återkallas endast för vissa kategorier av lämnande personuppgifter.

Den nu föreslagna bestämmelsen om återkallelse av medgivande är mer långtgående än motsvarande bestämmelser i bl.a. 5 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 3 a § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Konsekvensen av ett återkallat medgivande eller samtycke enligt de lagarna är att ytterligare personuppgifter om den registrerade därefter inte får behandlas, men behandlingen av redan insamlade personuppgifter får fortsätta (prop. 2018/19:151 s. 46 och prop. 2011/12: 176 s. 65). I denna promemoria föreslås att även behandling av sådana personuppgifter som redan har samlats in ska upphöra, om de omfattas av det återkallande medgivandet.

En förutsättning för att myndigheten ska kunna upphöra med behandlingen är dock att myndigheten kan identifiera den enskildes uppgifter. I likhet med vad som gäller enligt artikel 11.1 i EU:s dataskyddsförordning bör myndigheten inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

identifiera den enskilde endast i syfte att kunna upphöra med behandlingen vid ett återkallat medgivande. En sådan ordning skulle inte vara förenlig med principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning. Därför bör det anges i lagen att fortsatt behandling är tillåten om Myndigheten för vård- och omsorgsanalys inte utan att bevara, förvärva eller behandla ytterligare personuppgifter kan hänföra uppgifterna till den registrerade.

Återkallandet av det uttryckliga medgivandet bör inte påverka tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande föreslås i denna del alltså bli densamma som konsekvensen av ett återkallande av samtycke enligt artikel 7.3 i EU:s dataskyddsförordning.

Skillnad mellan att lämna medgivande och invända mot behandlingen

Om personuppgifter samlas in direkt från den enskilde har denne rätt att invända mot behandlingen (se avsnitt 6.4). Skillnaden mellan att invända mot behandlingen och att lämna sitt uttryckliga medgivande är, förutom de ovannämnda kriterierna för vad som utgör ett uttryckligt medgivande, att en invändning görs efter att behandling av personuppgifter har påbörjats medan ett medgivande enligt förslaget ska lämnas innan behandlingen av personuppgifter påbörjas. Konsekvensen av en invändning blir att den personuppgiftsansvarige ska upphöra med behandlingen, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i EU:s dataskyddsförordning). Om ett medgivande återkallas ska behandlingen enligt förslaget upphöra, dock föreslås ett undantag för de fall när personuppgifterna inte kan identifieras av myndigheten. Rätten att göra invändningar kan således inte ersätta ett krav på medgivande och en möjlighet att återkalla medgivandet. Genom att kravet på medgivande regleras separat från bestämmelsen om undantaget från rätten att göra invändningar minskar risken för att de olika bestämmelserna sammanblandas (jfr prop. 2017/18:112 s. 53).

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

6.13. Begränsning av möjligheterna att identifiera den registrerade

Förslag: Personuppgifter som direkt kan hänföras till den regi-

strerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade ska dock få behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Personuppgifter som inte direkt kan hänföras till den registrerade ska få vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.

Skälen för förslaget

Pseudonymisering och kryptering minskar integritetsriskerna

Behandling av personuppgifter som direkt kan hänföras till den registrerade är förenad med större integritetsrisker än behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade. Genom pseudonymisering eller kryptering av personuppgifter är det därmed möjligt att minska riskerna för de registrerade och bidra till att säkerställa en tillräcklig skyddsnivå (skäl 28 och 83 i EU:s dataskyddsförordning). Både kryptering och pseudonymisering tillgodoser principen om uppgiftsminimering enligt artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet enligt artikel 5.1 f i EU:s dataskyddsförordning. Pseudonymisering och kryptering nämns bl.a. i artikel 32.1 a i EU:s dataskyddsförordning som sådana tekniska och organisatoriska åtgärder som ska säkerställa en lämplig säkerhetsnivå vid behandling av personuppgifter. Därutöver reducerar pseudonymisering och kryptering behandlingen av uppgifter om personnummer och samordningsnummer. Sådana uppgifter får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

beaktansvärt skäl (artikel 87 i EU:s dataskyddsförordning och 3 kap. 10 § dataskyddslagen).

Enligt artikel 4.5 i EU:s dataskyddsförordning är pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. För pseudonymisering bör det alltså krävas att all information som direkt kan identifiera en person, t.ex. namn eller personnummer, ersätts med pseudonymer. Utöver detta bör det krävas att annan information som kan användas för att indirekt identifiera personen hanteras så att detta inte längre är möjligt. Variabler som rör exempelvis kön, bostadsort och diagnos kan alltså behöva tas bort, om de möjliggör s.k. bakvägsidentifiering. Efter pseudonymisering rör det sig fortfarande om personuppgifter eftersom man behåller möjligheten att återidentifiera individerna med hjälp av kompletterande uppgifter som förvaras separat. De kompletterande uppgifterna utgörs ofta av en kodnyckel som beskriver relationen mellan de pseudonymiserade uppgifterna, som exempelvis är kopplade till löpnummer, och direkt hänförliga personuppgifter, såsom namn eller personnummer.

Det saknas i EU:s dataskyddsförordning och dataskyddslagen en definition av vad som ska anses utgöra kryptering. Kryptering brukar vanligen användas när det handlar om att göra information svårläslig för alla som inte ska kunna läsa den. Genom att använda ett kodsystem eller ett chiffer kastas bokstäver och siffror om, och texten blir oläslig. För att göra informationen läslig igen krävs dekryptering, som bara kan göras av de personer som texten är ämnad för. Det är vanligt att känslig information krypteras när den skickas elektroniskt mellan olika mottagare.

Det bedöms inte vara lämpligt att införa krav på pseudonymisering eller kryptering i lagen

Vid Myndigheten för vård- och omsorgsanalys behandling av personuppgifter bör de enskildas identitet så långt som möjligt skyddas. Detta blir särskilt viktigt eftersom myndigheten i de flesta

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

fall saknar behov av att behandla personuppgifter som direkt kan hänföras till den registrerade. Uppgifter som namn och personnummer bör därför så långt det är möjligt inte vara tillgängliga i klartext i det underlag som myndigheten baserar sina undersökningar och utvärderingar på.

Ett krav på att de uppgifter som Myndigheten för vård- och omsorgsanalys får behandla ska vara pseudonymiserade på ett sådant sätt att de varken direkt eller indirekt kan hänföras till en person utan kompletterande uppgifter skulle försvåra och ibland omöjliggöra genomförandet av sådana analyser som myndigheten behöver göra. Som konstateras i avsnitt 5 behöver myndigheten ofta kunna analysera ett antal olika kategorier av personuppgifter för att se vilka parametrar som sticker ut, vilka förhållanden som verkar förekomma och hur de hänger ihop. Om uppgifter om exempelvis diagnoser inte får behandlas i myndighetens analysmaterial för att inte riskera bakvägsidentifiering av personer med sällsynta sjukdomar eller om åldersuppgifter inte får behandlas för att inte riskera att identifiera personer i särskilt höga åldersgrupper, skulle alltså möjligheten att göra relevanta analyser begränsas i stor utsträckning. Det skulle också vara svårt att bedöma om och vilka variabler eller kombinationer av variabler som skulle kunna riskera att bryta pseudonymiseringen. Ett krav på att personuppgifter varken direkt eller indirekt ska gå att hänföra till en person, såsom krävs för att det ska vara fråga om pseudonymisering i EU:s dataskyddsförordnings mening, bedöms därför inte vara möjligt att införa utifrån ändamålet med Myndigheten för vård- och omsorgsanalys personuppgiftsbehandling.

Inte heller bedöms ett lagkrav på kryptering av personuppgifter utgöra en lämplig skyddsåtgärd vid myndighetens behandling av personuppgifter, eftersom det saknas en legaldefinition av kryptering samtidigt som den nya lagen bör hållas teknikneutral. Det finns dock inget som hindrar myndigheten från att använda kryptering i de fall myndigheten bedömer detta vara en lämplig skyddsåtgärd.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

En skyddsåtgärd som begränsar möjligheten att identifiera den registrerade bör införas

En skyddsåtgärd bör dock införas med innebörden att personuppgifter som direkt kan hänföras till den registrerade i normalfallet inte ska behandlas i analysarbetet vid undersökningar och utvärderingar. Det bedöms i detta fall vara lämpligt att ställa krav på att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. På så sätt säkerställs att direkta identifikationsuppgifter som namn och personnummer förvaras helt skilt från de uppgifter som myndigheten behöver använda i sitt analysarbete, som uppgifter om ålder, kön, bostadsort, hälsa m.m. Ett sådant krav utgör en skyddsåtgärd som är tillåten att införa enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

Det bör dock vara möjligt att förse de personuppgifter som inte direkt kan hänföras till den registrerade med en beteckning, t.ex. ett löpnummer, som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning, t.ex. genom en kodnyckel. Skälet till detta är att det i vissa fall finns tydliga behov av att kunna se kopplingen mellan uppgifter som används i analysarbetet, dvs. indirekt hänförliga personuppgifter, och direkt hänförliga personuppgifter. Sådana behov kan t.ex. finnas för att möjliggöra vissa samkörningar av uppgifter som kommer från olika källor. Det kan också vara nödvändigt i enkät- eller intervjuundersökningar.

