Prop. 2017/18:171

Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning

Regeringen överlämnar denna proposition till riksdagen.

Linköping den 15 mars 2018

Stefan Löfven

Lena Hallengren (Socialdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag som syftar till att anpassa lagar inom Socialdepartementets verksamhetsområde till EU:s nya dataskyddsförordning. Förslagen innebär att lagarna om personuppgiftsbehandling i de berörda verksamheterna ska utgöra kompletteringar till dataskyddsförordningen och den nya generella dataskyddslagen. Hänvisningar till personuppgiftslagen (1998:204) tas bort och ersätts i vissa fall av hänvisningar till dataskyddsförordningen och dataskyddslagen. Vidare föreslås t.ex. att bestämmelser om rättelse och skadestånd ska tas bort eftersom sådant i stället kommer att regleras av dataskyddsförordningen och dataskyddslagen.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. lag om ändring i socialförsäkringsbalken,

2. lag om ändring i lagen (1996:1156) om receptregister,

3. lag om ändring i lagen (1998:543) om hälsodataregister,

4. lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten,

5. lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.,

6. lag om ändring i lagen (2005:258) om läkemedelsförteckning,

7. lag om ändring i lagen (2006:351) om genetisk integritet m.m.,

8. lag om ändring i lagen (2006:496) om blodsäkerhet,

9. lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa,

10. lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

11. lag om ändring i patientdatalagen (2008:355), 12. lag om ändring i apoteksdatalagen (2009:367), 13. lag om ändring i lagen (2010:111) om införande av socialförsäkringsbalken,

14. lag om ändring i alkohollagen (2010:1622), 15. lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ,

16. lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram,

17. lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel.

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken

dels att 114 kap. 33 och 36 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 114 kap. 33 och 36 §§ ska utgå,

dels att 114 kap. 1, 2, 6, 10–13, 15, 16, 27, 29–31 §§ och rubrikerna närmast före 114 kap. 6 och 29 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 114 kap. 6 a §, och närmast före 114 kap. 6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

114 kap.

1 §

1

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

– förhållandet till annan reglering i 6 §,

personuppgiftslagen och per-– personuppgiftsansvar i 6 a §, sonuppgiftsansvar i 6 §,

– ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14– 16 §§,

– tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§, överföring av personuppgifter överföring av personuppgifter till tredje land i 29 §, till tredjeland i 29 §,

– information i 30 §, – gallring i 31 §, – avgifter i 32 §, – rättelse och skadestånd i 33 §, – kontrollverksamhet i 34 §,

– kontrollverksamhet i 34 §, och

– tystnadsplikt i 35 §, och – tystnadsplikt i 35 §. överklagande i 36 §.

1 Senaste lydelse 2012:935.

2 §

Detta kapitel tillämpas vid be-Detta kapitel tillämpas vid behandling av personuppgifter i handling av personuppgifter i verksamhet som gäller förmåner verksamhet som gäller förmåner enligt denna balk, samt andra för- enligt denna balk, samt andra förmåner och ersättningar som enligt måner och ersättningar som enligt lag eller förordning eller särskilt lag eller förordning eller särskilt beslut av regeringen handläggs av beslut av regeringen handläggs av Försäkringskassan eller Pensions- Försäkringskassan eller Pensionsmyndigheten. myndigheten. Med socialförsäkringens administration avses i detta kapitel administration hos dessa myndigheter.

Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 7–16, 27, 28 och 31 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.

Personuppgiftslagen och Förhållandet till annan reglering personuppgiftsansvar

6 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av detta kapitel eller föreskrifter som meddelas med stöd av kapitlet eller av personuppgiftslagen . Med socialförsäkringens administration avses i detta kapitel Försäkringskassan och Pensionsmyndigheten.

En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

Prop. 2017/18:171 dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt detta kapitel gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Personuppgiftsansvar

6 a §

En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

10 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 7–9 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas enligt 7–9 §§ får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

11 §

Känsliga personuppgifter som Personuppgifter som avses i avses i 13 § personuppgiftslagen artikel 9.1 i EU:s dataskyddsför-(1998:204) (känsliga personupp- ordning (känsliga personuppgifter) gifter) får behandlas om uppgift- får behandlas om uppgifterna lämerna lämnats till en myndighet nats till en myndighet inom socialinom socialförsäkringens admini- försäkringens administration i ett stration i ett ärende eller är nöd- ärende eller är nödvändiga för vändiga för handläggning av ett handläggning av ett ärende. Känsärende. Känsliga personuppgifter liga personuppgifter får vidare befår vidare behandlas för något av handlas för något av de ändamål de ändamål som anges i 7 § första som anges i 7 § första stycket 1

stycket 1 samt 8 och 9 §§ om det samt 8 och 9 §§ om det är nöd- Prop. 2017/18:171 är nödvändigt med hänsyn till vändigt med hänsyn till ändamålet. ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

12 §

Uppgifter om lagöverträdelser Uppgifter om lagöverträdelser m.m. som avses i 21 § personupp- som innefattar brott, domar i giftslagen (1998:204)får behand- brottmål, straffprocessuella las om uppgifterna lämnats till en tvångsmedel eller administrativa myndighet inom socialförsäkring- frihetsberövanden får behandlas ens administration i ett ärende eller om uppgifterna lämnats till en är nödvändiga för handläggning av myndighet inom socialförsäkringett ärende. Uppgifter om lagöver- ens administration i ett ärende eller trädelser m.m. som avses i 21 § är nödvändiga för handläggning av personuppgiftslagenfår behandlas ett ärende. Uppgifter om lagöverför något av de ändamål som anges trädelser får behandlas för något i 7 § första stycket 1 samt 8 och av de ändamål som anges i 7 § 9 §§ om det är nödvändigt med första stycket 1 samt 8 och 9 §§ hänsyn till ändamålet. om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som För något av de ändamål som anges i 7 § första stycket 2, 3, 5 anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lag- och 6 får uppgifter om lagöverträöverträdelser m.m. som avses i delser behandlas som enligt 15 § 21 § personuppgiftslagenbehandfår behandlas i socialförsäkringslas som enligt 15 § får behandlas i databasen. socialförsäkringsdatabasen.

Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

13 §

I 15 § finns särskilda bestäm-I 15 § finns särskilda bestämmelser om behandling i socialför- melser om behandling i socialförsäkringsdatabasen av känsliga per- säkringsdatabasen av känsliga personuppgifter och uppgifter om lag- sonuppgifter och uppgifter som överträdelser m.m. som avses i avses i 12 § första stycket. 21 § personuppgiftslagen (1998:204).

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de begränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter behandlas i socialförsäkringsdatabasen.

Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personupp-giftslagen (1998:204)får utöver vad som anges i 16 § behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.

16 §

Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.

27 §

Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § person-uppgiftslagen (1998:204)får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får, utöver vad som anges i 16 §, behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.

Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter som avses i 12 § första stycket. Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.

Känsliga personuppgifter eller uppgifter som avses i 12 § första stycket får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.

Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.

Överföring av personuppgifter Överföring av personuppgifter

till tredje land till tredjeland

29 §

Överföring av personuppgifter till tredje land på grund av åtaganden i avtal om social trygghet som

Sverige ingått med andra stater får ske utan hinder av 33 § personuppgiftslagen (1998:204).

30 §

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen (1998:204)om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

31 §

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter får föras över till tredjeland på grund av åtaganden i avtal om social trygghet som

Sverige ingått med andra stater.

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information som avses i artikel 15 i EU:s dataskyddsförordning om den registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Denna lag träder i kraft den 25 maj 2018.

2.2. Förslag till lag om ändring i lagen (1996:1156) om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om receptregister1

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubrikerna närmast före 3 och 7 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 8 a §, och närmast före 8 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till Förhållandet till annan reglering

personuppgiftslagen 2

3 § 3

Personuppgiftslagen (1998:204) gäller för behandling av personuppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av

1 Senaste lydelse av 24 § 2009:370. 2 Senaste lydelse 2009:370. 3 Senaste lydelse 2009:370.

denna lag eller föreskrifter som

har meddelats i anslutning till lagen.

Personuppgiftsbehandling för Personuppgiftsbehandling för

annat

ändamål

andra

ändamål

7 §

4

I fråga om behandling av personuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas i receptregistret får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

8 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

20 §

5

E-hälsomyndigheten ska se till Utöver vad som framgår av att den enskilde får information artiklarna 13 och 14 i EU:s om personuppgiftsbehandlingen. dataskyddsförordning ska den som

Informationen ska innehålla är personuppgiftsansvarig enligt upplysningar om denna lag lämna information till

1. vem som är personuppgifts- den registrerade om ansvarig,

2. ändamålen med registret,

3. vilka uppgifter registret får

1. vilka uppgifter registret får

innehålla, innehålla,

4. de tystnadsplikts- och säker-

2. de tystnadsplikts- och säker-

4 Senaste lydelse 2009:370. 5 Senaste lydelse 2013:1021.

Prop. 2017/18:171 hetsbestämmelser som gäller för hetsbestämmelser som gäller för

registret,

5. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 §,

7. rätten till skadestånd enligt 24 §,

8. de begränsningar i fråga om sökbegrepp och bevarande av uppgifter som gäller för registret, och

9. att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

registret,

3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

4. de begränsningar i fråga om sökbegrepp som gäller för registret, och

5. att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Denna lag träder i kraft den 25 maj 2018.

2.3. Förslag till lag om ändring i lagen (1998:543)

om hälsodataregister

Härigenom föreskrivs i fråga om lagen (1998:543) om hälsodataregister

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till Förhållandet till annan reglering

personuppgiftslagen

2 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för hälsodataregister.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.4. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4 och 7 §§ och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

1

Denna lag tillämpas vid behand-Denna lag tillämpas, om inte ling av personuppgifter inom so- annat anges i 3 §, vid behandling cialtjänsten, om behandlingen är av personuppgifter inom socialhelt eller delvis automatiserad eller tjänsten, om behandlingen är helt om uppgifterna ingår i eller är av- eller delvis automatiserad eller om sedda att ingå i en strukturerad uppgifterna ingår i eller är avsedda samling av personuppgifter som är att ingå i en strukturerad samling tillgängliga för sökning eller sam- av personuppgifter som är tillgängmanställning enligt ett eller flera liga för sökning eller sammanställsärskilda kriterier. ning enligt ett eller flera särskilda kriterier.

3 §

Lagen tillämpas inte vid behand-Lagen tillämpas inte vid behandling av personuppgifter hos dom- ling av personuppgifter stolar. Den tillämpas inte heller

1. hos domstolar,

vid behandling av personuppgifter

2. för forsknings- och statistik-

för forsknings- och statistikända- ändamål, eller mål.

3. som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

1 Senaste lydelse 2003:136.

Förhållandet till

Förhållandet till annan reglering Prop. 2017/18:171

personuppgiftslagen m.m.

4 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .

Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga personuppgifter som

2. personuppgifter som avses i

avses i 13 § personuppgiftslagen artikel 9.1 i EU:s dataskyddsför-(1998:204), samt ordning (känsliga personuppgifter), samt

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Denna lag träder i kraft den 25 maj 2018.

2.5. Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs att 1 kap. 4 §, 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubrikerna närmast före 1 kap. 4 § och 6 kap. 2 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

Förhållande

till bestämmelser i

Förhållandet

till annan

annan lag dataskyddsreglering

4 §

Bestämmelser i annan lag vilka

Denna lag innehåller bestäm-

avviker från bestämmelser i denna melser som kompletterar Europa-lag skall tillämpas med det undan- parlamentets och rådets förord-taget att bestämmelserna i 5 kap. ning (EU) 2016/679 av den om PKU-registret skall ha före- 27 april 2016 om skydd för fysiska träde framför bestämmelser i personer med avseende på be-annan lag.

handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s data– skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser i annan lag vilka avviker från bestämmelser i denna lag ska tillämpas med det undantaget att bestämmelserna i 5 kap. om PKU-registret ska ha företräde framför bestämmelser i annan lag.

4 kap.

4 a §

1

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204).

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut.

6 kap.

Skadestånd m.m. Skadestånd

2 §

2

Huvudmannen för biobanken Huvudmannen för biobanken skall ersätta en enskild provgivare ska ersätta en enskild provgivare för den skada eller kränkning av för den skada eller kränkning av den personliga integriteten som ett den personliga integriteten som ett förfarande med vävnadsprover i förfarande med vävnadsprover i strid med denna lag har orsakat strid med denna lag har orsakat honom eller henne. honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

3 §

3

Inspektionen för vård och om-Inspektionen för vård och omsorg utövar tillsyn över att denna sorg utövar tillsyn över att denna lag och föreskrifter som har med- lag och föreskrifter som har meddelats i anslutning till lagen följs. delats i anslutning till lagen följs. Den myndighet som är tillsyns- Den myndighet som är tillsyns-

1 Senaste lydelse 2008:358. 2 Ändringen innebär bl.a. att tredje stycket tas bort. 3 Senaste lydelse 2012:947.

Prop. 2017/18:171 myndighet enligt personuppgifts- myndighet enligt EU:s data-

lagen (1998:204) utövar dock till- skyddsförordning utövar dock tillsyn över den behandling som sker syn över den behandling som sker av personuppgifter. av personuppgifter.

Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut handlingar, prover och annat material som rör verksamheten samt att lämna de upplysningar om verksamheten som inspektionen behöver för sin tillsyn.

Inspektionen för vård och omsorg får förelägga den som bedriver verksamheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

7 §

4

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte överklagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän förvaltningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

Denna lag träder i kraft den 25 maj 2018.

4 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

2.6. Förslag till lag om ändring i lagen (2005:258)

om läkemedelsförteckning

Härigenom föreskrivs i fråga om lagen (2005:258) om läkemedelsförteckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före 4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållande

till

Förhållandet

till annan reglering

personuppgiftslagen

2 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter för läkemedelsförteckningen, om inget annat följer av denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s data– skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

i

Information som skall lämnas självmant

Behandling av känsliga personuppgifter

4 a §

Personuppgifter som avses artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Information som ska lämnas självmant

10 §

1

E-hälsomyndigheten ska se till att den registrerade får information om läkemedelsförteckningen. Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med förteckningen,

3. vilken typ av uppgifter som ingår i förteckningen,

4. de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen,

5. rätten att ta del av uppgifter enligt 11 §,

6. rätten till rättelse av oriktiga eller missvisande uppgifter,

7. rätten till skadestånd vid behandling av personuppgifter i strid med denna lag,

8. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

9. vad som gäller i fråga om bevarande och gallring, samt

1 Senaste lydelse 2013:1023.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1. vilken typ av uppgifter som ingår i förteckningen,

2. de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen,

3. rätten att ta del av uppgifter enligt 11 §,

4. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

5. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, och

10. att registreringen inte är fri- 6. att registreringen inte är fri-

villig.

villig.

Information som skall lämnas Information som ska lämnas efter ansökan efter ansökan

11 §

Den registrerade har rätt att när Den registrerade har rätt att när som helst och så fort som möjligt som helst och så fort som möjligt få sådan information som avses i få sådan information som avses i 26 § personuppgiftslagen artikel 15 i EU:s dataskyddsför-(1998:204). ordning.

Denna lag träder i kraft den 25 maj 2018.

2.7. Förslag till lag om ändring i lagen (2006:351) om genetisk integritet m.m.

Härigenom föreskrivs att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § lagen (2006:351) om genetisk integritet m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

Förhållandet till Förhållandet till annan

personuppgiftslagen dataskyddsreglering

4 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av denna, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.8. Förslag till lag om ändring i lagen (2006:496)

om blodsäkerhet

Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet

dels att 21 § ska upphöra att gälla,

dels att 5 § ska ha följande lydelse,

dels att det ska införas en ny rubrik närmast före 5 § av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till annan dataskyddsreglering

5 §

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.9. Förslag till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

Härigenom föreskrivs att 12 § lagen (2006:1570) om skydd mot internationella hot mot människors hälsa ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §

1

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot Bestämmelser om skydd mot kränkning av en enskilds person- kränkning av en enskilds personliga integritet genom behandling liga integritet genom behandling av personuppgifter finns i person- av personuppgifter finns i Europa-uppgiftslagen (1998:204). Folk- parlamentets och rådets förord-hälsomyndigheten och andra be- ning (EU) 2016/679 av den rörda myndigheter, kommuner och 27 april 2016 om skydd för fysiska landsting får oavsett bestämmel- personer med avseende på beserna i 33 § personuppgiftslagen handling av personuppgifter och överföra personuppgifter till om det fria flödet av sådana upp-Världshälsoorganisationen och

gifter och om upphävande av

tredje land för att fullgöra sin upp- direktiv 95/46/EG (allmän data-giftsskyldighet enligt denna lag. skyddsförordning) och i lagen

Uppgifter som rör någons hälsa får (2018:000) med kompletterande behandlas helt eller delvis auto- bestämmelser till EU:s data-matiserat, om det är nödvändigt för skyddsförordning och föreskrifter att en myndighet, en kommun eller som har meddelats i anslutning till ett landsting ska kunna fullgöra sin den lagen. uppgiftsskyldighet enligt denna Folkhälsomyndigheten och lag. andra berörda myndigheter, kommuner och landsting får överföra personuppgifter till Världshälsoorganisationen och tredjeland för att fullgöra sin uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting

1 Senaste lydelse 2014:1550.

ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

2.10. Förslag till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla,

dels att 8 § ska ha följande lydelse,

dels att det ska införas en ny rubrik närmast före 8 § av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till annan dataskyddsreglering

8 §

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.11. Förslag till lag om ändring i patientdatalagen

(2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355)

dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och 10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och 10 §§, 8 kap. 6 §, 10 kap. 2 § och rubriken närmast före 1 kap. 4 § ska ha följande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas två nya paragrafer, 2 kap. 7 a § och 7 kap. 8 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagen gäller inte vid sådan behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Förhållandet till Förhållandet till annan

personuppgiftslagen dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för

Prop. 2017/18:171 sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid behandling av personuppgifter som avses i första stycket gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 kap.