I första hand bör det övervägas om direkt hänförliga personuppgifter behöver behandlas av Myndigheten för vård- och omsorgsanalys över huvud taget. Om myndigheten samlar in uppgifter från en annan aktör räcker det många gånger att den utlämnande aktören ersätter uppgifterna med ett löpnummer eller liknande och själv behåller kodnyckeln. Ett sådant tillvägagångssätt är i linje med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning. När det inte är möjligt att förvara de kompletterande uppgifterna hos en annan aktör, bör dock myndigheten separera de direkt hänförliga personuppgifterna från övriga personuppgifter och förvara dem separat från varandra vid myndigheten i enlighet med den föreslagna bestämmelsen. I sådana fall bör separeringen av direkt hänförliga personuppgifter från övriga personuppgifter ske så snart uppgifterna kommer in till myndigheten. Dessutom följer det av förslaget i avsnitt 6.14 att endast en

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

mycket begränsad krets bör ges tillgång till de kompletterande uppgifterna, eftersom det torde vara mycket få som behöver dem för att kunna fullgöra sina arbetsuppgifter. De som arbetar med att utföra analysarbete i ett projekt torde huvudsakligen ha behov av indirekt hänförliga personuppgifter.

Den nu föreslagna bestämmelsen bedöms utgöra ett lämpligt alternativ till ett krav på pseudonymisering. Bestämmelsen torde tillgodose myndighetens behov av behandling av personuppgifter samtidigt som integritetsintrånget begränsas väsentligt. Det finns visserligen en risk att det går att bakvägsidentifiera individer i analysmaterial även om det inte innehåller direkt hänförliga personuppgifter, särskilt när stora mängder uppgifter behandlas i materialet, men risken måste bedömas som mycket låg. Det skulle t.ex. kunna vara fallet om uppgifter om en mycket ovanlig diagnos behandlas och det även finns uppgifter om kön, bostadsort eller ålder kopplat till diagnosen. Att direkt hänförliga personuppgifter förvaras separat borgar dock för ett gott skydd för personuppgifterna, eftersom det minskar möjligheterna att identifiera de registrerade. Sammantaget bedöms skyddsåtgärden som väl avvägd mot de integritetsrisker som kan uppstå vid myndighetens behandling av personuppgifter.

Undantag vid oproportionerlig ansträngning eller om syftet motverkas

I vissa fall kan det innebära en mycket stor arbetsinsats för myndigheten att separera de direkt hänförliga personuppgifterna från övriga personuppgifter, och i vissa fall skulle det också kunna motverka syftet med behandlingen. Ett undantag från huvudregeln om att direkt hänförliga personuppgifter ska förvaras separat från övriga personuppgifter bör därför införas. Det kan exempelvis i fråga om patientjournaler eller akter från socialtjänsten vara svårt och mycket arbetskrävande att separera uppgifter i materialet från varandra. En sådan separering skulle också förutsätta en noggrann genomgång av materialet, vilket i sig skulle kunna utgöra en mycket integritetskänslig hantering. En sådan arbetsinsats kan, i synnerhet med hänsyn till den tveksamma vinsten ur integritetshänseende, inte alltid anses proportionerlig. Syftet med en sådan insats, vilket skulle

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

vara att skydda den enskilde mot integritetsintrång, riskerar att motverkas av en sådan genomgång.

Det skulle också motverka syftet med behandlingen om uppgifter om namn inte skulle kunna hanteras i e-bibliotek, källhänvisningar i myndighetens rapporter och liknande.

Sammanfattningsvis bedöms det vara ändamålsenligt att den föreslagna huvudregeln om att direkt hänförliga personuppgifter ska förvaras separat från övriga personuppgifter förenas med ett undantag som innebär att separeringen inte behöver göras om det medför en oproportionerlig ansträngning eller motverkar syftet med behandlingen. Möjligheten till undantag bör bedömas i förhållande till varje enskild behandling.

6.14. Tillgång till personuppgifter

Förslag: Tillgången till personuppgifter ska begränsas till det som

var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Skälen för förslaget: Personuppgiftsansvariga är enligt EU:s

dataskyddsförordning skyldiga att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling. I artikel 5.1 c i EU:s dataskyddsförordning uttrycks den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Enligt artikel 24.1 ska den personuppgiftsansvarige, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål för behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter,

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

behandlingens omfattning, tiden för dess lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Enligt artikel 32 i EU:s dataskyddsförordning har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i detta avseende återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f. Det följer således av EU:s dataskyddsförordning att den personuppgiftsansvarige är skyldig att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (prop. 2017/18:171 s. 138).

Myndigheten för vård- och omsorgsanalys behöver behandla en stor mängd personuppgifter, varav många är känsliga personuppgifter eller i övrigt integritetskänsliga uppgifter, så som uppgifter om familjeförhållanden och ekonomi. Vem som har rätt att ta del av uppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrång i den personliga integriteten vid Myndigheten för vård- och omsorgsanalys behandling av personuppgifter bör det därför införas en bestämmelse som begränsar den krets av personer som får ha tillgång till personuppgifter.

Tillgången till personuppgifter kan begränsas på olika sätt. Det kan handla om både tekniska och organisatoriska åtgärder. Vilka åtgärder som är lämpligast beror bl.a. på vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya itsystem ger ofta ökade möjligheter att skräddarsy och begränsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på behörighetstilldelningen och rutinerna för behörighetsstyrning. Det framstår därför inte som ändamålsenligt att reglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Myndigheten för vård- och omsorgsanalys behandlar personuppgifter för att kunna utföra sitt uppdrag att följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. I förlängningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgång till personuppgifter för att kunna utföra sitt arbete. Den enskilda medarbetaren bör dock inte ha tillgång till fler personuppgifter än vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter.

I 1 kap. 11 § förslag till lag om behandling av personuppgifter vid Utbetalningsmyndigheten (prop. 2022/23:34), 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 7 § kriminalvårdsdatalagen (2018:1235) anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Samma begränsning bör gälla för Myndigheten för vård- och omsorgsanalys.

En behovsbaserad tillgång till personuppgifter förutsätter att myndigheten aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och att nödvändig behörighet tilldelas utifrån det. Det blir då tjänsteåliggandena och inte den faktiska möjligheten att ta del av uppgifter som anger den yttersta ramen för den egentliga behörigheten. I detta sammanhang är brottet dataintrång av betydelse. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling under vissa förutsättningar ska dömas för dataintrång till böter eller fängelse i högst två år (4 kap. 9 c § brottsbalken). Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en upptagning haft något särskilt syfte med intrånget för att gärningen ska vara straffbar. Vad som beläggs med straff är alltså bl.a. själva intrånget i en upptagning. Avgörande för om någon anställd eller av annan anledning verksam inom myndigheten kan bedömas ha olovligen berett sig tillgång till uppgifter bör vara om det skett inom ramen för dennes behörighet, dvs. den rättsligt betingade rättigheten att ta del av uppgifter eller inte (jfr RH 2000:90). Detta förhållande talar för att tilldelningen av behörighet bör ske under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

av tilldelningen av behörigheten och de däri angivna ramarna för behörigheten.

Den personuppgiftsansvarige ska enligt artiklarna 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheter ska dessutom enligt myndighetsförordningen löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Det kan därför hävdas att en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter redan följer av befintlig reglering. Med anledning av den stora mängden personuppgifter som Myndigheten för vård- och omsorgsanalys hanterar, bedöms det dock lämpligt att det i den föreslagna lagen uttryckligen anges att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § förslag till lag om behandling av personuppgifter vid Utbetalningsmyndigheten (prop. 2022/23:34) och 1 kap. 9 § andra stycket studiestödsdatalagen. Det bör vara upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen men den bör exempelvis kunna ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.

Sammanfattningsvis bör tillgången till personuppgifter vid Myndigheten för vård- och omsorgsanalys begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter bör kontrolleras och följas upp regelbundet.

6.15. Längsta tid som personuppgifter får behandlas

Bedömning: Det bör inte införas en bestämmelse om gallring

eller längsta tid för behandling av personuppgifter i lagen.

Skälen för bedömningen: Enligt artikel 5.1 e i EU:s dataskydds-

förordning får inte personuppgifter förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys Ds 2023:10

Personuppgifter får dock lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Det gäller under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rättigheter. Regeringen har bedömt att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen (1990:782) och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse (prop. 2017/18:105 s. 110). Behandlingen ska därmed inte anses som oförenlig med de ursprungliga ändamålen.