5 §

Personuppgifter som behandlas Personuppgifter som behandlas för ändamål som anges i 4 § får för ändamål som anges i 4 § får också behandlas för att fullgöra också behandlas för att fullgöra uppgiftslämnande som sker i över- uppgiftslämnande som sker i överensstämmelse med lag eller förord- ensstämmelse med lag eller förordning. I övrigt gäller 9 § första ning. Personuppgifterna får även stycket d och andra stycket person- behandlas för andra ändamål, uppgiftslagen (1998:204). under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

7 §

En vårdgivare får behandla en-En vårdgivare får behandla endast sådana personuppgifter som dast sådana personuppgifter som behövs för de ändamål som anges i behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personupp- som innefattar brott, domar

i

giftslagen (1998:204)får endast brottmål, straffprocessuella

behandlas om det är absolut nöd- tvångsmedel eller administrativa vändigt för ett sådant ändamål. frihetsberövanden får endast be-Även en vårdgivare som inte är handlas om det är absolut nödstatlig myndighet, landsting eller vändigt för ett sådant ändamål. kommun får under dessa förutsätt- Även en vårdgivare som inte är ningar behandla uppgifter om lag- statlig myndighet, landsting eller överträdelser m.m. som avses i kommun får under dessa förutsätt-21 § personuppgiftslagen. ningar behandla uppgifter om lagöverträdelser.

7 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

8 §

Känsliga personuppgifter som Känsliga personuppgifter eller avses i 13 § personuppgiftslagenuppgifter om lagöverträdelser som (1998:204) eller uppgifter om lag- avses i 7 § får inte användas som överträdelser m.m. som avses i sökbegrepp. Inte heller får upp-21 § samma lag får inte användas

gifter om att någon fått bistånd

som sökbegrepp. Inte heller får eller varit föremål för andra inuppgifter om att någon fått bistånd satser inom socialtjänsten eller eneller varit föremål för andra insat- ligt utlänningslagen (2005:716) ser inom socialtjänsten eller enligt användas som sökbegrepp. utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om

1 hälsa, eller

2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

7 kap.

3 §

Innan personuppgifter behandlas Innan personuppgifter behandlas i ett nationellt eller regionalt kvali- i ett nationellt eller regionalt kvali-

Prop. 2017/18:171 tetsregister ska den som är person- tetsregister ska den som är person-

uppgiftsansvarig se till att den en- uppgiftsansvarig se till att den enskilde, utöver den information som skilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får ska lämnas enligt 8 kap. 6 §, får information om information om rätten att när som

1. rätten att när som helst få upp- helst få uppgifter om sig själv utgifter om sig själv utplånade ur plånade ur registret. registret,

2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

8 a §

Uppgifter om lagöverträdelser som avses i 2 kap. 7 § får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett En arkivmyndighet inom ett landsting eller en kommun får landsting eller en kommun får dock föreskriva att personuppgifter dock föreskriva att personuppgifter i ett nationellt eller regionalt kvali- i ett nationellt eller regionalt kvalitetsregister som förs inom lands- tetsregister som förs inom landstinget eller kommunen får bevaras tinget eller kommunen får bevaras för historiska, statistiska eller för arkivändamål av allmänt invetenskapliga ändamål. tresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Om regeringen eller den myn-Om regeringen eller den myndighet regeringen bestämt har dighet regeringen bestämt har meddelat föreskrifter enligt 7 § meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller andra stycket, får regeringen eller myndigheten också föreskriva att myndigheten också föreskriva att personuppgifter får bevaras för personuppgifter får bevaras för historiska, statistiska eller veten- sådana ändamål. skapliga ändamål.

8 kap.

6 §

Den som är personuppgiftsan-Utöver vad som framgår av svarig enligt denna lag ska se till artiklarna 13 och 14 i EU:s dataatt den registrerade får informa- skyddsförordning ska den som är tion om personuppgiftsbehandling- personuppgiftsansvarig enligt denen. na lag lämna information till den

Informationen ska innehålla registrerade om upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med behandlingen,

3. vilka kategorier av uppgifter som behandlas,

4. den uppgiftsskyldighet som 1. den uppgiftsskyldighet som kan följa av lag eller förordning, kan följa av lag eller förordning,

5. de sekretess- och säkerhetsbe-

2. de sekretess- och säkerhetsbe-

stämmelser som gäller för uppgift- stämmelser som gäller för uppgifterna och behandlingen, erna och behandlingen,

6. rätten enligt 4 kap. 4 § att i

3. rätten enligt 4 kap. 4 § att i

vissa fall begära att uppgifter vissa fall begära att uppgifter spärras, spärras,

7. rätten enligt 5 § att få infor-

4. rätten enligt 5 § att få infor-

mation om den direktåtkomst och mation om den direktåtkomst och elektroniska åtkomst som före- elektroniska åtkomst som förekommit, kommit,

8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) ,

9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen ,

10. rätten enligt 10 kap. 1 § till

5. rätten enligt artikel 82 i EU:s

skadestånd vid behandling av dataskyddsförordning och 7 kap. personuppgifter i strid med denna 1 § lagen ( 2018:000 ) med komlag, pletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

11. vad som gäller i fråga om

6. vad som gäller i fråga om sök-

sökbegrepp, direktåtkomst och ut- begrepp, direktåtkomst och utlämnande av uppgifter på medium lämnande av uppgifter på medium för automatiserad behandling, för automatiserad behandling.

12. vad som gäller i fråga om bevarande och gallring, samt

13. huruvida personuppgiftsbehandlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

10 kap.

2 §

1

Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap.711 §§offentlighets- och sekretesslagen (2009:400).

1 Senaste lydelse 2012:954. Ändringen innebär att tredje stycket tas bort.

Vid sådan behandling av per-

sonuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 51 53 §§ personuppgiftslagen (1998:204) .

Övriga beslut enligt denna lag får inte överklagas.

Denna lag träder i kraft den 25 maj 2018.

2.12. Förslag till lag om ändring i apoteksdatalagen (2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367)

dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållande

till

Förhållandet

till annan reglering

personuppgiftslagen

5 §

Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

9 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 §

första stycket d och andra stycket

personuppgiftslagen (1998:204) .

Personuppgifter som behandlas enligt 8 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

9 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

16 §

Tillståndshavaren ska se till att Utöver vad som framgår av den enskilde får information om artiklarna 13 och 14 i EU:s personuppgiftsbehandlingen. dataskyddsförordning ska den som

Informationen ska innehålla är personuppgiftsansvarig enligt upplysningar om denna lag lämna information till

1. vem som är personuppgiftsan- den registrerade om svarig,

2. ändamålen med behandlingen,

3. den uppgiftsskyldighet som 1. den uppgiftsskyldighet som kan följa av lag eller förordning, kan följa av lag eller förordning,

4. de tystnadsplikts- och säker-

2. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för hetsbestämmelser som gäller för uppgifterna och behandlingen, uppgifterna och behandlingen,

5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten enligt 15 § till rättelse av oriktiga eller missvisande uppgifter,

7. rätten enligt 15 § till skade-

3. rätten enligt artikel 82 i EU:s

stånd vid behandling av person- dataskyddsförordning och 7 kap. uppgifter i strid med denna lag, 1 § lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av person-

Prop. 2017/18:171 uppgifter i strid med denna lag, och

8. vad som gäller i fråga om sök-

4. vad som gäller i fråga om sök-

begrepp,

begrepp.

9. vad som gäller i fråga om bevarande, samt

10. huruvida personuppgiftsbehandlingen är frivillig eller inte.

Denna lag träder i kraft den 25 maj 2018.

2.13. Förslag till lag om ändring i lagen (2010:111)

om införande av socialförsäkringsbalken

Härigenom föreskrivs att 9 kap.22 och 23 §§ lagen (2010:111) om införande av socialförsäkringsbalken ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

22 §

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna. Bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna. De upphävda bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.

23 §

Bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna.

De upphävda bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003 men före den 25 maj 2018.

Denna lag träder i kraft den 25 maj 2018.

2.14. Förslag till lag om ändring i alkohollagen (2010:1622)

Härigenom föreskrivs att 13 kap. 5 § alkohollagen (2010:1622) ska upphöra att gälla.

Denna lag träder i kraft den 25 maj 2018.

2.15. Förslag till lag om ändring i lagen (2012:263)

om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

dels att 8 § ska upphöra att gälla,

dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till annan lag Förhållandet till annan

dataskyddsreglering

4 §

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.16. Förslag till lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram

Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå,

dels att 3, 6 och 13 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §

1

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Folkhälsomyndighetens verksamhet när det gäller nationella vaccinationsprogram, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

6 §

Personuppgifter får behandlas för

1 Senaste lydelse 2013:637.

1. framställning av statistik, Prop. 2017/18:171

2. uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt

3. forskning och epidemiologiska undersökningar. Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

13 §

2

Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålen med behandlingen,

3. den uppgiftsskyldighet som kan följa av lag eller förordning,

4. de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter,

7. rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med denna lag,

8. vad som gäller i fråga om sökbegrepp,

2 Senaste lydelse 2013:637.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1. den uppgiftsskyldighet som kan följa av lag eller förordning,

2. de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

3. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

4. vad som gäller i fråga om sökbegrepp, och

9. vad som gäller i fråga om bevarande, samt

10. att registreringen inte är fri-

5. att registreringen inte är fri-

villig.

villig.

Denna lag träder i kraft den 25 maj 2018.

2.17. Förslag till lag om ändring i lagen (2016:526)

om behandling av personuppgifter i ärenden om licens för läkemedel

Härigenom föreskrivs i fråga om lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

dels att 20 § ska upphöra att gälla,

dels att rubriken närmast före 20 § ska utgå,

dels att 4, 9 och 21 §§ ska ha följande lydelse,

dels att rubriken närmast före 3 § ska lyda ”Förhållandet till annan reglering”,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a §§ en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §

Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och E-hälsomyndighetens behandling av personuppgifter i verksamhet som rör ärenden om ansökan om licens för läkemedel, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

9 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas enligt 8 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

9 a §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

21 §

Den personuppgiftsansvarige Utöver vad som framgår av ska se till att den registrerade får artiklarna 13 och 14 i EU:s datainformation om personuppgiftsbe- skyddsförordning ska den som är handlingen. personuppgiftsansvarig enligt den-

Informationen ska innehålla na lag lämna information till den upplysningar om registrerade om

1. vem som är personuppgiftsansvarig,

2. ändamålen med behandlingen,

3. den uppgiftsskyldighet som 1. den uppgiftsskyldighet som kan följa av lag eller förordning, kan följa av lag eller förordning,

4. de sekretess- och säkerhetsbe-

2. de sekretess- och säkerhetsbe-

stämmelser som gäller för uppgift- stämmelser som gäller för uppgifterna och behandlingen, erna och behandlingen,

5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten enligt 20 § till rättelse

3. rätten enligt artikel 82 i EU:s

av oriktiga eller missvisande upp- dataskyddsförordning och 7 kap. gifter och till skadestånd vid be- 1 § lagen ( 2018:000 ) med komphandling av personuppgifter i strid letterande bestämmelser till EU:s med denna lag, dataskyddsförordning till skade-

stånd vid behandling av person-

uppgifter i strid med denna lag, och

7. vad som gäller i fråga om sök-

4. vad som gäller i fråga om sök-

begränsningar, och begränsningar.

8. vad som gäller i fråga om gallring.

Denna lag träder i kraft den 25 maj 2018.

3. Ärendet och dess beredning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EU:s dataskyddsförordning, bilaga 1. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018.

Regeringen beslutade den 16 juni 2016 att tillkalla en särskild utredare med uppdrag att bl.a. analysera vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen (dir. 2016:52). Utredningen, som tog sig namnet Socialdataskyddsutredningen, överlämnade i augusti 2017 sitt betänkande Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66) till regeringen. En sammanfattning av betänkandet finns i bilaga 2. Socialdataskyddsutredningens lämnade lagförslag framgår av bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena och en remissammanställning finns tillgängliga i Socialdepartementet (dnr S2017/04726/SAM).

Lagrådet

Regeringen beslutade den 8 februari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga

6. Lagrådets synpunkter och förslag behandlas i avsnitten 7.1.1, 7.1.2, 7.1.8, 7.4.1, 7.5.1, 7.5.4, 7.5.8, 7.11.1, 8.1 och i författningskommentaren 10.1, 10.2, 10.5, 10.6, 10.8, 10.10, 10.11, 10.12, 10.16 och 10.17.

Regeringen har i huvudsak följt Lagrådets synpunkter.

4. Något om gällande rätt

4.1. Internationella överenskommelser

4.1.1. Förenta nationerna

Förenta nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i

syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och Prop. 2017/18:171 friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalförsamlingen 1966 och trädde i kraft 1976. Sverige anslöt sig till konventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bl.a. att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.

4.1.2. OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat riktlinjer i fråga om integritetsskyddet och personuppgiftsflödet över gränserna. Riktlinjerna antogs 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att betrakta riktlinjerna i nationell lagstiftning. Riktlinjerna reviderades år 2013. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa den.

4.2. Europarätt

4.2.1. Europarådet

Europakonventionen

Sedan den 1 januari 1995 är den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) inkorporerad i svensk rätt och gäller som lag, lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (prop. 1993/94:117). Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Artikel 8 i Europakonventionen avser rätt till skydd för privat- och familjeliv. Enligt artikel 8 har var och en rätt till respekt för sitt privatoch familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Artikel 8 är tillämplig på behandling av personuppgifter men omfattar inte all sorts behandling av personuppgifter – frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.

i

Prop. 2017/18:171 Rekommendation om skyddet av hälsouppgifter

I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen.

Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Sådan verksamhet utanför hälsooch sjukvårdssektorn som omfattas av lämpliga skyddsåtgärder nationell rätt omfattas dock inte av rekommendationen.

Rekommendation om skyddet av personuppgifter som behandlas för ändamål som rör social trygghet

Europarådets ministerkommitté har också antagit en rekommendation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål som rör social trygghet. Rekommendationen är tillämplig på behandling av personuppgifter för ”social security purposes” (ändamål hänförliga till social trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeförmåner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsförmåner och familjeförmåner.

4.2.2. Europeiska unionen

Dataskyddsdirektivet

Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers frioch rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. I Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) finns en bestämmelse om skydd av personuppgifter i artikel 8 om att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Direktivet, som har genomförts i svensk rätt huvudsakligen genom Prop. 2017/18:171personuppgiftslagen (1998:204) med tillhörande förordning, gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

EU:s dataskyddsreform

Under många år har det förekommit diskussionerna inom bl.a. EU om att det behövs en ny rättslig reglering för att ersätta 1995 års dataskyddsdirektiv. Kommissionen presenterade den 25 januari 2012 förslag till en reform av EU:s regler om skydd för personuppgifter. Reformen omfattade dels en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet, dels ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.

Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt syftade förslaget till ett stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en del nyheter jämfört med dataskyddsdirektivet.

Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskyddsdirektivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen ska börja tillämpas den 25 maj 2018.

Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018.

4.3. Svensk rätt

4.3.1. Regeringsformen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap.20 och 21 §§regeringsformen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

4.3.2. Dataskyddsdirektivets genomförande – personuppgiftslagen

Sverige har genomfört 1995 års dataskyddsdirektiv främst genom personuppgiftslagen (1998:204). Lagen trädde i kraft den 24 oktober 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som 1995 års dataskyddsdirektiv och innehåller – liksom direktivet – bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar som reglerar myndigheternas personuppgiftsbehandling.

Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191), som bl.a. anger Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

5. Utgångspunkter för lagstiftningsärendet

5.1. EU:s dataskyddsreform

EU:s dataskyddsreform är en reform som omfattar stor del av personuppgiftsbehandlingen inom EU. Den består av dataskyddsförordningen och ett nytt dataskyddsdirektiv. Det nya direktivet gäller vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, i vilket även ingår att skydda mot samt förebygga och för- Prop. 2017/18:171 hindra hot mot den allmänna säkerheten.