I arkivlagen och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten är enligt 3 § arkivlagen att allmänna handlingar ska bevaras, hållas ordnade och vårdas så att myndigheternas arkiv kan tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Om arkivändamålen kan tillgodoses får under vissa förutsättningar allmänna handlingar dock gallras (10 § arkivlagen).

Utgångspunkten i det arkivrättsliga regelverket är alltså att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att därmed öka deras tillgänglighet, medan bestämmelser om längsta tid för behandling av personuppgifter enligt det dataskyddsrättsliga regelverket syftar till att skydda enskildas personliga integritet.

En bestämmelse om en viss specificerad längsta tid under vilken personuppgifter får behandlas skulle kunna motiveras av tydlighets- och integritetsskäl. Det bör därför övervägas om en sådan tidsgräns bör införas i den föreslagna lagen. All behandling av personuppgifter behöver enligt förslagen i avsnitt 6.6.2 och 6.6.3 ske för de där angivna ändamålen. Som framgår av skälen till förslaget är dock myndighetens uppdrag brett och det är svårt att i lagen precisera konkreta ändamål fullt ut. Det blir därför upp till myndigheten att konkretisera ändamålen för varje behandling inom ramen för de i lagen föreslagna ändamålen. Detta innebär att det är svårt att på förhand i lag bestämma hur länge det kan vara relevant att behandla uppgifter som har samlats in i myndighetens verksamhet. Detta

Ds 2023:10 En lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

måste avgöras från fall till fall med hänsyn till vilka uppgifter och vilket projekt det handlar om. Det är därmed svårt att föreslå mer konkreta tidsgränser än sådana som bygger på lagringsminimeringsprincipen i artikel 5.1 e i EU:s dataskyddsförordning, nämligen att uppgifter inte ska behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Mot bakgrund av detta bedöms det därmed inte finnas behov av att i lagen särskilt reglera frågan om längsta tid för behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. I stället ska bestämmelserna i EU:s dataskyddsförordning och arkivlagen tillämpas. Myndigheten för vård- och omsorgsanalys behöver utifrån det generella regelverket säkerställa att den har interna rutiner och riktlinjer för längsta tid för behandlingen utifrån myndighetens behov och integritetsskyddsintresset.

7. Samlad integritets- och proportionalitetsanalys

Bedömning: Den personuppgiftsbehandling som möjliggörs av

den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Förslaget är förenligt med EU:s dataskyddsförordnings krav på proportionalitet.

Skälen för bedömningen

Några utgångspunkter vid bedömningen av förslagets påverkan på den personliga integriteten och proportionalitet

I avsnitt 5 konstateras att den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys behöver utföra, och som möjliggörs genom den föreslagna lagen, i vissa fall kan innebära ett betydande intrång i den enskildes personliga integritet. I flera av de tidigare avsnitten beskrivs hur de föreslagna bestämmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 6.10, 6.12 och 6.13). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att Myndigheten för vård- och omsorgsanalys utför en uppgift av allmänt intresse. Det kan i sammanhanget nämnas att inskränkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. när syftet har varit att möjliggöra för analysmyndigheter att behandla sådana personuppgifter som behövs i deras verksamheter (se t.ex. prop. 2011/12:176 s. 62 och prop. 2018/19:151 s. 31).

Samlad integritets- och proportionalitetsanalys Ds 2023:10

I det följande ges en bredare och mer samlad bedömning avseende integritets- och proportionalitetsaspekter av lagförslaget i denna promemoria.

Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen uttalade dock i samband med den senaste utvidgningen av integritetsskyddet i regeringsformen att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten var att den skulle ske utifrån den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid helt eller delvis automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar (prop. 2005/06:173 s. 15). Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten.

Begränsningar i skyddet för den personliga integriteten får ske

Den föreslagna lagen ger Myndigheten för vård- och omsorgsanalys ett tydligt stöd för att utföra sådan behandling av personuppgifter som myndigheten bedöms ha behov av (se avsnitt 5). I avsnitt 5 görs bedömningen att den behandling av personuppgifter som Myndigheten för vård- och omsorgsanalys har behov av att utföra i vissa fall kan utgöra ett sådant betydande intrång i den personliga integriteten som omfattas av 2 kap. 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas. En begränsning måste ske genom lag (2 kap. 20 § RF). Begränsningen får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folk-

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

styrelsens grundvalar (2 kap. 21 § RF). Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Vid en begränsning ska det därför göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot fördelarna med behandlingen. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga.

Även Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, förutsätter att proportionalitetsbedömningar görs vid behandling av personuppgifter. I avsnitt 6.6.1 konstateras att den rättsliga grunden för myndighetens behandling av personuppgifter enligt artikel 6.1 e i EU:s dataskyddsförordning bedöms vara proportionell mot det legitima mål som eftersträvas, i enlighet med artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning. Krav på proportionalitet finns även i bl.a. artikel 9.2 g i EU:s dataskyddsförordning, enligt vilken behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Rätten till skydd för den personliga integriteten måste enligt skälen till EU:s dataskyddsförordning förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter utifrån proportionalitetsprincipen (skäl 4 i EU:s dataskyddsförordning).

Behandling av personuppgifter berör vidare rätten till respekt för privatlivet enligt artikel 8.1 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag, se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt

Samlad integritets- och proportionalitetsanalys Ds 2023:10

2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga, slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).

För att det ska vara motiverat att införa möjligheter till behandling av personuppgifter på det sätt som föreslås måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Genom att det införs skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd.

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

Omfattande behandling av personuppgifter bedöms innebära integritetsrisker

Den föreslagna lagen innebär att Myndigheten för vård- och omsorgsanalys, inom vissa bestämda ramar, får möjlighet att behandla en stor mängd personuppgifter om ett stort antal personer. Det innebär en integritetsrisk, eftersom omfattande behandling av personuppgifter generellt sett är förenad med större integritetsrisker än mer begränsad behandling.

Den föreslagna lagen ger även vissa möjligheter till sammanställning och systematisering, även om möjligheterna begränsas utifrån projekt och sökbegränsningar. När personuppgifterna samlas på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, ges möjlighet till kontroll över och kartläggning av individer vilket innebär en integritetsrisk.

Risken för integritetskränkningar blir vidare större ju fler organisationer, it-system och användare som har tillgång till uppgifter om en viss person. Därmed innebär Myndigheten för vård- och omsorgsanalys utökade möjligheter att behandla personuppgifter en ökad integritetsrisk. Personuppgifterna kan användas av dem som har tillgång till uppgifterna i ovidkommande syften, såsom att göra vidare eftersökningar av personer. Det finns också risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomståendes händer och användas för exempelvis negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar.

Behandling av de kategorier av personuppgifter som tillåts enligt förslaget bedöms medföra integritetsrisker

Enligt den föreslagna lagen får Myndigheten för vård- och omsorgsanalys behandla känsliga personuppgifter om det är nödvändigt för ändamålen med behandlingen. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Vid förlorad kontroll över uppgifterna skulle hälsouppgifter exempelvis kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller

Samlad integritets- och proportionalitetsanalys Ds 2023:10

liknande. Uppgifter om etniskt ursprung skulle t.ex. kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp. Likaså kan någon ha ett intresse av att förfölja personer med en viss sexuell läggning eller en viss religiös övertygelse.

Även behandling av sådana personuppgifter som inte är känsliga i EU:s dataskyddsförordnings mening kan vara förenad med integritetsrisker. Det beskrivs att myndigheten i vissa fall behöver behandla personnummer, t.ex. för att kunna göra vissa samkörningar av personuppgifter. Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den registrerade kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter som finns i olika källor och behandling för andra ändamål än de ursprungligen avsedda. Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 § dataskyddslagen).

Också personuppgifter som normalt uppfattas som relativt harmlösa eller är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning av en person. Eftersom förslaget möjliggör en relativt omfattande behandling av personuppgifter finns alltså risken för sådana integritetskänsliga sammanställningar.

Särskilt stora integritetsrisker bedöms finnas vid behandling av uppgifter om vissa grupper

Särskild stor risk finns vid behandling av personuppgifter som avser personer med skyddade personuppgifter och personer som är utsatta för våld eller förtryck. Det är högst osannolikt att myndigheten skulle samla in personuppgifter om personer med skyddade personuppgifter eftersom det finns begränsade möjligheter att ta del av uppgifter om sådana personer, men det skulle t.ex. kunna hända om den enskilde själv väljer att kontakta myndigheten och lämna information. Eftersom det är svårt att veta vilka som är utsatta för våld och förtryck i övrigt kan det hända att myndigheten behandlar personuppgifter om sådana personer.