Dataskyddsförordningen medför behov av att anpassa svenska författningar till förordningen. Vidare behöver dataskyddsdirektivet genomföras i svensk rätt.

Ett stort antal utredningar har arbetat och arbetar med att anpassa svensk rätt till EU:s dataskyddsreform. Det pågår omfattande arbete inom Regeringskansliet med att anpassa författningar till förordningen. De olika utredningarnas förslag till ändringar i författningar kommer att medföra arbete med att utarbeta och lämna lagförslag och besluta om förordningar. De olika ärendena som rör författningsändringar behöver samordnas och detta inom en mycket kort tidsperiod för att hålla de tider som gäller för rättsakternas ikraftträdande.

Något om tillämpningen av de båda rättsakterna och tillämpningsproblem

Det kommer att finnas myndigheter och verksamheter vars personuppgiftsbehandlingar kommer att behöva förhålla sig till de båda EUrättsakterna och eventuellt kommer att behöva tillämpa både förordningen och direktivet. För en sådan myndighet och verksamhet kan detta medföra svårigheter i tillämpningen att avgöra vilken rättsakt som är tillämplig för de olika behandlingar av personuppgifter som utförs och vilka konsekvenser detta kan få för förutsättningarna att behandla personuppgifter inom myndigheten eller i verksamheten.

Dessa svårigheter i tillämpningen med att avgöra vilket regelverk som ska tillämpas blir ganska lik de svårigheter som redan finns med dagens reglering av personuppgiftsbehandling. Redan i dag tillämpar myndigheterna olika regelverk – personuppgiftslagen och särskilda registerförfattningar – beroende på i vilken verksamhet eller för vilka slags ändamål personuppgifterna behandlas. Registerförfattningarna, som har tillkommit vid olika tillfällen, har olika innehåll och utformningarna skiljer sig åt. Problem med att i tillämpningen bedöma vilket rättsligt stöd som gäller för personuppgiftsbehandlingarna finns därmed redan i dag.

EU:s dataskyddsreform och anpassningarna i svensk rätt kommer dock för myndigheter och andra aktörer i olika verksamheter att aktualisera behovet av att se över sin personuppgiftsbehandling och t.ex. överväga för vilka ändamål personuppgifter behandlas och vilka regelverk som ska tillämpas för den specifika behandlingen.

Behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas således antingen av dataskyddsförordningen eller nya dataskyddsdirektivet. Dessa rättsakter bedöms samtidigt inte kunna vara tillämpliga för en personuppgiftsbehandling eftersom avgränsningen ska göras utifrån syftet och om det är en s.k. behörig myndighet, se artikel 2.2 d och skäl 19 i dataskyddsförordningen. Sker personuppgiftsbehandling som visserligen kan avse samma personuppgifter men för flera olika syften bedöms de båda rättsakterna kunna vara tillämpliga parallellt. För en personuppgiftsansvarig kan detta dock ställa till svårigheter i tillämpningen att avgöra vilken rättsakt eller vilka rättsakter som ska tillämpas i fall där samma eller delvis samma personuppgifter behandlas.

Hänvisningar till S5-1

  • Prop. 2017/18:171: Avsnitt 10.4

5.2. Behandling av personuppgifter som i dag är laglig bör kunna fortsätta men författningsstöd för annan behandling bör inte införas nu

Regeringens bedömning: För den personuppgiftsbehandling som förekommer i olika verksamheter bör den behandling som i dag är laglig kunna fortsätta. Ändringar i förutsättningarna för att ytterligare behandla personuppgifter får övervägas i annan ordning. Detta lagstiftningsärende får därför avgränsas till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av EU:s dataskyddsförordning.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att den metod som använts av utredningen riskerar leda till att nationella bestämmelser inte kommer att överensstämma med dataskyddsförordningen. Utan en noggrann kartläggning av behandling av personuppgifter inom Socialdepartementets område finns det risk för att den nationella regleringen inte kommer att överensstämma med förordningen och att det kommer att saknas nationell reglering för sådan behandling av personuppgifter som är nödvändig i samhället. Den stora skillnaden mellan ett direktiv som genomförs i svensk rätt och en förordning som ska tillämpas direkt bör framhållas. Många av förordningens bestämmelser är direkt tillämpliga i svensk rätt utan möjlighet till avvikande nationell reglering. I vissa avseenden finns dock ett utrymme för, och i vissa fall även krav på, nationell reglering som kompletterar förordningens bestämmelser. Förordningen blir det primära regelverket avseende behandling av personuppgifter och t.ex. patientdatalagen blir subsidiär i förhållande till dataskyddsförordningen. Lagstiftaren måste säkerställa att dataskyddsförordningen kompletteras med nationella regler i tillräcklig utsträckning för att viktig verksamhet ska kunna behandla de personuppgifter som är nödvändiga för verksamheten. Det är också viktigt att det blir tydligt hur regelverken förhåller sig till varandra, så att de som ska tillämpa dataskyddsbestämmelserna förstår att de nationella reglerna inte kan åsidosätta dataskyddsförordningen och att en prövning om en behandling av personuppgifter är tillåten eller inte, primärt ska ske utifrån förordningen. En reglering som exempelvis patientdatalagen, i vilken många frågor om personuppgiftsbehandling regleras, kan för den enskilda tillämparen i högre grad uppfattas som det primära regelverket på området för behandling av personuppgifter än en lagstiftning som endast reglerar enstaka frågor.

Pensionsmyndigheten anser att i och med att dataskyddsförordningen börjar tillämpas utgör den det primära regelverket för behandling av personuppgifter. Förordningen skapar goda förutsättningar för en enhetlighet i rättstillämpningen som myndigheten bedömer kommer att kunna vara gynnsam för myndigheternas arbete med digitalisering och framtagandet av gemensamma e-tjänster. De tillämpningssvårigheter som

det fragmenterade regelverket medför kan inte förväntas minska i och Prop. 2017/18:171 med att förordningen börjar tillämpas, snarast tvärtom. Behovet av att göra en sammanhållen och enhetlig översyn av registerförfattningarna kvarstår och blir större i och med förordningen.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) tillstyrker förslagen och noterar med tillfredsställelse att man i det stora flertalet fall gör bedömningen att det inte behövs några ändringar i nuvarande regelverk. Forte har inte funnit att något i utredningen skulle begränsa tillgången till personuppgifter eller möjligheten att använda dem för forskning och statistik, utöver vad som gäller i dag.

Svenska läkarsällskapet är positivt till utredningens målsättning att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta.

För att uppnå den målsättningen har en ingående analys av både dataskyddsförordningen och registerförfattningarna skett. Utredningens förslag beskrivs vara av i huvudsak författningsteknisk karaktär, och bedöms inte inskränka nuvarande möjligheter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen.

Läkemedelsindustriföreningen (LIF) ställer sig positiv till utredningens utgångspunkt att behandling som i dag är laglig ska kunna fortsätta. Det skapar förutsebarhet och underlättar de anpassningsåtgärder som dataskyddsförordningen föranleder för föreningens medlemsföretag. Som

LIF uppfattar saken påverkar förslagen inte läkemedelsföretagens forskning och användning av statistik från hälsodataregister, kvalitetsregister och biobanker. Detta är positivt och av stor betydelse för Sveriges ställning och utveckling som forskande läkemedelsnation.

Sveriges Kommuner och Landsting och Örebro läns landsting välkomnar och delar utredningens bedömning att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta när dataskyddsförordningen ska börja tillämpas. Landstinget instämmer i utredningens bedömning att dataskyddsförordningen till stor del innehåller samma eller i vart fall liknande bestämmelser som dataskyddsdirektivet och personuppgiftslagen. Den stora skillnaden är dock att dataskyddsförordningen är direkt tillämplig och, till skillnad från personuppgiftlagen som är subsidiär, gäller oavsett vad som regleras i en nationell registerförfattning.

Skälen för regeringens bedömning: Den nya generella unionsrättsakten om dataskydd är en förordning och detta innebär en ytterligare harmonisering av dataskyddsreglerna inom EU. Förordningen kommer att vara direkt tillämplig i medlemsstaterna. Detta innebär att personuppgiftsansvariga primärt kommer att behöva förhålla sig till EU-regleringen.

Regeringen vill dock uppmärksamma att dataskyddsförordningen emellertid till stora delar har en direktivliknande karaktär. Ett förhållandevis stort antal artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Detta gäller särskilt behandling av personuppgifter som sker inom den offentliga sektorn. Medlemsstaterna får t.ex. behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 e, dvs. som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutöv-

Prop. 2017/18:171 ning. För vissa angivna syften får medlemsstaterna enligt artikel 23 även

begränsa tillämpningsområdet för många av de skyldigheter och rättigheter som regleras i förordningen. Dataskyddsförordningens direktivsliknande karaktär innebär således att det kommer att finnas ett betydande utrymme för att behålla och att införa ytterligare registerförfattningar om så anses behövligt eller nödvändigt.

Regeringen vill vidare uppmärksamma att dataskyddsförordningen till stor del baseras på 1995 års dataskyddsdirektivets struktur och innehåll. I många fall framgår det vid en jämförelse mellan den nya förordningens och direktivets artiklar mycket stora likheter i ordalydelserna t.ex. vad gäller grundläggande principer och en del vad gäller laglig grund. Det är därför naturligt att tolkningen av dataskyddsförordningen ofta kommer att göras genom att dataskyddsförordningens ordalydelse jämförs med dataskyddsdirektivets ordalydelse.

Regeringen instämmer i Datainspektionens och Pensionsmyndighetens uppfattning att förordningen blir det primära regelverket för behandling av personuppgifter och t.ex. patientdatalagen utgör kompletterande lagstiftning i förhållande till dataskyddsförordningen. Det är också så att lagstiftaren så långt det är möjligt bör säkerställa att dataskyddsförordningen kompletteras med nationella regler i tillräcklig utsträckning för att myndigheter och andra aktörer i olika verksamhet inom Socialdepartementets verksamhetsområde ska kunna behandla de personuppgifter som är nödvändiga för myndigheternas eller de andra aktörernas verksamheter.

Regeringen instämmer i Datainspektionens uppfattning att det är viktigt att det blir tydligt hur regelverken förhåller sig till varandra, så att de som ska tillämpa dataskyddsbestämmelserna förstår att de nationella reglerna inte kan åsidosätta dataskyddsförordningen och att en prövning av om en behandling av personuppgifter är tillåten eller inte, primärt ska ske utifrån förordningen.

Det finns en risk för att de som är personuppgiftsansvariga kommer att se registerförfattningar, såsom patientdatalagen (2008:355), som de primära regelverken på området för behandling av personuppgifter och inte som lagstiftning som endast reglerar enstaka frågor.

Regeringen bedömer att det finns behov av allmän information t.ex. om förhållandet mellan dataskyddsförordningen och den generella lagen samt de särskilda registerförfattningarna. Det kommer dock sannolikt att ta tid innan myndigheter och andra aktörer inom olika verksamheter kommer att ha god kännedom om vad dataskyddsförordningen och andra författningar kräver av dem.

Dataskyddsförordningen ska börja tillämpas den 25 maj 2018. Regeringen håller med Datainspektionen om att det hade varit önskvärt med noggrann kartläggning av behandling av personuppgifter inom Socialdepartementets verksamhetsområde men anser inte att detta är möjligt inom den mycket korta tidsperioden innan förordningen ska börja tillämpas.

Regeringen bedömer att det är angeläget att den behandling av personuppgifter som i dag förekommer och är laglig bör kunna fortsätta även från det att dataskyddsförordningen börjar tillämpas. Det kommer sannolikt också att uppmärksammas personuppgiftsbehandling som kommer att behöva ytterligare författningsstöd. Sådana ändringar, och

andra ändringar i förutsättningar för behandling av personuppgifter, får Prop. 2017/18:171 övervägas i annan ordning. Detta lagstiftningsärende får därför avgränsas till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordningen.

5.3. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir tydligare

Regeringens bedömning: Befintlig författningsreglering, som innebär begränsningar i förhållande till vad som vore tillåtet enligt EU:s dataskyddsförordning, bör behållas i sak i så stor utsträckning som möjligt.

Regleringen bör göras så enhetlig som möjligt. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen kan och bör, i den utsträckning det är möjligt enligt vad som anges i skäl 8 i dataskyddsförordningen, behållas eller införas när det skapar tydlighet.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Riksarkivet anser att regleringen som rör behandling av personuppgifter med dataskyddsförordningens ikraftträdande kommer att bli komplex. Det är därför viktigt att regelverket på dataskyddsområdet görs så enkelt och tydligt som möjligt. Riksarkivet har i yttrande över betänkandet Ny dataskyddslag (SOU 2017:39) lämnat generella synpunkter för den nationella tolkningen av dataskyddsförordningen.

Kammarrätten i Stockholm noterar att de olika utredningar som tillsatts för att analysera och anpassa författningar inom olika områden till dataskyddsförordningen, har valt att utforma vissa återkommande bestämmelser på olika sätt. Det gäller t.ex. hänvisningen till dataskyddsförordningen, övergångsbestämmelser som reglerar vilka bestämmelser om skadestånd som ska tillämpas, hänvisningar till dataskyddsförordningens artikel 9.1 om sådana särskilda personuppgifter som anges i artikeln (känsliga personuppgifter) och hur hänvisningar till personuppgiftslagens bestämmelse om finalitetsprincipen ska ersättas (jfr t.ex. SOU 2017:66,

SOU 2017:49 och Ds 2017:33). Det är önskvärt att Regeringskansliet i det fortsatta arbetet finner en enhetlig utformning av denna typ av bestämmelser.

Sveriges advokatsamfund har tidigare påtalat att gällande lagstiftning i fråga om registerfrågor är svår att överblicka både sett till verkningar för enskildas personliga integritet och till den faktiska tillämpningen av de föreslagna lagrummen och rekvisiten, då det finns ett allt för stort antal skilda lagar om myndigheters personuppgifts- och registerhantering samt även en bristande överensstämmelse mellan grundläggande begrepp i dessa lagar. Advokatsamfundet vidhåller tidigare lämnade synpunkter i

Prop. 2017/18:171 detta avseende och anser att det är olyckligt att uppdraget inte varit att ta

fram en enhetlig reglering för åtminstone här berörd del av den offentliga verksamheten.

Dataskydd.net anser att det sammelsurium av registerförfattningar som finns på Socialdepartementets område inte kan uppnå syftet att skydda sjuka och utsatta människor från integritetskränkningar. Ambitionen med att skapa specialbestämmelser kan i och för sig vara lovvärd men blir kontraproduktiv. Det blir svårare för privatpersoner att förstå vilka rättigheter de har och utöva dessa rättigheter. Det blir också svårare för de berörda myndigheterna/personuppgiftsansvariga att bedöma i vilken utsträckning de själva är ansvariga för konsekvensbedömningar och utvärderingar. Dataskydd.net a nser att en del av författningsförslagen innebär felaktiga upprepningar av artikel 5.1 b, onödiga upprepningar av artikel 9.3 och underliga och varierande listor om vilken information som ska ges till registrerade samt att det på ett flertal ställen i förslagen förekommer dubbelregleringar.

Skälen för regeringens bedömning

Befintliga registerförfattningar bör behållas

Av skäl 8 i dataskyddsförordningen framgår att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av bestämmelserna i dataskyddsförordningen genom den nationella rätten kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. Det kan däremot i andra situationer än den som berörs i skäl 8 anses strida mot EU-rätten att i nationell lagstiftning upprepa bara vissa bestämmelser i en EU-förordning eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt.

Mot bakgrund av det utrymme som medlemsstaterna med stöd av förordningens artiklar har för att införliva delar av dataskyddsförordningen i den nationella rätten så bör befintliga registerförfattningar som motsvarar bestämmelser i dataskyddsförordningen behållas i den utsträckning det behövs för att uppnå tydlighet och igenkänning hos tillämparna. En bedömning av om det är förenligt med EU-rätten att behålla en sådan bestämmelse måste dock göras i varje enskilt fall.

Det bör däremot inte införas fler bestämmelser som motsvarar bestämmelser i dataskyddsförordningen än de som redan finns i registerförfattningarna. Registerförfattningarna, som redan i nuläget är många i antal och som i vissa fall är mycket omfattande, skulle då komma att bli ännu mer omfattande.

Å andra sidan anser regeringen att det bör uppmärksammas att olika registerförfattningar av lagstiftaren har ansetts vara önskvärda för att en samlad reglering skulle anses vinna i tydlighet, konsekvens och överblickbarhet samt att tillgodose enskilda personers integritetsskydd. I flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling har konstitutionsutskottet framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har vid åtskilliga tillfällen

instämt i denna bedömning (se bl.a. prop. 2009/10:80 s. 183). De olika Prop. 2017/18:171 registerförfattningarnas innehåll och struktur får anses vara ett resultat av hur lagstiftaren under åren har bedömt bl.a. den personuppgiftsbehandling som görs av en myndighet eller andra aktörer i en viss verksamhet eller för vissa specifika ändamål som avvägt mot bl.a. intresset av skyddet av enskildas personliga integritet. Lagstiftaren har utifrån integritetssynpunkt bedömt att det är väsentligt att inte andra personuppgifter behandlas i viss verksamhet än vad som är befogat utifrån verksamhetens behov och krav. Det är i sådana bedömningar ofta fråga om att balansera intresset av att specificera vilka personuppgifter som får behandlas och på vilket sätt i verksamheten samtidigt som intresset av att undvika tillämpningsproblem eller försvåra nödvändigt och ändamålsenligt nyttjande av it i verksamheten. Vidare har lagstiftaren förhållit sig till om sekretess eller tystnadsplikt gäller för personuppgifterna som syftar till att förhindra obehörig insyn och spridning.

För tillämparen finns det risk att det blir missvisande att endast återge vissa bestämmelser i dataskyddsförordningen när även övriga bestämmelser i dataskyddsförordningen gäller. Detta kan dock vara motiverat för att förtydliga, t.ex. genom att ta in en bestämmelse som upplyser om innehållet i en specifik bestämmelse i dataskyddsförordningen, i syfte att göra tillämparen uppmärksam på att regleringen i registerförfattningen inom ett visst område inte är uttömmande.

5.4. Myndigheter och verksamheter som inte har registerförfattningar

Regeringens bedömning: Lagstiftningsärendet behöver avgränsas till att avse de anpassningar i författningar som i nuläget bedöms behövas med anledning av EU:s dataskyddsförordning. I fråga om de myndigheter eller verksamheter som inte har en särskild registerförfattning så får det i tillämpningen visa sig om det behövs ytterligare regleringar av behandling av personuppgifter.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen gjorde bedömningen att det inte har framkommit att några myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Remissinstanserna: Datainspektionen framför att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information. I betänkandet saknas tillräckliga redogörelser och analyser för att kunna bedöma om det behöver införas särskilda nationella dataskyddsbestämmelser för de myndigheter som i dag saknar egna registerförfattningar. Sådana analyser behöver göras i det fortsatta lagstiftningsärendet.

Prop. 2017/18:171 Datainspektionen har vid flera tillfällen framfört synpunkter på att det

saknas särskilda bestämmelser för den personuppgiftsbehandling som utförs av Folkhälsomyndigheten. En annan myndighet för vilken en registerförfattning kan behöva övervägas är Barnombudsmannen som inom sin verksamhet behandlar känsliga personuppgifter om barn.

Barnombudsmannen (BO) anför att myndigheten i sin verksamhet behandlar både generella och känsliga personuppgifter i såväl den faktiska verksamheten som myndighetsutövandet. De känsliga personuppgifter som behandlas i den faktiska verksamheten gäller bl.a. uppgifter som inkommer till myndigheten genom att enskilda tar kontakt med myndigheten via t.ex. webbformulär samt uppgifter som myndigheten själv inhämtar i frivilliga samtal med barn. I utredningen saknas det belysning av vilka andra myndigheter, däribland BO, som saknar registerförfattningar. Inte heller finns det någon redogörelse för vilken granskning som gjorts av dessa myndigheters behandling av personuppgifter. BO anser därför att utredningen inte har analyserat frågan tillräckligt ingående.

Inspektionen för socialförsäkringen framhåller att det är angeläget för myndigheten att förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen leder till lagstiftning.

Skälen för regeringens bedömning

Allmänt om myndigheter och verksamheter som i dag inte har en registerförfattning och utredningsuppdraget

Några av de myndigheter och verksamheter som hör till Socialdepartementets verksamhetsområde har i dag inte en särskild registerförfattning. Detta gäller bl.a. Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Dessa myndigheter ska i dag tillämpa personuppgiftslagen vid sin behandling av personuppgifter. När personuppgiftslagen upphävs kommer myndigheter och verksamheter som inte omfattas av någon registerförfattning i stället att tillämpa dataskyddsförordningen och den föreslagna dataskyddslagen.

Socialdataskyddsutredningen fick därför i uppdrag att undersöka om det till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen behövs kompletterade föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar och i förekommande fall lämna författningsförslag.

Uppdraget omfattade att lämna förslag till de anpassningar till följd av dataskyddsförordningen som behövs av de författningsförslag som lämnats i SOU 2014:67 om behandlingen av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, som i dag inte har någon registerförfattning. Socialdataskyddsutredningen har redovisat förslag till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, se t.ex. avsnitt 1.2 och 10.17 i SOU 2017:66.

Vidare har Socialdataskyddsutredningen bedömt att uppdraget omfattade att undersöka om det i dag förekommer någon typ av behandling av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruksregeln i 5 a § eller en intresseavvägning enligt 10 § f personuppgifts-

lagen, alternativt personuppgiftsförordningen, som behöver författnings- Prop. 2017/18:171 stöd för att kunna fortsätta. Det är dock endast reglering av sådan behandling av personuppgifter som är mer eller mindre unik för en viss verksamhet och som därför inte rimligen bör omfattas av en generell reglering som får anses ingå i utredningens uppdrag. Sådan behandling som behöver utföras av flera myndigheter, som hör under flera departement, bör däremot inte specialregleras utan i stället omfattas av den generella regleringen i dataskyddslagen.

I syfte att undersöka om det behövs kompletterande föreskrifter för de verksamheter som inte har en registerförfattning har Socialdataskyddutredningen haft särskilda möten med experterna från de myndigheter som omnämns i utredningsdirektiven, dvs. Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Socialdataskyddsutredningen har bedömt att det inte framkommit att dessa myndigheter utför någon myndighetsspecifik behandling av personuppgifter som är tillåten i dag men som behöver författningsregleras för att vara tillåten när personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. De behandlingar som dessa myndigheter har redogjort för är i stället i de flesta fall sådana som till sin natur är gemensamma för många myndigheter och organisationer. Det är därför inte motiverat att reglera behandlingen särskilt utan denna bör i stället omfattas av den generella regleringen.

Genom tilläggsdirektiv har Socialdataskyddsutredningen även fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys.

Remissinstansernas synpunkter Datainspektionen ifrågasätter utredningens bedömning av följande anledningar. När dataskyddsförordningen blir tillämplig är den det primära regelverket. I vissa fall krävs enligt dataskyddsförordningen kompletterande nationell lagstiftning för att det ska vara tillåtet att behandla personuppgifter. Dataskyddsförordningen ställer enligt artikel 6.3 krav på att den rättsliga grunden måste vara fastställd i unionsrätt eller nationell rätt för att tillämpa de rättsliga grunderna i artikel 6.1 c och e. Om den rättsliga grunden är en rättslig förpliktelse (artikel 6.1 c) ska dessutom syftet med behandlingen vara fastställd i den nationella rätten. Nationell rätt som fastställer de rättsliga grunderna i artikel 6.1 c och e ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges att en rättslig grund bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter. Den föreslagna kompletterande dataskyddslagen innehåller inte ett fastställande av den rättsliga grunden. Däremot kan den rättsliga grunden vara tillräckligt tydligt reglerad i myndigheternas uppdrag. Det måste emellertid bedömas för varje aktuell behandling. Även artikel 9 om känsliga personuppgifter ställer krav på unionsrättslig eller nationell reglering. I

Prop. 2017/18:171 betänkandet till den kompletterande dataskyddslagen (SOU 2017:39

s. 162) anges kravet på stöd i nationell rätt innebära att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Datainspektionens bedömning är att verksamheter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd i nationell rätt än vad som föreskrivs i den föreslagna kompletterande dataskyddslagen.

Datainspektionen framför även att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information.

I betänkandet saknas tillräckliga redogörelser och analyser för att kunna bedöma om det behöver införas särskilda nationella dataskyddsbestämmelser för de myndigheter som i dag saknar egna registerförfattningar. Datainspektionen anser att sådana analyser behöver göras i det fortsatta lagstiftningsärendet.

Verksamheter inom Socialdepartementets område är ofta sådana att behandling av stora mängder känsliga personuppgifter är nödvändig, såsom till exempel hos Folkhälsomyndigheten. Datainspektionen har i flera remissyttranden och i en skrivelse till Socialdepartementet framfört synpunkter på att det saknas särskilda bestämmelser för den personuppgiftsbehandling som utförs av Folkhälsomyndigheten, tidigare Smittskyddsinstitutet och Statens folkhälsoinstitut (Datainspektionens ärenden 937-2009, remissyttrande S2009/4733/FH; 1087-2010, remissyttrande S2010/4398/FH; 989-2006, tillsynsbeslut beträffande Smittskyddsinstitutet och skrivelse till Socialdepartementet och 1654-2012, remissyttrande S2012/7860/FS).

Barnombudsmannen (BO) behandlar i sin verksamhet både generella och känsliga personuppgifter i såväl den faktiska verksamheten som i myndighetsutövandet. De känsliga personuppgifter som behandlas i den faktiska verksamheten gäller bl.a. uppgifter som inkommer till myndigheten genom att enskilda tar kontakt med myndigheten via t.ex. webbformulär samt uppgifter som myndigheten själv inhämtar i frivilliga samtal med barn. I utredningen saknas det belysning av vilka andra myndigheter, däribland BO, som saknar registerförfattningar. Inte heller finns det någon redogörelse för vilken granskning som gjorts av de myndigheter som inte har registerförfattning eller deras behandling av personuppgifter. BO anser därför att utredningen inte har analyserat frågan tillräckligt ingående.

Detta lagstiftningsärendes avgränsning

Socialdataskyddsutredningen bedömer att det inte har framkommit att några myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Regeringen är medveten om att det för olika myndigheter och verksamheter finns önskemål om att ändra gällande registerförfattningar och

att det eventuellt kan finnas behov av ändringar i författningar av be- Prop. 2017/18:171 tydelse för olika myndigheters och verksamheters behandling av personuppgifter. Orsakerna till önskemålen och behoven skiljer sig åt och kan t.ex. avse att myndigheter och aktörer inom verksamheter vill ha förändring av sina förutsättningar för att behandla personuppgifter för att förbättra eller underlätta informationshanteringen inom myndigheten eller inom verksamheter eller mellan olika myndigheter eller andra verksamheter.

För att utreda behov av särskilda registerförfattningar krävs det mycket omfattande arbete med att noga genomlysa förekomsten av all sorts personuppgiftsbehandling hos sådana myndigheter och inom verksamheter som även kan bedrivas av andra än myndigheter, t.ex. privata utförare. Förutom att genomlysa den faktiska personuppgiftsbehandlingen krävs det analys av de föreskrifter som reglerar eller har betydelse för myndigheternas eller verksamheternas bedrivande (t.ex. lagar, förordningar, myndighetsföreskrifter och regleringsbrev). Det är således fråga om att ta del av omfattande skriftligt material för att förstå den verksamhet som bedrivs och sedan för att kunna bedöma behovet av nya eller ändrade regler. Det är viktigt att myndigheten själv försöker göra sina bedömningar av den personuppgiftsbehandling som utförs och att det finns stöd för den.

Med anledning av dataskyddsförordningen har myndigheterna och andra aktörer att primärt utgå från dataskyddsförordningen och sedan den generella lagen som kompletterar dataskyddsförordningen samt eventuellt andra författningar som kan komplettera dataskyddsförordningen eller gäller i stället för den generella lagen.

För att genomföra författningsändringar behövs noggranna analyser av hur sådana ändringar förhåller sig till bl.a. den grundlagsskyddade personliga integriteten. I detta ligger att göra en proportionalitetsbedömning mellan behovet av att på visst sätt behandla personuppgifter och det intrång som görs i den personliga integriteten . Behovet av uppgifter behöver vägas mot den enskildes intresse av skydd för sin personliga integritet. Detta kräver att noggranna och välavvägda analyser görs av hur ändringarna ska förhålla sig till den grundlagsskyddade rättigheten, dataskydds- och sekretessförfattningar.

Det inte ovanligt att myndigheter och andra aktörer mer eller mindre tydligt framför behov av en särskild registerförfattning. I vissa fall är det oklart om dessa själva har gjort några närmare analyser om behoven. Om en myndighet eller annan aktör anser att de behöver en särskild registerförfattning eller andra regeländringar, kan dessa exempelvis inkomma med skrivelse om behovet, men lämpligast är att dessa först har analyserat behovet och tydligt beskriver de bedömningar de har gjort.

Enligt regeringens mening får detta lagstiftningsärende avgränsas till att avse de anpassningar i författningar som i nuläget bedöms behövas med anledning av dataskyddsförordningen. I fråga om de myndigheter eller verksamheter som inte har en särskild registerförfattning så får det i tillämpningen visa sig om det behövs ytterligare regleringar avseende behandling av personuppgifter.

Frågan om registerförfattning för Inspektionen för socialförsäkringen hanteras inte i detta lagstiftningsärende utan bereds i särskild ordning inom Regeringskansliet.

6. Allmänna överväganden

6.1. Nationella bestämmelser anpassar tillämpningen av bestämmelserna i dataskyddsförordningen

Regeringens bedömning: Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.2 i EU:s dataskyddsförordning).

Den rättsliga grund för behandlingen som i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen (artikel 6.3).

När den rättsliga grunden för behandlingen är att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, kan och bör specifika bestämmelser i registerförfattningar som begränsar myndigheters och enskildas möjligheter till behandling av personuppgifter behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen delar inte utredningens bedömning att det är tillåtet att begränsa myndigheters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till dataskyddsförordningen.

Dataskyddsförordningen har tillkommit för att ytterligare harmonisera EU-medlemsstaternas reglering av behandling av personuppgifter. EUförordningar är direkt tillämpliga i medlemsstaterna. Om dataskyddsförordningen i sig ger stöd att behandla personuppgifter, finns det inte utrymme för att ställa ytterligare krav i nationell rätt, om dataskyddsförordningen inte medger det. Att det är möjligt att i nationell rätt reglera behandling av personuppgifter mer detaljerat i förhållande till artikel 6.1 c och e framgår av artikel 6.2 och 6.3.

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig och detta innebär att det i vissa fall är otillåtet att inskränka rätten att behandla personuppgifter eller ålägga skyldigheter vid behandling utöver vad som följer av dataskyddsförordningen.

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa bl.a. en laglig och rättvis behandling när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel

6.1 c) eller för att utföra en arbetsuppgift av allmänt intresse eller som ett Prop. 2017/18:171 led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse och att grunden ska fastställas. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e (dvs. behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning), vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Den rättsliga grund för behandlingen som enligt artikel 6.3 i dataskyddsförordningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland behandling i andra särskilda situationer enligt kapitel IX.

Enligt skäl 45 i dataskyddsförordningen ska man dessutom kunna precisera kraven för att fastställa vem den personuppgiftsansvarige är. Medlemsstaternas nationella rätt bör, enligt det skälet, också reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

I artikel 6.3 andra styckets sista mening stadgas att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Genom dataskyddsförordningens artikel 6.3 är det i vissa fall inte längre – till skillnad från vad som tidigare gällt enligt dataskyddsdirektivet och personuppgiftslagen – möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen.

Behandling som utförs av såväl myndigheter som privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stöder sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse (artikel 6.1 c) eller utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Dataskyddsförordningen hindrar således inte att medlemsstaterna i nationell rätt inför mer specifika bestämmelser för att anpassa tillämpningen av förordningens bestämmelser för såväl sina egna myndigheters respektive enskilda/privata utförares behandling av personuppgifter. Det innebär att det är möjligt att i registerförfattningarna behålla bestämmelser som på olika sätt begränsar möjligheterna till behandling av personuppgifter (jfr artikel 6.3 andra stycket i dataskyddsförordningen och skäl 45).

6.2. Registerförfattningarnas tillämpningsområde

Regeringens bedömning: Bestämmelser i registerförfattningar om inom vilken verksamhet samt på vilka typer av behandlingar och uppgifter författningen ska tillämpas påverkas inte av EU:s dataskyddsförordning och bör inte ändras.

Om registerförfattningen omfattar verksamhet som faller under tillämpningsområdet för det nya dataskyddsdirektivet, krävs det dock särskilda överväganden.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Pensionsmyndigheten anför att bestämmelsen om tillämpningsområdet i socialförsäkringsbalken inte behövs.

Skälen för regeringens bedömning: Av artikel 2.1 i dataskyddsförordningen framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Med personuppgifter avses enligt artikel 4.1 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Tillämpningsområdet anges i det nu gällande dataskyddsdirektivet i relevanta delar på samma sätt som i dataskyddsförordningen. I 5 § personuppgiftslagen används inte ordet register, utan en modifierad formulering av dataskyddsdirektivets definition av ett register, nämligen en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Enligt 3 § personuppgiftslagen avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Registerförfattningarna omfattar i allmänhet samma typer av behandlingar och personuppgifter som dataskyddsdirektivet, personuppgiftslagen och dataskyddsförordningen. Ibland är tillämpningsområdet inskränkt till att avse bara viss typ av behandling, t.ex. automatiserad, eller typ av personuppgift och ibland är tillämpningsområdet utvidgat till att avse ytterligare uppgifter, t.ex. uppgifter om avlidna eller juridiska personer. Registerförfattningar reglerar vidare bara behandling inom en viss i författningen angiven verksamhet.

Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning. Frågor som

ligger utanför dataskyddsförordningens tillämpningsområde kan således Prop. 2017/18:171 regleras i en författning som kompletterar dataskyddsförordningen, och en sådan författning behöver inte reglera alla typer av behandlingar eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer. Att medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter avseende avlidna personer framgår dessutom av skäl 27 i dataskyddsförordningen.

De registerförfattningar som i dag gäller för uppgifter om avlidna personer eller juridiska personer kan således även fortsättningsvis tillämpas på sådana uppgifter. Socialdataskyddsutredningens slutsats är att bestämmelser i registerförfattningar som reglerar vilka typer av behandlingar och uppgifter författningen ska tillämpas på inte behöver ändras med anledning av dataskyddsförordningen. Regeringen instämmer i denna bedömning.

I fråga om författningen som omfattar behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten så ska enligt artikel 2.2 d i dataskyddsförordningen förordningen inte tillämpas. I stället ska dataskyddsdirektivet tillämpas. Det innebär att det finns myndigheter som kommer att behöva tillämpa regleringen i dataskyddsförordningen, och den kompletterande nationella lagstiftningen, för behandling av personuppgifter. Det gäller framför allt myndigheterna inom rättskedjan men även andra myndigheter kan ha uppdrag som i någon del innebär brottsbekämpning, lagföring eller verkställigheten av påföljder. Hur denna gränsdragningsfråga bör hanteras redogörs för i avsnitten 6.3, 7.1 och 7.4.

6.3. Registerförfattningarnas förhållande till annan dataskyddsreglering

Regeringens bedömning: Registerförfattningarna bör innehålla en upplysning om att författningarna kompletterar EU:s dataskyddsförordning.

Dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen bör gälla, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den.

Dataskyddsförordningen tillämpas inte när det är fråga om personuppgiftsbehandling som en behörig myndighet utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 2.2 d i EU:s dataskyddsförordning).

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningens förslag innehåller dock inte formuleringen föreskrifter som har meddelats i anslutning till dataskyddslagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att samma terminologi bör användas i all nationell reglering som rör behandling av personuppgifter, vilket även innefattar vilken förkortning som används. I författningsförslagen i betänkandet används förkortningen Europaparlamentets och rådets förordning (EU) nr 2016/679. Datainspektionen konstaterar att i förslaget till den kompletterande dataskyddslagen används förkortningen dataskyddsförordningen, jfr 1 kap. 1 § förslaget till kompletterande dataskyddslag.

I den mån både dataskyddsförordningen och brottsdatalagen kan bli tillämplig inom en viss verksamhet är det av stor vikt att lagstiftaren tydliggör för verksamheterna vilka bestämmelser som ska tillämpas i vilken situation. Inom hälso- och sjukvården och inom socialtjänsten finns det delar av verksamheten som utgör verkställighet av påföljder inom rättsväsendet. Den personuppgiftsbehandling som utförs för dessa ändamål omfattas inte av dataskyddsförordningen utan i stället av ett direktiv, som i Sverige genomförs genom en brottsdatalag. Detta kommer att ställa stora krav på verksamheterna i deras arbete med personuppgiftsbehandling. Behandlingen av personuppgifter inom dessa verksamheter måste vid varje givet tillfälle vara i enlighet med det regelverk som är tillämpligt på den behandling som utförs just då. Lagstiftaren bör mot bakgrund av detta söka tydliggöra för verksamheterna och de registrerade vilket regelverk som är tillämpligt när, och i den mån det är möjligt, harmonisera regelverken för att underlätta en korrekt behandling. I den mån en författning innehåller bestämmelser om dels verksamheten som sådan, dels personuppgiftsbehandling måste det vara tydligt vilka bestämmelser som har sin grund i dataskyddsförordningen.

Även Justitiekanslern har anfört att det är mycket angeläget att samma allmänna utgångspunkter tillämpas och likartade lagtekniska lösningar väljs för alla de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform. Det gäller t.ex. en sådan fråga som i vilken mån det behövs upplysningsparagrafer som hänvisar till dataskyddsförordningens bestämmelser och hur sådana ska utformas.

Skälen för regeringens bedömning

Upplysningsbestämmelser om förhållandet till annan dataskyddsreglering

I registerförfattningarna finns det ofta en bestämmelse som anger hur författningen förhåller sig till personuppgiftslagen. I samband med att dataskyddsförordningen och den föreslagna dataskyddslagen börjar tilllämpas kommer personuppgiftslagen att upphävas.

I propositionen Ny dataskyddslag (avsnitt 5.1.3) föreslår regeringen i dataskyddslagen (1 kap. 6 §) att om en annan lag eller en annan förordning innehåller bestämmelse som avviker från den lagen tillämpas den bestämmelsen. Dataskyddslagen kommer därmed att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter.

Regeringen betonar att bestämmelsen om subsidiaritet kommer att få en Prop. 2017/18:171 betydligt mer begränsad betydelse än dess motsvarighet i 2 § personuppgiftslagen, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte utrymmet för att göra nationella undantag från de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (prop. 2017/18:105 s. 27).

Registerförfattningarna kommer endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en tydligare uppfattning av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i registerförfattningarna. Hänvisningen till dataskyddsförordningen ska vara dynamisk och gälla oavsett lydelse. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs (prop. 2015/16:156 s. 34). Eftersom dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen i det här fallet endast är att upplysa om att dataskyddsförordningen gäller, framstår det som lämpligast att tillämpa en dynamisk hänvisning.

På Socialdepartementets verksamhetsområde finns det ingen registerförfattning som gäller i stället för personuppgiftslagen, utan författningarna gäller utöver den lagen och innehåller bara de särbestämmelser som ansetts nödvändiga på det aktuella området. Den regleringstekniken – att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter – kan och bör behållas.

Eftersom dataskyddslagen som nämnts är tänkt att vara subsidiär behövs ingen materiell bestämmelse för att uppnå detta. Registerförfattningarna innehåller dock ändå ofta en bestämmelse om förhållandet till den generella lagen (tidigare personuppgiftslagen som kommer att ersättas av dataskyddslagen). Normalt är det en upplysning om att den generella personuppgiftslagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, anser regeringen att det är lämpligt att uttryckligen upplysa om inte bara att registerförfattningen kompletterar dataskyddsförordningen utan också att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Registerförfattningarna bör därför innehålla en sådan upplysning. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Detta innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.

Bestämmelser om förhållandet till dataskyddsförordningen och dataskyddslagen har i flera lagstiftningsärenden som avser anpassningar till

Prop. 2017/18:171 EU:s dataskyddsförordningen fått följande utformning: Denna lag inne-

håller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Bestämmelser om förhållandet till personuppgiftslagen finns även i vissa författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anslutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. Även sådana bestämmelser bör ändras i enlighet med vad som anges ovan. Socialdataskyddsutredningen bedömer att eftersom dessa typer av författningar även reglerar annat än behandling av personuppgifter, bör det dock läggas till att lagen i dessa fall kompletterar dataskyddsförordningen endast vid behandling av personuppgifter. Regeringen anser dock att ett sådant tillägg inte behövs utan att detta framgår av bestämmelsens ovan angivna utformning.

Förhållandet till nya dataskyddsdirektivet och den föreslagna brottsdatalagen

Vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten gäller inte dataskyddsförordningen utan det nya dataskyddsdirektivet (artikel 2.2 d i dataskyddsförordningen).

Regeringen föreslår i lagrådsremissen Brottsdatalag att EU:s nya dataskyddsdirektiv i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Den föreslagna ramlagen gäller vid behandling som utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den nya lagen ska vara generellt tillämplig inom det område som direktivet reglerar. Särregler i annan lag eller förordning ska dock gälla framför den nya lagen.

I lagrådsremissen Brottsdatalag avsnitt 6.7, redovisas gränsdragningsfrågor som hör till tillämpningsområdet. Vid bedömning av om en viss personuppgiftsbehandling faller under ramlagens eller dataskyddsförordningens tillämpningsområde har det avgörande betydelse om den som behandlar personuppgifter är en behörig myndighet och i vilket syfte uppgiften behandlas. Mot bakgrund av den gränsdragning som EU valt att göra mellan dataskyddsdirektivets och dataskyddsförordningens tilllämpningsområden, där syftet med en behandling av personuppgifter är avgörande, är det ofrånkomligt att båda regelverken kommer att kunna bli tillämpliga i samma arbetsmoment för olika syften. Sammantaget

delar regeringen de bedömningar som Utredningen om 2016 års data- Prop. 2017/18:171 skyddsdirektiv gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. Ytterligare vägledning kring gränsdragningsfrågor finns i delbetänkandet (SOU 2017:29). Regeringen gör bedömningen att frågor om gränsen mellan dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde aktualiseras vid viss personuppgiftsbehandling inom Socialdepartementets verksamhetsområde. Detta gäller patientdatalagen (2008:355), se vidare avsnitt 7.1, och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, se vidare avsnitt 7.4. Regeringen anser att patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten inte bör bli subsidiära i förhållande till den föreslagna brottsdatalagen, om det inte finns starka skäl för att ha en sådan reglering. För den som behandlar personuppgifter inom exempelvis hälso- och sjukvården eller socialtjänsten i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot det allmänna, skulle det knappast underlätta bedömningen av vilken lagstiftning som gäller för en viss behandling. För sådan personuppgiftsbehandling bör den föreslagna brottsdatalagen tillämpas.

Behandling av personuppgifter som inte omfattas av dataskyddsförordningen och nya dataskyddsdirektivet Det förekommer vidare behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet. Ett exempel är behandling av personuppgifter inom hälso- och sjukvård i vissa delar av Försvarsmaktens verksamhet.

I propositionen Ny dataskyddslag föreslår regeringen att bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och dataskyddslagen ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (1 kap. 2 § dataskyddslagen).

Bestämmelserna i 1 kap. 2 § gäller inte i verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdatalagen (2010:361), (1 kap. 3 § dataskyddslagen).

En författning som reglerar behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet kommer i många fall att kompletteras av dataskyddsförordningen på grund av bestämmelsen i 1 kap. 2 § dataskyddslagen.

Hänvisningar till S6-3

6.4. Principer för personuppgiftsbehandling

Regeringens bedömning: De grundläggande principerna för behandling av personuppgifter är tvingande och gäller t.ex. även när det av en registerförfattning framgår att personuppgifter får behandlas för ett visst ändamål (artikel 5 i EU:s dataskyddsförordning).

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: I artikel 5 i dataskyddsförordningen finns ett antal principer som gäller för all behandling av personuppgifter. Det rör sig om principen om laglighet, korrekthet och öppenhet (a), principen om ändamålsbegränsning (b), principen om uppgiftsminimering (c), principen om korrekthet (d), principen om lagringsminimering (e) och principen om integritet och konfidentialitet (f). Principerna motsvarar i stort sett de principer som framgår av artikel 6 i dataskyddsdirektivet och de grundläggande krav på behandling av personuppgifter som gäller enligt 9 § personuppgiftslagen.

Dataskyddsförordningen är direkt tillämplig och tvingande i de delar den inte tillåter nationell reglering. Enligt artikel 23 i dataskyddsförordningen är det under vissa förutsättningar möjligt att införa en nationell lagstiftningsåtgärd som begränsar tillämpningsområdet för artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Om någon begränsning inte har införts i den nationella lagstiftningen, ska dock artikel 5 tillämpas även när en registerförfattning är tillämplig.

Att artikel 5 i dataskyddsförordningen gäller vid sidan av regleringen i en registerförfattning innebär ingen förändring i förhållande till vad som gäller i dag. Även om personuppgiftslagen är subsidiär i förhållande till registerförfattningarna, har utgångspunkten för de allra flesta registerförfattningar varit att 9 § personuppgiftslagen huvudsakligen ska tillämpas. Att det av en registerförfattning framgår att personuppgifter får behandlas för ett visst ändamål, innebär således inte att t.ex. irrelevanta eller onödigt många personuppgifter får behandlas för ändamålet. Oavsett om ändamålet för behandling av personuppgifter har fastställts i författning eller inte är det alltid den personuppgiftsansvarige som enligt artikel 5.2 i dataskyddsförordningen ansvarar för och ska kunna visa att principerna i artikel 5 följs.

6.5. Rättslig grund för behandling av personuppgifter

6.5.1. Laglig behandling av personuppgifter vid rättslig förpliktelse, allmänt intresse och myndighetsutövning

Regeringens bedömning: Ändamålsbestämmelser i registerförfattningar som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning har stöd i

EU:s dataskyddsförordning. Det krävs inte ytterligare analys av vilket stöd redan befintliga ändamål har för att konstatera att behandlingen är laglig och har nödvändigt författningsstöd. Ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt Prop. 2017/18:171 väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförordningen att luta sig mot bedömningar som har gjorts för länge sedan enligt ett annat regelverk utan att ta hänsyn till de omständigheter som råder i dag. Det är inte tillräckligt att hänvisa till de proportionalitetsbedömningar som utförts i tidigare lagstiftningsarbete, utan att det sker någon bedömning av dessa. Eftersom det är frågan om inskränkning i den enskildes rättigheter som bara får ske under förutsättning att den är proportionell, krävs det en aktiv bedömning. Vidare finns det förändringar mellan dataskyddsdirektivet och dataskyddsförordningen såsom exempelvis att det i vissa fall krävs en i nationell rätt fastställd rättslig grund (artikel 6.3 första stycket), att intresseavvägning inte kan användas som rättslig grund för myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket) och att det är tydligare i dataskyddsförordningen att möjligheten för offentlig verksamhet att använda samtycke är mycket begränsad (skäl 43).

Socialstyrelsen delar utredningens uppfattning att de ändamål som fastställts i befintliga registerförfattningar med stöd av artikel 7 c och e i dataskyddsdirektivet i samband med tidigare författningsarbeten har bedömts relevanta och proportionerliga i förhållande till det integritetsintrång de kan innebära och att det finns mål av allmänt intresse. För vissa registerförfattningar finns inte några förarbetsuttalanden att tillgå och att det i andra författningar finns förarbetsuttalanden som är från den tid då dataskyddsdirektivet genomfördes i svensk rätt. Det är därför önskvärt med förtydliganden i det fortsatta lagstiftningsarbetet vad gäller de olika registerförfattningarnas förenlighet med kraven på proportionalitet i artikel 6.3 andra stycket sista meningen och kraven i skäl 41 i dataskyddsförordningen. Myndigheten ska inte behöva göra dessa bedömningar när det redan finns författningsstöd.

Pensionsmyndigheten anför att myndighetens verksamhet regleras av instruktionen, socialförsäkringsbalken, lagen och förordningen om den officiella statistiken och annan offentligrättslig reglering såsom förvaltningslagen, arkivlagen och bestämmelser om offentlighet och sekretess samt särskilda regeringsbeslut. Den samlade regleringen uppställer tydliga ramar för vad myndigheten har för uppgifter och hur de ska utföras.

Den behandling av personuppgifter som myndigheten utför har sin grund i en uppgift av allmänt intresse, myndighetsutövning och i vissa fall en rättslig skyldighet. En tillämpning av det sammantagna regelverket, tillsammans med artikel 5 i förordningen, gör det möjligt att enkelt fastställa tydliga och lagenliga ändamål för behandlingen av personuppgifter. Någon särskild, kompletterande författningsreglering av ändamålen för myndighetens behandling av personuppgifter behövs inte. Bestämmelserna i 114 kap.79 §§socialförsäkringsbalken är inte sådana nationella mer specifika bestämmelser som avses i artikel 6.2 i dataskyddsförordningen, utan får betraktas som upplysningsbestämmelser om den uppgift av allmänt intresse som slås fast i andra föreskrifter. Artikel 5 i dataskyddsförordningen gäller oavsett förekomsten av nationell reglering av tillåtna ändamål. Detta medför att Pensionsmyndigheten har en indirekt

Prop. 2017/18:171 lagprövningsskyldighet av de nationellt reglerade ändamålen jämfört

med vad som framgår av regelverket för myndighetens verksamhet och artikel 5. Den nuvarande regleringen av tillåtna ändamål för personuppgiftsbehandling inom ramen för socialförsäkringens administration innebär att utgångspunkten är att behandlingar av personuppgifter är tillåten endast om det i lag eller annan författning är uttryckligen tillåtet. De tillåtna ändamålen finns angivna huvudsakligen i 114 kap.79 §§socialförsäkringsbalken. Dessa ändamålsbestämmelser är mycket allmänt hållna och ger i allt väsentligt enbart uttryck för den uppgift av allmänt intresse som kan utläsas enligt de materiella författningar som gäller för Pensionsmyndighetens verksamhet. De ger inte en tillämpare någon närmare vägledning vid fastställandet av om det finns en rättslig grund i form av uppgift av allmänt intresse som en behandling av personuppgifter kan baseras på. Vid beslut om att utföra en viss typ av behandling av personuppgifter efter den 25 maj 2018 kommer Pensionsmyndigheten ändå att behöva fastställa närmare ändamål enligt artikel 5 för att behandlingen ska anses tillåten.