Barns personuppgifter förtjänar också särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskyddsförordning). Även personer med vissa kognitiva funktionsnedsättningar kan vara mindre medvetna om sådana faktorer. Den tidigare Artikel 29gruppen för skydd av personuppgifter har uttalat att bl.a. psykiskt sjuka personer, asylsökande, äldre personer och patienter är sårbara registrerade, vilket innebär att det kan vara svårt för dem att på ett enkelt sätt lämna samtycke eller motsätta sig behandling av sina uppgifter eller utöva sina rättigheter (Artikel 29-gruppen för skydd av personuppgifter, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12). Eftersom myndighetens uppdrag avser hela vården och omsorgen kan det, beroende på projekt, bli aktuellt att behandla uppgifter om sådana personer, t.ex. i uppföljningar av barn- och ungdomspsykiatrin eller andra delar av vården eller omsorgen där många olika personer kan vara patienter eller brukare.

Det finns integritetsrisker både när personuppgifter samlas in direkt från den registrerade och när de samlas in på annat sätt

Vissa av de personuppgifter som Myndigheten för vård- och omsorgsanalys behöver behandla kommer ursprungligen från vården och omsorgen och kan komma att samlas in antingen från andra statliga myndigheter eller direkt från huvudmän eller utförare inom vården och omsorgen. När den enskilde uppsöker vården eller omsorgen för att få hjälp eller stöd kan det vara svårt för den enskilde att förutse eller förstå att dennes personuppgifter i framtiden kan komma att behandlas av Myndigheten för vård- och omsorgsanalys för uppföljning och utvärdering. Behandling av personuppgifter för andra ändamål än ursprungsändamålet innebär därmed i sig en integritetsrisk, eftersom det innebär att det är svårt för den registrerade att ha full kontroll över sina personuppgifter. Personuppgifter som samlas in från andra än den registrerade själv innehåller oftast inte kontaktuppgifter vilket gör att det inte är möjligt att informera den enskilde om myndighetens behandling (jfr artikel 14.5 b i EU:s dataskyddsförordning). Även detta utgör en integritetsrisk på grund av avsaknad av kontroll för den registrerade.

Samlad integritets- och proportionalitetsanalys Ds 2023:10

Det finns även särskilda risker vid insamling av vissa typer av personuppgifter direkt från den registrerade, t.ex. vid insamling genom enkäter eller intervjuer. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det är frivilligt att lämna uppgifter till myndigheten, vilket myndigheten också är skyldig att informera om enligt artikel 13.2 e i EU:s dataskyddsförordning, men det finns ändå en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som kränkande.

Föreslagna ändamålsbestämmelser bedöms minska integritetsriskerna

De i lagen föreslagna ändamålen för behandling av personuppgifter utgör en grundläggande begränsning av all personuppgiftsbehandling enligt lagen (se avsnitt 6.6.2 och 6.6.3). Genom att det i lag fastställs för vilka ändamål myndigheten får behandla personuppgifter fastställs en yttersta ram för behandlingen, vilken endast kan ändras genom lag. Ändringar på lägre författningsnivå, såsom en eventuell ändring av myndighetens instruktion, skulle alltså inte kunna utöka myndighetens utrymme att behandla personuppgifter. Detta skapar förutsättningar för långsiktig tydlighet i fråga om myndighetens behandlingar. Dessutom torde det många gånger krävas att myndigheten konkretiserar ändamålen för respektive behandling ytterligare (artikel 5. 1 b i EU:s dataskyddsförordning), vilket borgar för än mer förutsägbarhet.

Det har övervägts att föreslå att lagen ska innehålla mer konkreta ändamål, men detta har inte bedömts vara möjligt givet myndighetens breda uppdrag och de olika typer av undersökningar och utvärderingar där behovet att behandla personuppgifter kan uppstå. En mer konkret ändamålsbestämmelse skulle snarare riskera att bli svåröverskådlig och skapa hinder för myndigheten att utföra sitt uppdrag på ett ändamålsenligt sätt.

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

Föreslagna bestämmelser om känsliga personuppgifter och sökbegränsningar bedöms minska integritetsriskerna

Känsliga personuppgifter föreslås som utgångspunkt få behandlas om det är nödvändigt för ändamålet (se avsnitt 6.7), men sökningar får enligt förslaget inte utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning (se avsnitt 6.9). För att det över huvud taget ska vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter krävs det också enligt förslaget att sökningen görs för de i lagen angivna primära ändamålen. Sökbegränsningen begränsar möjligheten att analysera och sortera känsliga personuppgifter, vilket minskar risken för obefogad behandling av sådana uppgifter. Sökbegränsningen säkerställer att myndigheten inte bearbetar eller hanterar andra personuppgifter än sådana som är strikt nödvändiga för myndighetens analyser på annat sätt än att uppgifterna samlas in och lagras.

Det har övervägts att föreslå ett förbud mot all sökning på känsliga personuppgifter, men detta bedöms inte vara möjligt givet myndighetens behov av att kunna analysera och bearbeta vissa känsliga personuppgifter för att kunna utföra sitt uppdrag.

Föreslagna bestämmelser om att behandling av personuppgifter ska ske i projekt bedöms minska integritetsriskerna

För att begränsa behandlingen och säkerställa en god förutsägbarhet föreslås att personuppgifter som huvudregel ska behandlas i projekt och inte får behandlas i andra projekt än det de samlas in i (avsnitt 6.10). Projekt avgränsar därmed behandlingen ytterligare jämfört med ändamålen för behandling av personuppgifter som föreslås i den nya lagen. Projektets ramar i fråga om syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser samt tid ska fastställas på förhand och information om detta ska hållas tillgängligt på myndighetens webbplats (avsnitt 6.11). Genom tillgängliggörandet av sådan information skapas transparens och tydlighet gentemot de registrerade, allmänheten, tillsynsmyndigheten och andra intresserade. Det är ett sätt att skapa kännedom om myndighetens personuppgiftsbehandlingar även i situationer då det inte är

Samlad integritets- och proportionalitetsanalys Ds 2023:10

möjligt att informera den enskilde direkt om personuppgiftsbehandlingen, t.ex. eftersom myndigheten inte har kontaktuppgifter till den enskilde.

Vissa undantag från huvudregeln föreslås, men dessa bedöms inte påverka integritetsskyddet i någon större utsträckning. Skälet till detta är att undantaget för uppföljning och upprepning av ett projekt förutsätter att det nya projektet och ändamålet med den nya behandlingen ligger mycket nära det ursprungliga projektet och den ursprungliga behandlingen. Omvärldsbevakning och verksamhetsplanering ger endast ett begränsat utrymme för undantag och torde som utgångspunkt inte innebära någon omfattande behandling av integritetskänsliga uppgifter.

Föreslagna bestämmelser om medgivande och återkallelse av medgivande bedöms minska integritetsriskerna

En viktig del av skyddet för den personliga integriteten är den enskildes möjlighet att själv bestämma över tillgången till och behandlingen av dennes personuppgifter. I avsnitt 6.12 föreslås ett krav på medgivande för behandling av personuppgifter som samlas in direkt från den enskilde. Den registrerade har enligt förslaget rätt att när som helst återkalla ett lämnat medgivande, varvid behandling av personuppgifter som omfattas av det återkallade medgivandet ska upphöra. Detta säkerställer att den enskilde själv kan bestämma om och vilka personuppgifter denne lämnar till myndigheten och ger den enskilde möjligheten att ångra sig efter att uppgifter har lämnats.

Registrerade som medverkar i en intervju- eller enkätundersökning eller på annat sätt lämnar uppgifter till myndigheten torde normalt inte befinna sig i någon beroendeställning till myndigheten, varför medgivandet som utgångspunkt bör kunna lämnas helt frivilligt. Detta är fallet eftersom myndigheten har ett renodlat uppdrag bestående av analys och uppföljning på övergripande nivå, utan att hantera eller direkt påverka enskilda personers ärenden och utan några maktbefogenheter vare sig i förhållande till enskilda eller andra myndigheter.

Personer som av olika skäl har nedsatt beslutsförmåga eller kognitiva funktionsnedsättningar kan inte alltid lämna ett uttryckligt medgivande. Även barn kan ha svårt att lämna ett uttryckligt medgivande, beroende på bl.a. barnets ålder och mognad och

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

behandlingens art. Ett sådant medgivande, i form av en integritetshöjande åtgärd, föreslås dock utgöra en förutsättning för personuppgiftsbehandling när uppgifter samlas in direkt från den enskilde, t.ex. vid enkät- eller intervjustudier. Det är myndighetens uppgift att se till att medgivandet lämnas frivilligt och informerat (se avsnitt 6.12), vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. Därmed bedöms risken för att medgivanden lämnas som inte är frivilliga eller informerade som låg, även om den enskilde har nedsatt beslutsförmåga eller en kognitiv funktionsnedsättning.

Föreslagna bestämmelser om att separera direkt hänförliga personuppgifter från övriga personuppgifter bedöms minska integritetsriskerna

Som anges ovan är personuppgifter som direkt kan hänföras till den registrerade, som personnummer och samordningsnummer, förenade med särskilda integritetsrisker. Att förbjuda behandling av uppgifter som direkt kan hänföras till den registrerade är således en effektiv skyddsåtgärd som har övervägts i arbetet med den föreslagna lagen. Eftersom Myndigheten för vård- och omsorgsanalys i vissa fall inte kan utföra sitt uppdrag utan behandling av direkt hänförliga personuppgifter är det dock inte möjligt att helt förbjuda sådan behandling.

I stället föreslås en bestämmelse om att personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska separeras från övriga personuppgifter (avsnitt 6.13). Detta tillgodoser principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i EU:s dataskyddsförordning.

Föreslagna bestämmelser om begränsad tillgång till uppgifterna bedöms minska integritetsriskerna

Förslaget om begränsad tillgång till uppgifterna (se avsnitt 6.14) säkerställer ett aktivt arbete med behörighetsstyrning. Det bör endast vara de personer som arbetar i ett visst projekt som har behov

Samlad integritets- och proportionalitetsanalys Ds 2023:10

av att ta del av de personuppgifter som finns i projektet. Behörighetstilldelningen bör bli därefter, dvs. endast en begränsad krets av personer får tillgång till uppgifterna i respektive projekt vid myndigheten. Det bör i de allra flesta fall vara tillräckligt för dem som arbetar i projektet att ta del av personuppgifter som inte är direkt hänförliga till den registrerade. Om det finns kompletterande uppgifter som gör identifiering möjlig, bör så få personer som möjligt tilldelas behörighet att ta del av dessa.

Kravet på att regelbundet kontrollera och följa upp åtkomsten till personuppgifter bidrar till att missbruk av behörigheter, intrång och andra säkerhetsrisker kan förebyggas och upptäckas i ett tidigt skede, vilket minskar risken för att personuppgifter används på ett sätt som de inte var avsedda för. Risken minskar också för att personuppgiftsincidenter i övrigt inträffar.

Förslaget om begränsad tillgång till personuppgifter tillgodoser alltså principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i EU:s dataskyddsförordning.

Den allmänna dataskydds- och sekretessregleringen bedöms bidra till ett starkt skydd för uppgifterna

Utöver de skyddsåtgärder som föreslås i den nu aktuella lagen ger de krav som följer av den allmänna dataskyddsregleringen ett gott skydd för personuppgifterna. Ett exempel på en central skyddsbestämmelse är kravet i artikel 24 i EU:s dataskyddsförordning på att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker i enlighet med EU:s dataskyddsförordning. Myndigheten måste också se till att behandling av personnummer och samordningsnummer är klart motiverat i enlighet med 3 kap. 10 § dataskyddslagen.

Därutöver utgör den sekretess som gäller för myndighetens undersökningar och utvärderingar ett gott skydd för uppgifterna. Som huvudregel är sekretessen för de personuppgifter som behandlas i myndighetens analysverksamhet absolut och uppgifterna kan endast lämnas ut för forsknings- eller statistikändamål (24 kap. 8 § offentlighets- och sekretesslagen [2009:400] samt 7 § offentlighets- och sekretessförordningen [2009:641]). Uppgifter som inte

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

direkt kan hänföras till den enskilde får också lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Därmed är sekretessen exempelvis starkare hos Myndigheten för vård- och omsorgsanalys än hos utförare inom vården och omsorgen, vilka kan komma att lämna ut uppgifter till myndigheten vid exempelvis journal- och aktstudier.

Sekretessen vid myndigheten är densamma som den sekretess som gäller vid exempelvis Socialstyrelsen och Statistiska centralbyrån.

Sammantaget bedöms sekretesskyddet för uppgifterna vid myndigheten vara mycket starkt.

I sammanhanget kan det också nämnas att det inte lämnas några förslag på ändringar i regelverket om sekretess eller tystnadsplikt. Det innebär att statliga myndigheter, kommuner, regioner och privata utförare inom vården och omsorgen inför ett utlämnande av uppgifter till Myndigheten för vård- och omsorgsanalys på samma sätt som tidigare behöver pröva om uppgifterna kan lämnas ut enligt tillämpliga bestämmelser om sekretess och tystnadsplikt.

Behandlingen av personuppgifter bedöms vara proportionerlig

Intrånget i den personliga integriteten måste vägas mot behovet av att behandla uppgifterna i det avsedda syftet. Den reglering av personuppgiftsbehandling vid Myndigheten för vård- och omsorgsanalys som föreslås syftar till att balansera myndighetens behov av att utföra sitt uppdrag på ett ändamålsenligt sätt och ge ett starkt skydd för enskildas personliga integritet.

Myndigheten för vård- och omsorgsanalys fullgör viktiga samhällsuppgifter, eftersom dess arbete i förlängningen ska bidra till att förbättra och effektivisera hälso- och sjukvården, tandvården och omsorgen samt stärka patienters och brukares ställning. Ändamålsenliga undersökningar och utvärderingar, och därmed ökad kunskap, om de sektorerna bidrar till att säkerställa en god och effektiv vård och omsorg för alla i Sverige. Det är regeringen som har beslutat om myndighetens uppdrag efter att i direktivet om inrättande av myndigheten ha konstaterat ett behov av en

Samlad integritets- och proportionalitetsanalys Ds 2023:10

oberoende, kvalificerad och systematisk uppföljning, utvärdering och effektivitetsgranskning av de aktuella sektorerna (dir. 2010:58).

Som beskrivs i avsnitt 5 är det nödvändigt för myndigheten att kunna behandla en stor mängd personuppgifter, inklusive känsliga personuppgifter, för att kunna utföra myndighetens samhällsviktiga uppdrag på ett ändamålsenligt sätt. Myndigheten måste behandla personuppgifter för att kunna besvara relevanta frågeställningar på ett tillräckligt djupgående sätt, vilket skapar mervärde för regeringen och andra målgrupper. Att använda övergripande statistik utan personuppgifter kan vara tillräckligt i vissa fall, men kan sällan generera tillräckliga svar om vårdens och omsorgens funktionssätt nedbrutet på olika patient- och brukargrupper eller vårdområden eller förklara olika samband som kan vara viktiga som underlag för att kunna fatta informerade beslut om vårdens och omsorgens utveckling. Den behandling av personuppgifter som möjliggörs genom den föreslagna lagen är alltså nödvändig för att kunna utföra relevanta undersökningar och utvärderingar, men också för att möjliggöra kontroll och kvalitetssäkring av myndighetens resultat samt tillförsäkra att myndigheten på ett oberoende och effektivt sätt kan utföra sitt arbete. Det är ur ett effektivitetsperspektiv inte möjligt – och inte heller befogat – att göra analyserna manuellt. För att myndigheten ska kunna utföra sitt uppdrag krävs således användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas några alternativ som är mindre integritetskänsliga.

Myndighetens arbete tar inte sikte på enskilda vård- eller omsorgsärenden utan handlar om att på en övergripande nivå följa upp och utvärdera vården och omsorgen och att ta fram underlag till regeringen på området. Den behandling som regleras i den föreslagna lagen syftar därmed inte till att övervaka eller kartlägga enskilda. Trots detta finns det vissa risker förenade med den behandling av personuppgifter som möjliggörs genom lagförslaget. Dessa risker får dock anses vara begränsade eftersom det i den föreslagna lagen finns omfattande skyddsbestämmelser som motverkar riskerna. Även det dataskyddsrättsliga regelverket i övrigt – EU:s dataskyddsförordning, dataskyddslagen och tillhörande föreskrifter – i kombination med sekretesslagstiftningen bedöms bidra till ett starkt skydd för den personliga integriteten. Mot bakgrund av detta skydd samt det starka intresset av att

Ds 2023:10 Samlad integritets- och proportionalitetsanalys

Myndigheten för vård- och omsorgsanalys kan fullgöra sitt uppdrag på ett ändamålsenligt sätt, får det anses nödvändigt och proportionerligt att myndigheten får behandla personuppgifter för de föreslagna ändamålen och inom de övriga ramar som anges i den föreslagna lagen.

Sammanfattningsvis utgör den personuppgiftsbehandling som möjliggörs av den föreslagna lagen en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, Europakonventionen samt EU:s rättighetsstadga. Förslaget bedöms även vara förenligt med kraven på proportionalitet enligt EU:s dataskyddsförordning.

Konsekvensbedömning avseende dataskydd

Myndigheten för vård- och omsorgsanalys ska, när det är nödvändigt, göra en konsekvensbedömning avseende dataskyddet och en framställan om s.k. förhandssamråd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i EU:s dataskyddsförordning). De överväganden som redovisas här är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. Detta eftersom det ytterst är upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen, t.ex. vad gäller vilken teknik och vilka säkerhetslösningar som ska användas.

8. Ikraftträdande- och övergångsbestämmelser

Förslag: Lagen ska träda i kraft den 1 januari 2025.

Bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter ska inte tillämpas på projekt som har inletts före ikraftträdandet.