Örebro läns landsting delar utredningens bedömning att registerförfattningarna uppfyller de nya krav på rättslig grund för behandling av personuppgifter som ställs i dataskyddsförordningen.

Datainspektionen anser att det är av stor vikt att lagstiftaren tar ställning till om en allmän konsekvensbedömning ska utföras av lagstiftaren och att den i sådana fall följer kraven på hur en konsekvensbedömning ska genomföras enligt artikel 35.

Örebro läns landsting, Östergötlands läns landsting och Inera AB anser att konsekvensbedömningar behöver inte alls göras vid personuppgiftsbehandling inom registerförfattningarnas tillämpningsområde, såsom patientdatalagen. Detta bör klargöras så att det inte kommer råda någon osäkerhet.

Skälen för regeringens bedömning

Rättslig grund för behandling av personuppgifter

Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandling är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgifts- Prop. 2017/18:171 ansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter eller friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. Europeiska unionens domstol har uttalat att begreppet nödvändigt i dataskyddsdirektivet har en unionsrättslig innebörd. Kravet på nödvändighet enligt dataskyddsdirektivet har inte ansetts innebära att det ska vara omöjligt att utföra en uppgift om inte personuppgifter behandlas. Trots att en uppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behandlingen anses nödvändig om den innebär effektivitetsvinster (dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724, och SOU 2017:39 s. 105106).

Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i artikel 7 i dataskyddsdirektivet och som genomförts i svensk rätt genom 10 § personuppgiftslagen. En skillnad är dock att myndigheter enligt dataskyddsförordningen inte får behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina uppgifter (artikel 6.1 andra stycket i dataskyddsförordningen).

Uppräkningen i artikel 6 är uttömmande. Om inget av villkoren är tilllämpliga så är behandlingen inte laglig och får inte utföras. Flera av villkoren är överlappande och flera kan vara tillämpliga avseende samma behandling av personuppgifter. Utöver det grundläggande kravet på att behandling av personuppgifter måste vara laglig enligt nämnda artikel så gäller också andra krav som följder av dataskyddsförordningen. De grundläggande principerna för behandling av personuppgifter, dvs. de allmänna krav som gäller för all personuppgiftsbehandling som anges i artikel 5.1 i dataskyddsförordningen ska också följas, se avsnitt 6.4.

Regeringen redogör i propositionen Ny dataskyddslag närmare för artiklarna 5 och 6 i dataskyddsförordningen, bl.a. att de är grundläggande och kumulativa samt dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas (prop. 2017/18:105 s. 48).

Grunden för behandlingen ska ha stöd i rättsordningen

Den grund för behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (allmänt intresse och myndighetsutövning) i dataskyddsförordningen ska enligt artikel 6.3 fastställas i enlighet med EU-rätten eller den nationella rätt som den personuppgiftsansvarige omfattas av.

Regeringen anför i propositionen Ny dataskyddslag (avsnitt 8.2) bl.a. följande. När det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e) måste det emellertid även finnas ett annat stöd i rättsordningen än det som ges i dataskyddsförordningen. I artikel 6.3 första stycket i dataskyddsförordningen anges det nämligen att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas

Prop. 2017/18:171 av. I skäl 45 i dataskyddsförordningen anges att förordningen inte medför

något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet (prop. 2017/18:105 s. 49).

Det bör emellertid betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § regeringsformen, förkortad RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen (prop. 2017/18:105 s. 50).

Syftet med behandlingen

Enligt artikel 6.3 andra stycket ska syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

I fråga om rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen krävs enligt artikel 6.3 i dataskyddsförordningen att syftet med behandlingen är fastställt i den rättsliga grunden. Det framgår inte av dataskyddsförordningen att syftet ska vara fastställt i en registerförfattning som reglerar behandling av personuppgifter utan syftet kan även finnas i exempelvis den författning som reglerar själva verksamheten.

För behandling av personuppgifter för att utföra arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i

dataskyddsförordningen finns det inget krav på att syftet med behand- Prop. 2017/18:171 lingen av personuppgifter ska framgå av den rättsliga grunden i stället ska syftet enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

I fråga om bestämmelse artikel 6.3 andra stycket sista meningen konstaterar regeringen i propositionen Ny dataskyddslag att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Den personuppgiftsansvarige behöver därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden och följa de grundläggande principerna i artikel 5. Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen, där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (prop. 2017/18:105 s. 50).

Av skäl 41 i dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta är ett uttryck för legalitetsprincipen och utgör således inte någon nyhet inom den svenska offentliga förvaltningen.

Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden, krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF (prop. 2017/18:105 s. 51).

Prop. 2017/18:171 Registerförfattningarna inom Socialdepartementets verksamhetsområde

I registerförfattningarna inom Socialdepartementets verksamhetsområde anges inom vilka verksamheter eller för vilka ändamål personuppgifter behandlas. Av författningarna framgår vilka personuppgifter som får behandlas.

Socialdataskyddsutredningen anser att det får förutsättas att man under författningsarbetet har funnit stöd för behandling av personuppgifter enligt ändamålen i artikel 7 i dataskyddsdirektivet och att ändamålen nu har motsvarande stöd i dataskyddsförordningen. De ändamål som anges i registerförfattningarna har ofta stöd i någon av grunderna rättslig förpliktelse, allmänt intresse eller myndighetsutövning. Grunderna är ibland överlappande på så sätt att ett ändamål kan ha stöd i mer än en grund. Exempelvis kan en rättslig förpliktelse att föra ett visst register även anses utgöra en arbetsuppgift av allmänt intresse. Socialdataskyddsutredningen anser att någon ytterligare analys av vilket stöd redan befintliga ändamål, som grundar sig på en rättslig förpliktelse, allmänt intresse eller myndighetsutövning (artikel 7 c och e i dataskyddsdirektivet), har i dataskyddsförordningen, krävs därför inte för att konstatera att behandlingen är laglig enligt dataskyddsförordningen.

Datainspektionen anser att det inte är förenligt med dataskyddsförordningen att luta sig mot bedömningar som har gjorts för länge sedan enligt ett annat regelverk utan att ta hänsyn till de omständigheter som råder i dag. Det är inte tillräckligt att hänvisa till de proportionalitetsbedömningar som utförts i tidigare lagstiftningsarbete, utan att det sker någon bedömning av dessa.

Regeringen anser att de ovan återgivna bedömningarna om legalitetsprincipen och Europakonventionen i propositionen Ny dataskyddslag gör sig lika mycket gällande i fråga om de sektorsspecifika registerförfattningarna inom Socialdepartementets verksamhetsområde som i fråga om överväganden om reglering på generell nivå. Detta innebär att det dels finns grund för behandlingar av personuppgifter i den nationella rätten, dels även att kravet på proportionalitet är uppfyllt.

Grunden för behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myndighetsutövning mot enskild är redan fastställd i nationell rätt. Rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. I vissa fall kan den rättsliga förpliktelsen framgå av registerförfattningen, t.ex. bestämmelser om att ett visst register ska föras, att personuppgifter ska gallras, att uppgifter ska lämnas ut eller att patientjournaler ska föras. När behandling som tillåts enligt en registerförfattning grundas på en rättslig förpliktelse eller myndighetsutövning får det förutsättas att författningsstödet för förpliktelsen respektive myndighetsutövningen hade identifierats när behandlingen tilläts. Det gör att den personuppgiftsansvarige kan utgå från att nödvändiga författningsbestämmelser finns när behandling har tillåtits i en registerförfattning med stöd av artikel 7 c eller, när det gäller myndighetsutövning, artikel 7 e i dataskyddsdirektivet. Ändamålsbestämmelser i registerförfattningar inom Socialdepartementets verksamhetsområde grundar sig ofta på arbetsuppgifter av allmänt intresse eller rättslig förpliktelse. Arbetsuppgifterna härrör mestadels från uppdrag och

åligganden som framgår av olika verksamhetsorienterade författningar, Prop. 2017/18:171 t.ex. hälso- och sjukvårdslagen (2017:30), läkemedelslagen (2015:315), socialtjänstlagen (2001:453), socialförsäkringsbalken och myndigheters instruktioner. Arbetsuppgifterna kan också anges i regeringsbeslut såsom regleringsbrev och andra regeringsuppdrag. Den rättsliga grunden för behandling av personuppgifter för arbetsuppgifter av allmänt intresse är således i de allra flesta fall fastställd genom någon annan rättsakt än registerförfattningen. Skulle så inte vara fallet, är den rättsliga grunden i vart fall fastställd genom registerförfattningens ändamålsbestämmelse.

Regeringen instämmer därmed i Socialdataskyddsutredningens slutsatser om att det får förutsättas att t.ex. de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare författningsarbeten har bedömts vara relevanta och proportionerliga i förhållande till det integritetsintrång personuppgiftsbehandlingen kan innebära. Detta gäller även i de fall registerförfattningar saknar förarbeten i den meningen att t.ex. förarbetena inte tydligt redovisar bedömningarna eller om det är fråga om en förordning, som ju i regel saknar förarbeten. Regeringen anser till skillnad från Pensionsmyndigheten att bestämmelserna i t.ex. 114 kap.79 §§socialförsäkringsbalken är sådana nationella mer specifika bestämmelser som avses i artikel 6.2 i dataskyddsförordningen. Regeringen anser att myndigheter och andra aktörer inte ska behöva göra dessa bedömningar i de fall det finns författningsstöd för behandling av personuppgifter i befintliga författningar.

Konsekvensbedömningar

Enligt artikel 35 i dataskyddsförordningen kommer den personuppgiftsansvarige att vara skyldig att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. I vissa fall måste även förhandssamråd ske med tillsynsmyndigheten. Detta är en ny skyldighet för den personuppgiftsansvarige.

Socialdataskyddsutredningen anser att skyldigheten har störst betydelse när verksamheten inte omfattas av särskild registerlagstiftning. En konsekvensbedömning enligt artikel 35.10 i dataskyddsförordningen behöver nämligen som regel inte göras vid behandling som utförs med stöd av artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse, allmänt intresse eller myndighetsutövning) när en konsekvensutredning redan har genomförts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen.

Remissinstanserna Datainspektionen, Örebro läns landsting,

Östergötlands läns landsting och Inera AB framför att de ser behov av klargöranden av om konsekvensbedömningar behöver göras vid personuppgiftsbehandling inom registerförfattningarnas tillämpningsområde.

Regeringen anser att det får förutsättas att de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare författningsarbeten har bedömts vara relevanta och proportionerliga i förhållande till det integritetsintrång personuppgiftsbehandlingen kan innebära. Regeringen anser att det i sådana fall inte är nödvändigt för den

Prop. 2017/18:171 personuppgiftsansvarige att göra ytterligare konsekvensbedömningar i de

fall behandlingen av personuppgifter har stöd i befintliga registerförfattningar.

6.5.2. Samtycke som rättslig grund

Regeringens bedömning: Bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas.

Om bestämmelsen omfattar behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e i EU:s dataskyddsförordning, krävs dock särskilda överväganden.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen bedömer att särskilda överväganden krävs för bestämmelser som omfattar enskildas behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen efterfrågar noggranna överväganden kring bestämmelser i registerförfattningar om samtycke som rättslig grund för behandling av personuppgifter. Övervägandena måste bl.a. beakta kravet på att ett samtycke måste vara frivilligt och att dataskyddsförordningen inte ger mandat till nationella bestämmelser avseende samtycke som rättslig grund. Utredningen har angett att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas, men om den rättsliga grunden inte utgörs av rättslig förpliktelse enligt artikel 6.1 c eller allmänt intresse eller myndighetsutövning enligt artikel 6.1 e krävs särskilda överväganden om det avser enskildas behandling. Dataskyddsförordningen är utformad så att offentlig verksamhet förväntas få stöd från lagstiftaren för den behandling av personuppgifter som verksamheterna behöver utföra, se bl.a. skäl 47.

Såsom anges i betänkandet bör samtycke inte heller utgöra rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt (skäl 43). Många verksamheter inom Socialdepartementets område har i uppgift att ge stöd, vård och omsorg till personer som är i behov av det. Det är således verksamheter där det oftast råder ojämlikhet mellan den registrerade och den personuppgiftsansvarige, t.ex. läkare och patient respektive socialsekreterare och mottagare av bistånd. Utrymmet för att samtycke ska kunna utgöra den rättsliga grunden är mycket snäv. Medlemsstaterna har, enligt artikel 6.2, enbart stöd för att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen gällande artikel 6.1 c och e. Samtycke som rättslig grund ger inte medlemsstaterna utrymme för egen nationell reglering enligt artikel 6.3. Datainspektionen delar bedömningen att bestämmelser om samtycke som rättslig grund kräver särskilda överväganden, men anser att det krävs för alla verksamheter inom

Socialdepartementets område oavsett om de bedrivs av enskilda aktörer Prop. 2017/18:171 eller myndigheter.

Datainspektionen anser vidare att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation där den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Det saknas sådana överväganden i betänkandet, exempelvis hänvisas beträffande 6 § apoteksdatalagen och 4 § andra stycket lagen om receptregister enbart till avsnitt 9.10.2. I avsnitt 10.1.6 avseende 2 kap. 3 § första stycket patientdatalagen anges att enligt den bedömning utredningen har gjort i avsnitt 9.10.2 behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av personuppgifter på samtycke inte göras. Utredningen konstaterar därefter att bestämmelsen kan behållas.

Regler från dataskyddsförordningen som inte ska eller får regleras nationellt, får enligt skäl 8 enbart införlivas i nationell rätt om det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Datainspektionen anser att såsom de aktuella bestämmelserna är utformade kan det ge verksamheterna en felaktig uppfattning om att samtycke kan utgöra den rättsliga grunden på ett betydligt vidare sätt än vad dataskyddsförordningen avsett för offentlig verksamhet. Det är inte heller möjligt att, utifrån registerförfattningarna, förstå att särskilda förhållanden råder till de övriga reglerna i registerförfattningen när den rättsliga grunden är samtycke. Bestämmelserna om samtycke som rättslig grund ökar således inte begripligheten och kan därför, enligt Datainspektionen, inte behållas i sin nuvarande utformning.

Örebro läns landsting anser att kraven på samtycke synes ha skärpts något i dataskyddsförordningen. Det är dock svårt att överblicka hur stor denna förändring egentligen är och vilka konsekvenserna kan bli exempelvis inom hälso- och sjukvårdens område samt att en sådan analys hade kunnat vara av intresse för rättstillämpningen.

Skälen för regeringens bedömning: Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter.

Av artikel 6.1 a i dataskyddsförordningen och artikel 7 a i dataskyddsdirektivet följer att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4.11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Definitionen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.

I artikel 7 om villkor för samtycke och 8 om villkor som gäller barns samtycke avseende informationssamhällets tjänster i dataskyddsförordningen finns vissa ytterligare bestämmelser om samtycke som rättslig

Prop. 2017/18:171 grund för behandling av personuppgifter, som inte har någon uttrycklig

motsvarighet i dataskyddsdirektivet och personuppgiftslagen.

I skäl 42 i dataskyddsförordningen anges följande. När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

I skäl 43 i dataskyddsförordningen anges följande. För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke anses inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att det är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

Några motsvarande skrivningar finns inte i skälen i dataskyddsdirektivet.

Socialdataskyddsutredningen anför att det inte kan uteslutas att kraven på samtycke i vissa situationer när samtycke utgör den rättsliga grunden för behandling av personuppgifter har skärpts något i förhållande till vad som anses gälla i dag, jämför skäl 171 i dataskyddsförordningen som innehåller skrivningar som verkar förutsätta att ett samtycke enligt dataskyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen.

Örebro läns landsting anser att kraven på samtycke synes ha skärpts något i dataskyddsförordningen. Det är dock svårt att överblicka hur stor denna förändring egentligen är och vilka konsekvenserna kan bli exempelvis inom hälso- och sjukvårdens område.

Regeringen anser att om kraven på samtycke har skärpts i dataskyddsförordningen så är det en fråga som får hanteras i rättstillämpningen.

Artikel 29-gruppen har i ett yttrande gjort vissa uttalanden avseende dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I yttrandet anges att typen av registeransvarig kan vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av personuppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse. Att använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är

särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga Prop. 2017/18:171 myndigheter som har officiella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt (Yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13 f.).