Skälen för förslaget: Den föreslagna lagen bör träda i kraft så snart

som möjligt för att tillgodose Myndigheten för vård- och omsorgsanalys behov av att behandla personuppgifter för att därigenom kunna utföra sitt uppdrag på ett så ändamålsenligt sätt som möjligt. Den 1 januari 2025 bedöms vara den tidigaste tidpunkt som lagen kan träda i kraft.

Myndigheten för vård- och omsorgsanalys bedöms i dag uppfylla merparten av de krav som ställs i den föreslagna lagen. Det kan dock inte förutsättas att myndigheten fullt ut uppfyller de föreslagna kraven på projekt och medgivande i 11–13 §§ i fråga om projekt som har inletts innan lagen träder i kraft. För att myndigheten inte ska tvingas upphöra med pågående behandlingar i förtid, bör de bestämmelserna därför inte tillämpas på projekt som har inletts före ikraftträdandet. Behandling av personuppgifter som myndigheten utför med stöd av samtycke regleras inte i förslaget om ny registerlag. Sådana pågående projekt påverkas således inte av ikraftträdandet av lagen.

9. Konsekvenser

9.1. Ekonomiska konsekvenser

Förslaget till ny lag syftar till att Myndigheten för vård- och omsorgsanalys ska kunna genomföra sitt uppdrag på ett effektivt och ändamålsenligt sätt samtidigt som restriktioner och skyddsåtgärder värnar den personliga integriteten. De skyddsåtgärder som föreslås går utöver de som följer av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Även om förslaget på olika sätt förväntas leda till förbättringar och effektivisering av myndighetens verksamhet kan det inledningsvis innebära att Myndigheten för vård- och omsorgsanalys behöver göra vissa tekniska och organisatoriska anpassningar. Myndigheten arbetar dock redan i dag i projektform och inhämtar ofta de enskildas medgivanden till behandling. Vidare separerar myndigheten direkt hänförliga personuppgifter från övriga uppgifter och arbetar med behörighetsstyrning. Därför kan det antas att eventuella anpassningar för att uppfylla de föreslagna kraven kommer att vara begränsade.

Det kan dock initialt komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Nya interna styrdokument kan också behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i myndighetens ordinarie uppgifter och bedöms rymmas inom befintliga anslag. Förslaget kan också innebära att det krävs viss anpassning av myndighetens it-system och arbetssätt, t.ex. för att kontrollera och följa upp åtkomsten till personuppgifter

Konsekvenser Ds 2023:10

regelbundet. Det finns dock redan i dag krav på intern styrning och kontroll vid myndigheter och krav på att personuppgiftsansvariga ska säkerställa och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] och artikel 5.1 f och 5.2 i EU:s dataskyddsförordning). Eventuella kostnader för sådana anpassningar bedöms därmed vara begränsade och rymmas inom befintliga anslag.

Förslaget bedöms inte få några negativa ekonomiska konsekvenser för andra statliga myndigheter eller för kommuner, regioner, företag eller andra enskilda. Möjligtvis kan det finnas vissa positiva konsekvenser för de aktörer som i dag bistår Myndigheten för vård- och omsorgsanalys med att bearbeta personuppgifter för att avidentifiera dem innan de lämnas ut till myndigheten, främst vissa statliga myndigheter. Sådan bearbetning kommer sannolikt inte behöva ske i samma utsträckning som i dag, eftersom Myndigheten för vård- och omsorgsanalys möjligheter att behandla personuppgifter ökar genom förslaget.

9.2. Konsekvenser för den personliga integriteten

Lagförslaget innebär att Myndigheten för vård- och omsorgsanalys ges möjlighet att behandla stora mängder personuppgifter, inklusive känsliga personuppgifter, även när det skulle kunna innebära ett betydande intrång i den personliga integriteten. Genom kraven på skyddsåtgärder som föreslås samt befintlig reglering om dataskydd och sekretess säkerställs dock ett långsiktigt och hållbart integritetsskydd. Det bedöms att förslaget utgör en lämplig avvägning mellan skyddet för den enskildes personliga integritet och behovet av en ändamålsenlig reglering för myndighetens behandling av personuppgifter. För sådan behandling som myndigheten utför i dag medför förslaget ett bättre skydd för den personliga integriteten än vad som nu gäller. Även för sådan ytterligare behandling som möjliggörs genom förslaget bedöms ett gott skydd för den personliga integriteten uppnås.

För en mer utförlig integritetsanalys hänvisas till avsnitt 7.

Ds 2023:10 Konsekvenser

9.3. Övriga konsekvenser

Lagförslaget får inte några konsekvenser för den kommunala självstyrelsen. Förslaget får inte heller några konsekvenser för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till stora företags.

Brottsligheten och det brottsförebyggande arbetet förväntas inte påverkas på ett negativt sätt av förslaget. Däremot ger förslaget bättre förutsättningar för uppföljning, analys och kunskap om socialtjänstens brottsförebyggande arbete, vilket i förlängningen kan bidra till att utveckla det arbetet.

Författningsförslaget är könsneutralt utformat och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslaget bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Med förslaget får myndigheten däremot goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdet, vilket bör ge goda förutsättningar för beslut på dessa politikområden med åtföljande positiva konsekvenser för integrationen och jämställdheten mellan kvinnor och män.

Förslaget bedöms vara förenligt med FN:s konvention om barnets rättigheter, här benämnd barnkonventionen. I barnkonventionen anges bl.a. att barn inte får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Barns personuppgifter nämns också i skäl 38 i EU:s dataskyddsförordning där det anges att dessa förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Som anges i avsnitt 5 behöver Myndigheten för vård- och omsorgsanalys behandla personuppgifter om olika kategorier av registrerade. Detta inkluderar i vissa fall personuppgifter om barn. Vid behandling av dessa uppgifter gäller på samma sätt som vid behandling av vuxnas personuppgifter att behandlingen ska vara nödvändig för att vara tillåten. Begränsningarna och skyddsåtgärderna i lagförslaget gäller, liksom det skydd som finns för den personliga integriteten i befintlig dataskydds- och sekretessreglering, på motsvarande sätt för barns

Konsekvenser Ds 2023:10

personuppgifter som för vuxnas personuppgifter. Barnets rättigheter kan dock utövas av barnets vårdnadshavare beroende på barnets ålder. Lagförslaget kan bidra till en förbättrad uppföljning och utvärdering av vården och omsorgen för barn, vilket kan påverka barns rättigheter på ett positivt sätt.

Det föreslås inte någon reglering som går utöver vad som är tillåtet enligt EU:s dataskyddsförordning. I respektive avsnitt med förslag till nya bestämmelser har det gjorts en bedömning av vilken nationell reglering som är möjlig att införa med beaktande av EU:s dataskyddsförordning. Även i övrigt bedöms förslaget vara förenligt med EU-rätten.

10. Författningskommentar

Förslaget till lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid

Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 6.1.

I första stycket anges att lagen gäller vid behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Definitioner av begreppen behandling och personuppgifter finns i artikel 4.2 och 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Lagen gäller behandling av personuppgifter som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Tillämpningsområdet motsvarar myndighetens uppdrag enligt 13 §§ förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys, här benämnd instruktionen. Det innebär att lagen inte är tillämplig i annan verksamhet vid myndigheten, t.ex. i den administrativa verksamheten.

Författningskommentar Ds 2023:10

I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling eller manuell behandling om uppgifterna ingår i eller kommer att ingå i ett register. Manuell behandling som inte ingår i, eller kommer att ingå i, ett register faller således utanför lagens tillämpningsområde. Bestämmelsen motsvarar i denna del artikel 2.1 i EU:s dataskyddsförordning och ska tolkas på samma sätt som den bestämmelsen. Definitionen av register finns i artikel 4.6 i EU:s dataskyddsförordning.

Förhållandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning

(EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen anger lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 6.2.

I första stycket anges att lagen kompletterar EU:s dataskyddsförordning. Det innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med EU:s dataskyddsförordning. EU:s dataskyddsförordning är direkt tillämplig men förutsätter eller tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen.

Andra stycket upplyser om att dataskyddslagen och föreskrifter

som meddelats i anslutning till lagen är subsidiära i förhållandet till denna lag. Det regleras även att föreskrifter som meddelats i anslutning till denna lag ska ha företräde framför dataskyddslagen och föreskrifter som meddelats i anslutning till dataskyddslagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering

gälla i tillämpliga delar:

Ds 2023:10 Författningskommentar

1. denna lag och föreskrifter som har meddelats i anslutning till lagen,

2. EU:s dataskyddsförordning, och

3. lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

I paragrafen anges vad som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 6.3.

I paragrafen slås fast att lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning och dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen i tillämpliga delar ska gälla för behandling av uppgifter om avlidna personer. Genom paragrafen utvidgas därmed lagens tillämpningsområde till att omfatta mer än personuppgifter.

Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller. Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av uppgifter inte är tillämpliga på behandling av uppgifter om avlidna personer. Bestämmelser som däremot ska tillämpas även vid behandling av uppgifter om avlidna personer är sådana som avser bl.a. ändamål för behandlingen, tillåtna rättsliga grunder och de grundläggande principerna i artikel 5 i dataskyddförordningen.

Enligt 1 § lagen (1987:269) om kriterier för bestämmande av människans död är en människa död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort.

Begränsning av rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd-

ningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Paragrafen anger en begränsning av rätten att göra invändningar mot behandling av personuppgifter. Övervägandena finns i avsnitt 6.4.

Författningskommentar Ds 2023:10

Enligt artikel 21.1 i EU:s dataskyddsförordning har den registrerade rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i EU:s dataskyddsförordning.

Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i EU:s dataskyddsförordning. Undantaget är en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i EU:s dataskyddsförordning.

Andra stycket innebär att rätten att invända enligt artikel 21.1 i

EU:s dataskyddsförordning gäller när uppgifterna samlas in direkt från den enskilde, exempelvis vid insamling av personuppgifter i intervju- eller enkätundersökningar.

Personuppgiftsansvar

5 § Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för

den behandling av personuppgifter som myndigheten utför enligt denna lag.

Paragrafen anger att Myndigheten för vård- och omsorgsanalys är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Övervägandena finns i avsnitt 6.5.

Utpekandet av myndigheten som personuppgiftsansvarig görs i enlighet med artikel 4.7 i EU:s dataskyddsförordning, där även definitionen av personuppgiftsansvarig finns.

Ändamål för behandling av personuppgifter

6 § Myndigheten för vård- och omsorgsanalys får behandla personuppgifter

om det är nödvändigt för

1. undersökningar om vårdens och omsorgens funktionssätt,

2. undersökningar om effektiviteten i statliga åtaganden och verksamheter inom vård och omsorg,

3. utvärderingar av information om vård och omsorg som lämnas till enskilda, eller

4. utvärderingar av statliga reformer och andra statliga initiativ inom vård och omsorg.

Ds 2023:10 Författningskommentar

Inom ramen för sådana undersökningar och utvärderingar får personuppgifter behandlas för att framställa statistik.

I paragrafen anges för vilka primära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 6.6.2.

Regleringen av ändamålen i första stycket utgör en begränsning av vilken behandling av personuppgifter som är tillåten enligt lagen. Ändamålen återspeglar Myndigheten för vård- och omsorgsanalys behov av att behandla personuppgifter för att utföra sitt uppdrag enligt 1–3 §§ instruktionen. De undersökningar och utvärderingar som anges i ändamålen är uttryckta på samma sätt som i 7 § offentlighets- och sekretessförordningen (2009:641). Ändamålen är brett formulerade och för att leva upp till kravet i artikel 5.1 b i EU:s dataskyddsförordning på särskilda, uttryckligt angivna och berättigade ändamål vid behandling av personuppgifter bör Myndigheten för vård- och omsorgsanalys därför normalt behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet. Ändamålet preciseras också genom det syfte som enligt 12 § ska fastställas för alla projekt.

Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den behövs för att myndigheten på ett effektivt sätt ska kunna utföra arbetsuppgiften eller om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189). Om behandling av personuppgifter tillför relevant information till en undersökning eller utvärdering eller om undersökningen eller utvärderingen inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses vara nödvändig. Även sådana uppgifter som visar sig utgöra överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Exempelvis får det anses nödvändigt att behandla samtliga personuppgifter i en ärendeakt som samlats in för en aktstudie, även om samtliga personuppgifter inte behöver analyseras i studien. Det får också anses nödvändigt att behandla samtliga personuppgifter i ett enkätsvar, även om samtliga personuppgifter inte är relevanta för ändamålet med enkäten. Vad som är nödvändigt med hänsyn till

Författningskommentar Ds 2023:10

ändamålet med behandlingen måste avgöras i varje enskilt fall. Vid en sådan prövning ska bl.a. de grundläggande principerna om uppgiftsminimering och lagringsminimering enligt artikel 5.1 c och e i EU:s dataskyddsförordning beaktas.

I paragrafens andra stycke finns en upplysning om att myndigheten får behandla personuppgifter för att framställa statistik vid behandling enligt de primära ändamålen. Myndigheten för vård- och omsorgsanalys har inget statistikuppdrag och får inte behandla personuppgifter för statistik som ett självständigt ändamål. Däremot får myndigheten ta fram statistik som en del i den behandling som sker för de ändamål som anges i första stycket.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att

fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

I paragrafen anges för vilka sekundära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 6.6.3.

Bestämmelsen innebär att myndigheten får behandla personuppgifter för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning. Behandlingen förutsätter att uppgifterna redan är föremål för behandling enligt 6 §. Ett sådant uppgiftslämnande som avses i paragrafen kan exempelvis bli aktuellt vid uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång enligt (6 kap. 5 § offentlighets- och sekretesslagen [2009:400]).

Känsliga personuppgifter

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning

(känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Paragrafen anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nöd-

Ds 2023:10 Författningskommentar

vändigt med hänsyn till ändamålet med behandlingen. Övervägandena finns i avsnitt 6.7.

De personuppgifter som myndigheten får behandla med stöd av bestämmelsen är sådana som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Definitioner av genetiska och biometriska uppgifter samt uppgifter om hälsa finns i artikel 4.13, 4.14 och 4.15 i EU:s dataskyddsförordning.

Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.

Känsliga personuppgifter får enligt bestämmelsen behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen. Behandling av känsliga personuppgifter bör typiskt sett kunna bedömas som nödvändig när sådana uppgifter behöver ligga till grund för myndighetens analyser eller samlas in för att möjliggöra behandling av uppgifter som behöver analyseras. Behandlingen måste dock kunna motiveras i varje enskilt fall.

Behandlingen ska vidare vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning.

Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76).

Känsliga personuppgifter kan också behandlas med stöd av övriga undantag i artikel 9.2 i EU:s dataskyddsförordning och dataskyddslagen. T.ex. finns stöd för behandling av känsliga personuppgifter för statistiska ändamål i artikel 9.2 j i EU:s dataskyddsförordning samt 3 kap. 7 § dataskyddslagen.

Sökbegränsningar

9 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat

på känsliga personuppgifter.

Sökningar får dock utföras i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning, om sökningen sker för något av ändamålen i 6 §.

Författningskommentar Ds 2023:10

Paragrafen innehåller sökbegränsningar avseende känsliga personuppgifter. Övervägandena finns i avsnitt 6.9.

Enligt paragrafens första stycke är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Sökförbudet avser alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 91).

Andra stycket innehåller undantag från bestämmelsen i första

stycket. Undantaget anger att det är tillåtet att använda uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hälsa eller en fysisk persons sexualliv eller sexuella läggning för att utföra sökningar i syfte att få fram ett urval av personer. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är dock att sökningen görs för något av de i 6 § angivna primära ändamålen.

Behandling av personuppgifter i projekt

10 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs

inom bestämda ramar.

I paragrafen anges vad som avses med projekt i lagen. Övervägandena finns i avsnitt 6.10.

Enligt paragrafen avses med projekt en planerad arbetsinsats som genomförs inom bestämda ramar. Att arbetsinsatsen ska vara planerad medför ett krav på att varje projekt ska föregås av vissa förberedelser. Förberedelserna bör omfatta att bestämma vilka ramar som ska gälla för projektet. Med detta avses de ramar som ska fastställas enligt 12 § men också andra förutsättningar t.ex. rörande metod och resursåtgång.

11 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Person-

uppgifter som samlas in för att behandlas i ett projekt får inte behandlas i ett annat projekt.

Ds 2023:10 Författningskommentar

Personuppgifter får dock behandlas i ett annat projekt än det som uppgifterna samlats in i, om behandlingen är nödvändig för att Myndigheten för vård- och omsorgsanalys helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Behandling av personuppgifter som utförs för omvärldsbevakning eller planering av Myndigheten för vård- och omsorgsanalys verksamhet behöver inte ske i projekt.

Paragrafen reglerar behandling av personuppgifter i projekt. Övervägandena finns i avsnitt 6.10.

Enligt första stycket ska behandling av personuppgifter för de i 6 § angivna primära ändamålen ske i projekt. Vad som avses med projekt framgår av 10 §. Första stycket anger också att personuppgifter som samlas in för att behandlas i ett projekt inte får behandlas i ett annat projekt. Begränsningen av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet (artikel 5.1 b i EU:s dataskyddsförordning).