Även enligt Datainspektionen kan det starkt ifrågasättas om kravet på att samtycket lämnats frivilligt är uppfyllt om myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige stödja behandlingen av personuppgifter på någon annan grund (Samtycke enligt personuppgiftslagen – Datainspektionen informerar s. 6). Samtycke kan dock enligt ovan nämnda yttrande från Artikel 29-gruppen i undantagsfall vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är tillräckligt frivilligt.

Regeringen betonar att bestämmelsen i artikel 6.1 a i dataskyddsförordningen om att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål är direkt tillämplig och inte försedd med någon möjlighet till nationell begränsning. Det är därför inte tillåtet att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a) och personuppgifter om lagöverträdelser (artikel 10). Detta motsvarar vad som gäller i dag.

Regeringen anser att det inom Socialdepartementets verksamhetsområde framför allt är andra grunder såsom rättslig förpliktelse (artikel 6.1 c) eller allmänt intresse eller led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e) som utgör rättslig grund för behandling av känsliga personuppgifter. Att använda grunden samtycke är därmed inte särskilt vanligt inom Socialdepartementets verksamhetsområde.

Regeringen instämmer i vad Socialdataskyddsutredningen anför om att kravet på frivillighet gäller även enligt dataskyddsdirektivet, dvs. detta är inget nytt krav. Det som anförs i skäl 42 och 43 motsvarar en del av vad som anges i uttalandena från Artikel 29-gruppen. Det torde i varje specifikt fall få bedömas om det råder sådan betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar, dvs. kravet på frivillighet inte är uppfyllt. Även i de fall det är en myndighet så torde det finnas utrymme för samtycke som rättslig grund t.ex. om den registrerade har fri valmöjlighet eller utan problem kan vägra eller ta tillbaka sitt samtycke, jfr slutet av skäl 42. För det fall behandlingen av personuppgifter hos en myndighet grundar sig på samtycke så krävs det särskilda överväganden för att bedöma om den grunden kan utgöra stöd för behandlingen.

I vissa registerförfattningar förekommer det att myndigheter och enskilda uttryckligen förbjuds möjligheten att behandla personuppgifter

Prop. 2017/18:171 med stöd av samtycke. Det förekommer också bestämmelser i register-

författningar där det tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. Detta gäller exempelvis 2 kap. 3 § patientdatalagen (avsnitt 7.1.3) och 6 § andra stycket apoteksdatalagen (avsnitt 7.2.2) samt 4 § andra stycket lagen om receptregister (se avsnitt 7.7.3). Även sådana bestämmelser kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a (om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationell rätt föreskriver att förbudet inte kan upphävas av den registrerade) i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Eftersom det anses att den registrerades samtycke inte ger rätt att behandla personuppgifter i strid med de grundläggande kraven på behandling i artikel 5 i dataskyddsförordningen, gäller dock att bestämmelsen inte kan ge stöd för att t.ex. behandla sådana personuppgifter som inte är korrekta i förhållande till de ändamål som anges i författningen eller som samtycket avser (artikel 5.1 d).

Det förekommer även bestämmelser i registerförfattningar om att en behandling för vissa ändamål bara får utföras med den registrerades samtycke trots att den behandling som författningen reglerar stöder sig på en annan rättslig grund än samtycke, t.ex. en arbetsuppgift av allmänt intresse, exempelvis 3 § andra stycket lagen om läkemedelsförteckning. En sådan begränsning anser regeringen är tillåten för myndigheter och (till skillnad från Socialdataskyddsutredningens bedömning) även enskilda. Om de angivna ändamålen för den behandling av personuppgifter som regleras i registerförfattningen är sådana som avses i artikel 6.1 c eller e i dataskyddsförordningen (dvs. rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning), får bestämmelserna anses tillåtna såsom preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelser som innebär krav på samtycke för en viss åtgärd, t.ex. direktåtkomst, när den behandling som författningen reglerar stöder sig på en annan rättslig grund kan utgöra en integritetshöjande åtgärd, dvs. ett slags skyddsåtgärd, se exempelvis bestämmelser i 4 och 6 kap. patientdatalagen.

6.5.3. Finalitetsprincipen

Regeringens bedömning: Bestämmelser i registerförfattningar som innebär att personuppgifter som behandlas för i författningen angivna ändamål får behandlas också för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, bör behållas i sak.

Socialdataskyddsutredningens bedömning: Överensstämmer huvudsakligen med regeringens. Utredningens bedömning avser en annan formulering av bestämmelserna, nämligen bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i för-

fattningen uttryckligen angivna ändamål, får behandlas också för andra Prop. 2017/18:171 ändamål när det inte strider mot finalitetsprincipen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen (DI) avstyrker den föreslagna formuleringen som hänvisar till finalitetsprincipen, dvs. till artikel 5.1 b i dataskyddsförordningen. DI anser att det är bra att det i de föreslagna bestämmelserna hänvisas till artikeln, men att den föreslagna formuleringen är missvisande. I den föreslagna lydelsen framstår det som att det alltid är tillåtet att behandla personuppgifter för andra ändamål enligt artikel 5.1 b. Det är dock inte korrekt eftersom den artikeln anger ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än det ändamål för vilket de samlades in. Artikel 5.1 b gäller direkt och får enligt skäl 8 i förordningen regleras i nationell rätt om det innebär ett förtydligande.

Dataskydd.net anser att en del av författningsförslagen innebär felaktiga upprepningar av artikel 5.1 b.

Skälen för regeringens bedömning: Av 9 § första stycket d personuppgiftslagen framgår att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I flera registerförfattningar förekommer hänvisningar till denna s.k. finalitetsprincip i personuppgiftslagen. Principen finns även i dataskyddsförordningen. Av artikel 5.1 b framgår att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Artikel 89.1 i dataskyddsförordningen utgör en precisering av principen om uppgiftsminimering som regleras i artikel 5.1 och de allmänna bestämmelserna om skyddsåtgärder i dataskyddsförordningen (se vidare i avsnitt 4.9.1). Av skäl 50 i dataskyddsförordningen framgår att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.

Finalitetsprincipen kommer således att finnas kvar även i dataskyddsförordningen som kommer att vara direkt tillämplig. I och med att det i registerförfattningar finns ändamålsbestämmelser kan det uppstå oklarheter om huruvida artikel 5.1 b ska tillämpas eller om tillämpningsområdet med avsikt är begränsat till att utesluta sådan behandling. Det finns därför av tydlighetsskäl anledning att i förekommande fall behålla någon form av hänvisning till finalitetsprincipen i registerförfattningarna.

Datainspektionen avstyrker den formulering med en hänvisning till finalitetsprincipen som Socialdataskyddsutredningen har föreslagit. DI motiverar det med att formuleringen är missvisande, eftersom det finns ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än det ändamål för vilket de samlades in. Enligt regeringens bedömning kommer de bestämmelser som reglerar tillåtna ändamål och finalitetsprincipen i registerförfattningarna att utgöra en sådan ändamålsbegränsning som avses i artikel 6.3 i

i

Prop. 2017/18:171 dataskyddsförordningen. Reglerna blir därför enligt regeringens mening

inte missvisande och det finns inte heller skäl att ange vilken artikel i dataskyddsförordningen som förtydligas genom bestämmelserna registerförfattningarna. Regeringen menar också, i likhet med Socialdataskyddsutredningen, att det saknas skäl att i bestämmelsen hänvisa till artikel 89.1 i dataskyddsförordningen. Den personuppgiftsansvarige måste enligt dataskyddsförordningen som är direkt tillämplig beakta såväl artikel 89.1 som övriga bestämmelser i dataskyddsförordningen. Det gäller bl.a. de grundläggande principerna i artikel 5 om uppgiftsminimering m.m. och bestämmelserna i artikel 13.3 och 14.4 som innebär att de registrerade som huvudregel på förhand måste informeras om återanvändning av personuppgifter.

Regeringens förslag till bestämmelser som rör finalitetsprincipen på Socialdepartementets område finns i 2 kap. 5 § patientdatalagen (avsnitt 7.1.4), 9 § apoteksdatalagen (avsnitt 7.2.3), 9 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel (avsnitt 7.3.2), 114 kap. 10 § socialförsäkringsbalken (avsnitt 7.5.5), 7 § lagen om receptregister (avsnitt 7.7.4) samt 6 § lagen om register över nationella vaccinationsprogram (avsnitt 7.10.2).

Det kan noteras att i vissa författningar finns bestämmelser som föreskriver att behandlingen endast får utföras för vissa angivna ändamål och att finalitetsprincipen därmed inte gäller.

Personuppgifter i nationella och regionala kvalitetsregister får enligt 7 kap. 6 § patientdatalagen inte behandlas för några andra ändamål än de som anges i 7 kap. 4 och 5 §§. Det innebär att det inte är tillåtet att behandla personuppgifter i nationella och regionala kvalitetsregister för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in. Finalitetsprincipen gäller därmed inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister. Däremot kan personuppgifter behandlas för andra ändamål än de som räknas upp i dessa bestämmelser med stöd av patientens samtycke. Detta följer av den allmänna bestämmelsen i 2 kap. 3 § patientdatalagen.

I 3 § lagen om läkemedelsförteckning anges att läkemedelsförteckningens dokumentation av köp av förskrivna läkemedel endast får användas för vissa angivna ändamål. Av bl.a. 5 kap. 5 § lagen om biobanker inom hälso- och sjukvården m.m. följer att PKU-registret endast får användas för vissa angivna ändamål. Av 16 § lagen om blodsäkerhet följer att registret med uppgifter om blodverksamheten, blodgivare, blodmottagare och gjorda kontroller av blod och blodkomponenter endast får ha till ändamål att göra det möjligt att spåra blod och blodkomponenter och att förhindra att smittat blod och blodkomponenter överförs till människor. Register som förs enligt 21 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler får ha till ändamål att endast säkerställa spårbarhet av mänskliga vävnader och celler för att förhindra överföring av sjukdomar. I dessa fall gäller inte finalitetsprincipen.

I andra lagar där det saknas bestämmelser om finalitetsprincipen får den personuppgiftsansvarige bedöma utifrån lagarnas ändamålsbestämmelsers utformning eller andra bestämmelser, som reglerar t.ex. utlämnande eller åtkomst till personuppgifter, huruvida en senare behandling är förenlig eller oförenlig med de ändamål uppgifterna samlades in för.

Vid den personuppgiftsansvariges bedömning behöver bestämmelserna i Prop. 2017/18:171 artikel 5.1 b och artikel 6.4 a–e i dataskyddsförordningen särskilt beaktas. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen bör inte anses vara oförenlig med de ursprungliga ändamålen.

Hänvisningar till S6-5-3

6.6. Känsliga personuppgifter

6.6.1. Förbud mot att behandla känsliga personuppgifter och möjligheterna till undantag

Regeringens bedömning: Det är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen i artikel 9.2 i EU:s dataskyddsförordning som kräver stöd i nationell rätt.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter.

I propositionen Ny dataskyddslag anför regeringen i fråga om begreppet känsliga personuppgifter att begreppet är väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext. Regeringen anser därför att benämningen känsliga personuppgifter bör användas i dataskyddslagen som en samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen (prop. 2017/18:105 s. 75).

Motsvarande förbud att behandla känsliga personuppgifter finns i artikel 8.1 i dataskyddsdirektivet. Dataskyddsdirektivets förbud har kommit till uttryck i 13 § personuppgiftslagen, som innehåller en uppräkning av samma kategorier som i dataskyddsdirektivet. Artikel 9.1 i dataskyddsförordningen innehåller dock något fler kategorier av personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit. Som anges i avsnitt 6.6.6 innebär införandet av begreppet sexuell läggning dock inte någon egentlig utvidgning från svenskt perspektiv eftersom detta i svensk rätt har ansetts ingå i ”sexualliv”.

Huvudregeln är enligt artikel 9.1 i dataskyddsförordningen att behandling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras

Prop. 2017/18:171 med ett antal undantag i artikel 9.2, som anger när behandling av

känsliga personuppgifter trots allt kan tillåtas.

Känsliga personuppgifter kan behandlas med stöd av samtycke (a) och för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten och på områdena social trygghet och socialt skydd i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal (b). Det är också tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke (c). Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar och vissa andra personer (d).

Vidare får känsliga personuppgifter behandlas om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (e). Ytterligare ett undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet (f). Behandling av känsliga personuppgifter får ske av hänsyn till ett, på grundval av EU-rätten eller nationell rätt, viktigt allmänt intresse (g).

Behandling av känsliga personuppgifter får också ske i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsstaternas nationella rätt under förutsättning att uppgifterna behandlas av eller under ansvar av bl.a. en yrkesutövare som omfattas av tystnadsplikt (h och artikel 9.3).

Även ett allmänt intresse på folkhälsoområdet, på grundval av EUrätten eller nationell rätt, ger rätt att behandla känsliga personuppgifter (i). Slutligen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (j).

Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4). En fråga är om möjligheterna att i nationell rätt göra undantag från förbudet att behandla känsliga personuppgifter måste utnyttjas fullt ut i den nationella rätten för att kunna användas. I artikel 9.4 anges att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, men endast för behandling av vissa kategorier av känsliga personuppgifter, nämligen genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta skulle kunna tyda på att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier av känsliga personuppgifter. En sådan tolkning synes dock enligt Socialdataskyddsutredningen inte vara rimlig. Dataskyddsförordningens huvudregel om förbud mot behandling av känsliga personuppgifter har tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Att det då endast ska vara möjligt att ha en nationell reglering som antingen helt förbjuder behandling av sådana uppgifter eller tillåter all behandling som kan tillåtas enligt någon av de möjligheter till nationellt grundade undantag som finns i artikel 9.2 a–j synes inte förenligt med intresset av att skydda den personliga integriteten. När det gäller behandling som sker med stöd av någon av de rättsliga grunderna fullgörande av rättslig förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning framgår det dessutom av artikel 6.2

och 6.3 att medlemsstaterna får ha särskilda bestämmelser om bl.a. Prop. 2017/18:171 vilken typ av uppgifter som ska behandlas. Socialdataskyddsutredningen anser att det därför är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Regeringen instämmer i Socialdataskyddsutredningens bedömning. Det är möjligt att behålla sökbegränsningar och andra skyddsåtgärder som avser känsliga personuppgifter och att tillåta behandling av bara vissa kategorier av känsliga personuppgifter.

6.6.2. Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd

I artikel 9.2 b i dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

Områdena social trygghet respektive socialt skydd är nya i förhållande till artikel 8.2 b i dataskyddsdirektivet, och det framgår inte av artikeln eller av skälen i dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området.

Dataskyddsutredningen gör bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivareller arbetstagarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Denna bedömning görs mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd förekommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten (SOU 2017:39 s. 169 f.). Socialdataskyddsutredningen har inte anledning att göra en annan bedömning än den Dataskyddsutredningen gör.

I propositionen Ny dataskyddslag föreslår regeringen i 3 kap. 2 § att känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Personuppgifter som behandlas får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet (prop. 2017/18:105 s. 77 f.).

6.6.3. Undantag för viktiga allmänna intressen

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i EU:s dataskyddsförordning och kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförordningen att förutsätta att proportionalitetsbedömningar har gjorts. Det är inte heller förenligt med dataskyddsförordningen att förutsätta att behandlingen är nödvändig av hänsyn till ett allmänt intresse och att kraven i artikel 9 för undantag till förbudet att behandla känsliga personuppgifter är uppfyllda. Vissa av undantagen, exempelvis en behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g, kräver stöd i unionsrätten eller medlemsstaternas nationella rätt. Unionsrätten eller medlemsstaternas nationella rätt ska då stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I det fortsatta lagstiftningsarbetet måste de analyser som krävs enligt artikel 9 göras, och det måste säkerställas att den nationella regleringen som föreslås innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Socialstyrelsen anser att det är önskvärt med förtydliganden vad gäller olika registerförfattningarnas förenlighet med kraven på proportionalitet i artikel 6.3 andra stycket sista meningen och kraven i skäl 41 i dataskyddsförordningen. En behandling av känsliga personuppgifter måste ha en rättslig grund i artikel 6 i dataskyddsförordningen. Om medlemsstater reglerar detta i nationell rätt med stöd av artikel 6.1 c eller e måste en sådan reglering uppfylla kraven i artikel 6.2 och 6.3 i dataskyddsförordningen. Av särskild vikt är då kravet på proportionalitet men även skäl 41 måste beaktas.

Läkemedelsindustriföreningen (LIF) anser att även om EU-rätten vilar på ett grundläggande krav på proportionalitet är det olyckligt att utredningen inte presenterar någon närmare bedömning av om de bestämmelser i särskilda registerförfattningar som tillåter behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen faktiskt står i proportion till det eftersträvade syftet. Om detta antagande skulle visa sig vara felaktigt, kan det få stor inverkan för LIF:s medlemsföretag och andra aktörer som behandlar känsliga personuppgifter med stöd av undantaget i artikel 9.2 g avseende viktiga allmänna intressen.