Andra stycket utgör ett undantag från första styckets andra

mening. Personuppgifter får behandlas i ett annat projekt än det som de samlats in i. För att undantaget ska vara tillämpligt krävs att behandlingen är nödvändig för att myndigheten helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet. En förutsättning för att det ska vara fråga om uppföljning eller upprepning är att det projekt eller den del av ett projekt där uppgifterna ska återanvändas är mycket likt det projekt eller den del av projekt som uppgifterna samlades in i. Ett exempel på en uppföljning är att resultat som genererats inom ramen för ett projekt jämförs med resultat från ett tidigare projekt. Vidarebehandlingen får i dessa fall ske med stöd av finalitetsprincipen enligt artikel 5.1 b i EU:s dataskyddsförordning.

Tredje stycket utgör ett undantag från kravet att behandla

personuppgifter i projekt. Personuppgifter som behandlas för omvärldsbevakning eller planering av myndighetens verksamhet behöver inte behandlas i ett projekt och kan därmed också vidarebehandlas med stöd av finalitetsprincipen. Med omvärldsbevakning avses den innebörd som läggs i begreppet i normalt språkbruk. Det kan i myndighetens fall bl.a. handla om att ta del av nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Planeringen av myndighetens verksamhet kan exempelvis utgöras av arbetet med att ta fram den analys- och granskningsplan som avses i 4 § instruktionen.

Författningskommentar Ds 2023:10

12 § Innan personuppgifter behandlas i ett projekt ska Myndigheten för vård-

och omsorgsanalys fastställa

1. syftet med projektet,

2. vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) som ska analyseras inom ramen för projektet, och

3. när projektet senast ska vara avslutat. Det fastställda syftet får inte ändras. Information om vad som har fastställts ska hållas tillgänglig på Myndigheten för vård- och omsorgsanalys webbplats.

Paragrafen anger krav på fastställande av ramarna för projekt och tillgängliggörande på myndighetens webbplats av vad som har fastställts. Övervägandena finns i avsnitt 6.11.

I första stycket räknas upp vad som ska fastställas i fråga om ett projekt, nämligen projektets syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras inom ramen för projektet och när projektet senast ska vara avslutat. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Definitionen av uppgifter om lagöverträdelser har samma innebörd som i bl.a. 2 kap. 7 § patientdatalagen (2008:355) och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, vilket innebär att fler uppgifter inkluderas än enbart sådana som avses i artikel 10 i EU:s dataskyddsförordning. Med analyseras ska avses bearbetning, systematisering och strukturering samt användning av uppgifterna, utifrån en analysmodell eller liknande, i syfte att se samband, göra jämförelser och dra slutsatser. Slutligen ska även tidpunkt för när projektet senast ska vara avslutat fastställas. Bestämmelsen innebär att fastställandet ska ske innan personuppgifter börjar behandlas eller innan en tillåten ändring av personuppgiftsbehandlingen vidtas. Fastställandet görs lämpligen skriftligen.

Enligt andra stycket får det fastställda syftet med projektet inte ändras. Om syftet med projektet inte längre är aktuellt behöver projektet därmed avslutas. Ändringar får dock göras i ett pågående projekt i fråga om vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras samt den tidpunkt inom vilken projektet senast ska vara avslutat.

Ds 2023:10 Författningskommentar

Tredje stycket innebär ett krav på att hålla information tillgänglig

på myndighetens webbplats om vad som har fastställts enligt första stycket. Kravet på att hålla information tillgänglig påverkar inte informationskraven enligt artiklarna 13 och 14 i EU:s dataskyddsförordning.

Medgivande till behandling av personuppgifter

13 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas

endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Om ett medgivande återkallas, ska den behandling av personuppgifter som omfattas av det återkallade medgivandet upphöra. Behandlingen får dock fortsätta om Myndigheten för vård- och omsorgsanalys inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.

I paragrafen anges vad som gäller i fråga om medgivande och återkallelse av medgivande i vissa fall. Övervägandena finns i avsnitt 6.12.

Enligt första stycket krävs ett uttryckligt medgivande från den enskilde för behandling av personuppgifter som samlas in direkt från honom eller henne. Kravet är en integritetshöjande åtgärd i förhållande till den allmänna dataskyddsregleringen. Ett medgivande enligt denna bestämmelse är alltså inte att anse som en rättslig grund för myndighetens behandling av personuppgifter. Med uttryckligt medgivande bör avses detsamma som ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskyddsförordning, även om utrymmet för att bedöma medgivandet som frivilligt är större än när ett samtycke utgör den rättsliga grunden för behandlingen (prop. 2021/22:177 s. 116). Kravet på uttrycklighet kan uppfyllas genom att medgivandet lämnas skriftligen, i ett elektroniskt formulär, ett e-postmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr EDPB riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den 4 maj 2020, s. 21).

Det andra stycket reglerar återkallelse av ett lämnat medgivande. Den registrerade kan när som helst återkalla ett lämnat medgivande. Återkallelsen kan avse hela eller delar av den behandling av personuppgifter som medgivandet omfattar, t.ex. vissa kategorier av

Författningskommentar Ds 2023:10

personuppgifter eller personuppgifter som har samlats in under en viss tidsperiod. När ett lämnat medgivande återkallas ska behandlingen av personuppgifterna upphöra i den utsträckning som återkallelsen avser. Behandlingen får dock fortsätta om myndigheten inte kan hänföra uppgifterna till den registrerade. Om de ändamål för vilka myndigheten behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av myndigheten, är myndigheten i likhet med vad som anges i artikel 11.1 i EU:s dataskyddsförordning, inte tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast för att kunna upphöra med behandlingen.

Återkallandet påverkar inte tillåtligheten av sådan behandling som skett innan medgivandet återkallades. Konsekvensen av att återkalla ett lämnat medgivande motsvarar därmed konsekvensen av ett återkallat samtycke enligt artikel 7.3 i EU:s dataskyddsförordning.

Begränsning av möjligheterna att identifiera den registrerade

14 § Personuppgifter som direkt kan hänföras till den registrerade ska

förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Personuppgifter som inte direkt kan hänföras till den registrerade får vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning.

Paragrafen anger bestämmelser som begränsar möjligheterna att identifiera den registrerade. Övervägandena finns i avsnitt 6.13.

Enligt första styckets första mening ska direkt och indirekt hänförliga personuppgifter förvaras separat från varandra. Personuppgifter som direkt kan hänföras till den registrerade är framför allt uppgifter om namn, personnummer och samordningsnummer. Sådana uppgifter ska således avskiljas från övriga personuppgifter för att motverka en direkt identifiering av den registrerade. Första

styckets andra mening utgör ett undantag från vad som sägs i första

meningen. Undantaget kan bli aktuellt om det skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen att separera personuppgifterna. En ansträngning kan anses

Ds 2023:10 Författningskommentar

oproportionerlig när den är mycket omfattande, t.ex. medför manuell genomgång av stora mängder patientjournaler eller akter från socialtjänsten. Syftet med behandlingen kan anses motverkas när personuppgifter som direkt kan hänföras till den registrerade är centrala för behandlingen, t.ex. när uppgifterna behövs för att myndigheten ska kunna kontakta registrerade eller göra källhänvisningar.

Enligt andra stycket får personuppgifter som inte direkt kan hänföras till den registrerade vara försedda med en beteckning som kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. Det kan exempelvis ske genom att direkt hänförliga personuppgifter ersätts med ett löpnummer i det analysmaterial som myndigheten arbetar med och att en kodnyckel med de direkt hänförliga personuppgifterna förvaras separat från analysmaterialet.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till det som var och en

behöver för att kunna fullgöra sina arbetsuppgifter vid Myndigheten för vård- och omsorgsanalys.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Paragrafen reglerar tillgången till personuppgifter. Övervägandena finns i avsnitt 6.14.

Första stycket innebär ett uttryckligt krav på myndigheten att se

till att tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som personer med tidsbegränsade anställningar eller uppdrag vid myndigheten. I och med begränsningen förstärks skyddet för den personliga integriteten genom att personuppgifter sprids till en så liten krets som möjligt. Myndigheten ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning).

Av andra stycket följer att myndigheten är skyldig att se till att åtkomsten till personuppgifter kontrolleras och följs upp regelbundet. Sådana kontroller och uppföljningar bör genomföras syste-

Författningskommentar Ds 2023:10

matiskt och återkommande och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Det är i första hand upp till myndigheten att närmare bestämma formerna för kontroll och uppföljning, men det kan t.ex. ske genom loggar.

1. Denna lag träder i kraft den 1 januari 2025.

2. Bestämmelserna i 11–13 §§ ska inte tillämpas på projekt som har inletts före ikraftträdandet.

Ikraftträdande- och övergångsbestämmelser

Övervägandena finns i avsnitt 8.

Lagen träder enligt bestämmelsen i punkt 1 i kraft den 1 januari 2025.

Av punkt 2 framgår att bestämmelserna om behandling av personuppgifter i projekt enligt 11 och 12 §§ samt bestämmelserna om medgivande till behandling av personuppgifter enligt 13 § inte ska tillämpas på projekt som har inletts före ikraftträdandet. För sådana projekt ska dock övriga bestämmelser i lagen tillämpas.