Swedish Medtech anser att det inte är tillräckligt klargjort att behandlingen av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är förenlig med artikel 9.2 g i dataskyddsförordningen. Det är

vidare mycket svårt att förutse vad ett sådant antagande kan komma att Prop. 2017/18:171 innebära för Swedish Medtechs medlemsföretag.

Skälen för regeringens bedömning

I artikel 9.2 g i dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Motsvarande bestämmelse finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att medlemsstaterna får besluta om undantag från förbudet att behandla känsliga personuppgifter under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse.

En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen kan ske i registerförfattningar, vilket ger möjlighet att göra lämpliga avvägningar på varje område.

I propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 10.4) bedömer regeringen att det behövs en generell reglering avseende myndigheters behandling vad gäller viktigt allmänt intresse.

I förslaget till 3 kap. 3 § dataskyddslag får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning

1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,

2. om behandlingen är nödvändig för handläggningen av ett ärende, eller

3. i enstaka fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid tillämpningen ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

I syfte att begränsa de integritetsrisker som den generella bestämmelsen kommer att medföra föreslås, som en ytterligare skyddsåtgärd, i 3 kap. 3 § dataskyddslagen också ett förbud att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Viktigt allmänt intresse och proportionerlig i förhållande till syftet

Det finns inget som tyder på att begreppet (viktigt) allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Detta innebär att när behandling av känsliga personuppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet har det redan bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet.

Prop. 2017/18:171 Socialdataskyddsutredningen anser att det utan vidare prövning bör anses att den i registerförfattningen reglerade behandlingen kan stödjas på artikel 6.1 e i dataskyddsförordningen och, under förutsättning av proportionalitet och bestämmelser om skyddsåtgärder i enlighet med artikel 9.2 g, innefatta känsliga personuppgifter i samma utsträckning som i dag.

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsförordningen stå i proportion till det eftersträvade syftet. Något uttryckligt krav på proportionalitet finns inte i dataskyddsdirektivet. Det framgår dock inte av dataskyddsförordningen hur proportionalitetsbedömningen ska gå till.

Datainspektionen anser att det inte är förenligt med dataskyddsförordningen att förutsätta att proportionalitetsbedömningar har gjorts.

Regeringen anser att behandling av känsliga personuppgifter som tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet (dvs. under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse) alltjämt utgör ett tillåtet undantag från förbudet att behandla känsliga personuppgifter. Mot bakgrund av att de ovan återgivna bedömningarna om legalitetsprincipen och Europakonventionen även bör tillmätas betydelse i samband med bedömning om undantaget i artikel 9.2 g vad gäller viktigt allmänt intresse och proportionalitetsbedömning, anser regeringen att det får förutsättas att författningar som tillåter behandling av känsliga personuppgifter uppfyller dataskyddsförordningens krav.

Förenlig med det väsentliga innehållet i rätten till dataskydd

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsförordningen vara förenlig med det väsentliga innehållet i rätten till dataskydd. Något uttryckligt motsvarande krav finns inte i dataskyddsdirektivet. Det framgår inte av dataskyddsförordningen vad kravet innebär.

Utgångspunkten vid införandet av registerförfattningar har generellt varit att i författningarna bara göra de undantag i förhållande till den generella dataskyddsregleringen i personuppgiftslagen, och därmed också dataskyddsdirektivet, som ansetts nödvändiga på det aktuella området. Vid införandet av registerförfattningar har också åtagandena enligt Europarådets dataskyddskonvention behövt iakttas. Det är därför Socialdataskyddsutredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller det nya uttryckliga kravet på att vara förenliga med det väsentliga innehållet i rätten till dataskydd. Regeringen instämmer i Socialdataskyddsutredningens bedömning.

Lämpliga skyddsåtgärder

Ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen förutsätter en reglering i nationell rätt. Regleringen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av ut-

formningen av sådana åtgärder, som säkerställer den registrerades grund- Prop. 2017/18:171 läggande rättigheter och intressen, finns inte i dataskyddsförordningen. Regeringen bedömer att det kan vara fråga om olika former av skyddsåtgärder, jfr artikel 8.4 i dataskyddsdirektivet i vilket det krävs ”lämpliga skyddsåtgärder” för att göra undantag från förbudet att behandla känsliga personuppgifter.

En nyhet i dataskyddsförordningen är dock att det krävs att det finns bestämmelser om sådana åtgärder i medlemsstatens nationella rätt. Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet innehåller regelmässigt olika uttryckliga bestämmelser om det som bedömts vara lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Det kan vara fråga om bestämmelser om sökbegränsningar, restriktioner för elektronisk åtkomst, behörighetstilldelning och loggkontroll, restriktioner för vad som får vara mer allmänt tillgängligt i den aktuella organisationen osv.

Mot den bakgrunden instämmer regeringen i Socialdataskyddsutredningens bedömning att det får anses vara så att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet även uppfyller kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Bestämmelser som tillåter behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse finns också i författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anslutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. När det gäller sådana författningar är det inte lika självklart att det regelmässigt finns uttryckliga bestämmelser om skyddsåtgärder. En bedömning av om sådana bestämmelser finns måste göras i dessa fall.

Hänvisningar till S6-6-3

  • Prop. 2017/18:171: Avsnitt 10.1

6.6.4. Undantag för hälso- och sjukvård samt social omsorg

Regeringens förslag: Registerförfattningar kompletteras med en bestämmelse som påminner om att behandling av personuppgifter som anges i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvård samt inom social omsorg är förenliga med EU:s dataskyddsförordning kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Datainspektionen anser att det skyndsamt bör utredas huruvida den behandling av personuppgifter som sker i dag inom hälso- och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskyddsförordningen, eller om det behöver införas en lagstadgad tystnadsplikt för de personuppgiftsbiträden som i dag inte omfattas av en sådan.

Stockholms läns landsting delar Datainspektionens uppfattning och anser att det är av största vikt att frågan skyndsamt utreds och eventuella lagstiftningsåtgärder snarast vidtas.

Sveriges Kommuner och Landsting och Inera AB förordar att det i patientdatalagen införs en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivares räkning.

Ett alternativ är att införa en lagstadgad tystnadsplikt för aktörer som tillhandahåller e-tjänster inom hela den offentliga sektorn och som innefattar känsliga personuppgifter.

Helsingborgs kommun har uppfattat att utredningen föreslår att en bestämmelse om tystnadsplikt för den som behandlar känsliga personuppgifter förs in i lagen om behandling av personuppgifter inom socialtjänsten. Enligt dataskyddsförordningen får känsliga personuppgifter endast behandlas av eller under ansvar av en tjänsteperson som omfattas av tystnadsplikt. Det finns ingen konsekvensbeskrivning i utredningen av vad formuleringen under ansvar av innebär. Det behövs ett förtydligande för att klargöra ansvarsförhållandet mellan myndighet och underleverantör när en sådan behandlar känsliga personuppgifter för myndighetens räkning.

Örebro läns landsting befarar att underbiträden och leverantörer inom e-hälsa inte lagligen kommer att få behandla personuppgifter utan att en lagstadgad tystnadsplikt gäller för deras behandling. Det behöver därför skyndsamt utredas om formuleringen i artikel 9.3 i dataskyddsförordningen innebär att det är tillräckligt att den personuppgiftsansvarige omfattas av en lagreglerad tystnadsplikt eller om kravet även gäller personuppgiftsbiträden som utför personuppgiftsbehandling för den personuppgiftsansvariges räkning. Om en sådan analys skulle visa att kravet även gäller sådana personuppgiftsbiträden, måste det införas en lagstadgad tystnadsplikt för dessa biträden i berörda registerförfattningar eller på annat lämpligt sätt. Exempelvis skulle det då kunna införas en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivarens räkning i patientdatalagen. Det förekommer att privata bolag anlitas för exempelvis drift och underhåll av nationella e-tjänster. Dessutom är det många privata aktörer som levererar ittjänster direkt åt vårdgivarna. På så vis kan dessa privata bolag och aktörer komma att behandla stora mängder av personuppgifter i egenskap av personuppgiftsbiträde.

Uppsala läns landsting anser att det är oklart om det är möjligt att överlåta hanteringen av känsliga personuppgifter till personuppgiftsbiträden som inte omfattas av den straffrättsgrundande tystnadsplikten i offentlighets- och sekretesslagen. Det är oklart om texten ”under ansvar” innebär att det är tillräckligt att den personuppgiftsansvarige omfattas av tystnadsplikten i offentlighets- och sekretesslagen och att personuppgiftsbiträden har en avtalsreglerad tystnadsplikt. En annan tolkning är att det också krävs att personuppgiftsbiträden omfattas av en reglerad tystnadsplikt. Det senare skulle få stora konsekvenser för landstinget eftersom

uppdrag i stor omfattning utförs av privata företag. Om den senare Prop. 2017/18:171 tolkningen gäller krävs det att en lagreglerad tystnadsplikt införs även för privata verksamma personuppgiftsbiträden.

Swedish Medtech ser en problematik i att bestämmelsen i artikel 9.3 blivit felaktigt implementerad. Dataskyddsdirektivet liksom dataskyddsförordningen kräver att den som behandlar känsliga personuppgifter omfattas av lagstadgad tystnadsplikt. Det råder en oklarhet om tillverkare av medicinteknik eller dess personal har någon i lag ålagd tystnadsplikt.

Om leverantörer av medicinteknik inte anses omfattas av tystnadsplikt kan detta utgöra hinder för incidentrapportering kopplat till medicintekniska produkter när den nya lagen träder i kraft. Det är viktigt att möjliggöra för anställda som tillhandahåller medicinsk programvara till vården, att behandla personuppgifter även om de inte är direkt verksamma i sjukvården.

Läkemedelsindustriföreningen anger att tillverkare av medicintekniska produkter i dag förlitar sig på 18 § personuppgiftslagen för behandling av känsliga personuppgifter i samband med incidentrapportering avseende medicintekniska produkter. Då motsvarande bestämmelse i artikel 9.2 h i dataskyddsförordningen förutsätter att uppgifterna behandlas av någon som omfattas av lagstadgad tystnadsplikt, och då enskilda företag som tillverkar medicintekniska produkter inte omfattas av någon sådan tystnadsplikt, innebär det en risk för hinder för incidentrapportering kopplat till medicintekniska produkter när dataskyddsförordningen ska börja tillämpas.

Dataskydd.net anser att en del av författningsförslagen innebär onödiga upprepningar av artikel 9.3.

Skälen för regeringens förslag och bedömning

Behandling av känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet. Motsvarande bestämmelse finns i artikel 8.3 i dataskyddsdirektivet. Där anges att känsliga personuppgifter får behandlas när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård.

Innebörden av kravet på att behandlingen ska vara nödvändig är dock enligt regeringens bedömning densamma i artikel 9 som i artikel 6, se propositionen Ny dataskyddslag (prop. 2017/18:105 s. 75 f.).

De verksamheter som avses

Några ytterligare verksamhetstyper – förebyggande yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, social omsorg och förvaltning av social omsorg och av deras system – har lagts till i undantaget för hälso- och sjukvård m.m. i dataskyddsförordningen, i jämförelse

Prop. 2017/18:171 med regleringen i dataskyddsdirektivet. Detta är en utvidgning jämfört

med dataskyddsdirektivet.

Vad som avses med social omsorg framgår inte av dataskyddsförordningen. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 93) gör regeringen bedömningen att begreppet social omsorg omfattar uppgifter som utförs inom socialtjänsten, men att det dock i avsaknad av praxis är svårt att närmare avgränsa innebörden av begreppen.

Socialdataskyddsutredningen anser att social omsorg innefattar sådan verksamhet som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. I detta sammanhang anser regeringen att det bör uppmärksammas att det finns skillnader mellan medlemsstaterna i frågan om huruvida vissa insatser t.ex. för äldre personer eller personer med funktionsnedsättning hör till insatser inom socialtjänsten eller till vård inom hälso- och sjukvården. I vissa fall kan insatserna och vården till sitt innehåll överlappa varandra eller i vart fall vara svåra att särskilja. Begreppet social omsorg kan i förhållande till hur begreppet omsorg använts i Sverige uppfattas som snävare än vad som torde vara avsikten jämfört med dataskyddsförordningen. Den närmare EU-rättsliga innebörden av begreppet får dock överlämnas till praxis att utveckla.

Begreppet vård eller behandling har ersatts med begreppet tillhandahållande av hälso- och sjukvård. Skälen i dataskyddsförordningen ger inte någon ledning i frågan om huruvida någon ändring i sak är avsedd. Begreppet tillhandahållande av hälso- och sjukvård anses innefatta det som avses med vård eller behandling enligt dataskyddsdirektivet.

Begreppet administration av hälso- och sjukvård har ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. I skäl 53 i dataskyddsförordningen finns det en uppräkning av vad som ska anses innefattas i detta begrepp: ”[…] behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet.”

Mot bakgrund av den ganska omfattande uppräkningen synes i vart fall det som innefattades i begreppet administration av hälso- och sjukvård omfattas.

Eftersom uppräkningen av verksamheter inte har inskränkts utan utvidgats i förhållande till dataskyddsdirektivets reglering, är tidigare bedömningar av vilka verksamheter det är tillåtet att göra undantag för fortfarande relevanta. I förarbeten till läkemedelslagstiftningen har det ansetts rimligt att inte ge bestämmelsen i 18 § första stycket personuppgiftslagen, som innehåller samma uppräkning som i dataskyddsdirektivet, en alltför snäv räckvidd varvid det har angetts att även aktiviteter med bäring på hälso- och sjukvård utanför det primära vårdområdet måste kunna inbegripas (prop. 2005/06:70 s. 44).

Formuleringen i dataskyddsdirektivet om att behandlingen ska vara Prop. 2017/18:171 nödvändig med hänsyn till de i artikeln uppräknade verksamheterna har i artikel 9.2 h i dataskyddsförordningen ersatts med att behandlingen ska vara nödvändig av skäl som hör samman med dessa verksamheter.

Av skäl 53 i dataskyddsförordningen framgår att avsikten är att harmonisera villkoren för behandling av uppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen utförs för vissa hälsorelaterade syften. Den ändrade formuleringen tydliggör att behandlingen måste ske för ändamål som hör samman med någon av dessa verksamheter.

Stöd i lagstiftningen

Regeringen framför i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 75) bl.a. att det, som Dataskyddsutredningen också påpekar, inte är helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten har eller vilken betydelse det har att de utformats på olika sätt. Enligt regeringens mening är det dock uppenbart att det vid behandling av känsliga personuppgifter i de situationer som beskrivs i nämnda bestämmelser krävs ett annat stöd i rättsordningen, utöver det som dataskyddsförordningen ger. De särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste nämligen vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller för behandling av andra personuppgifter i samma situation. Detta innebär dock inte att undantagen i sig måste genomföras i svensk rätt för att vara tillämpliga.

Den aktuella verksamheten ska utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Denna förutsättning är enligt regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 94) uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslagstiftningen på de aktuella områdena, t.ex. hälso- och sjukvårdslagen, socialtjänstlagen och andra relevanta författningar. Det är i dessa författningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter utan den registrerades samtycke.

Tystnadsplikt krävs

En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt.

Datainspektionen anser att det skyndsamt bör utredas huruvida den behandling av personuppgifter som sker i dag inom hälso-och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskydds-

Prop. 2017/18:171 förordningen, eller om det behöver införas en lagstadgad tystnadsplikt

för de personuppgiftsbiträden som i dag inte omfattas av en sådan.

I en hemställan ifrågasätter Datainspektionen det rimliga i att avvakta avgöranden från Europeiska unionens domstol för att få en uttolkning av artikel 9.3. Att det finns en i nationell rätt reglerad tystnadsplikt som uppfyller kravet i artikel 9.3 måste vara en fråga för lagstiftaren. Formuleringen i artikel 9.3 att uppgifterna ska behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt skulle kunna tolkas så att det är tillräckligt att den personuppgiftsansvarige omfattas av en lagreglerad tystnadsplikt. Gränsen för personuppgiftsansvaret och ansvaret för sekretess skiljer sig emellertid åt, vilket bl.a. framgår av JO:s beslut från den 9 september 2014, dnr 3032–2011. JO konstaterar i beslutet att utlämnande av journaluppgifter till ett personuppgiftsbiträde eller personal hos biträdet ska prövas på vanligt sätt enligt offentlighetsoch sekretesslagen (2009:400), förkortad OSL. JO:s bedömning i ärendet var att vårdgivaren i det fallet inte hade rättsligt stöd för att lämna ut sekretessbelagda uppgifter om patienter då mottagaren endast omfattades av en avtalsreglerad tystnadsplikt. Efter JO:s beslut uppstod en debatt om myndigheters möjlighet att anlita personuppgiftsbiträde om det innebär att sekretessbelagda uppgifter lämnas ut. Frågan har utretts av Pensionsmyndigheten i regeringsuppdraget Molntjänster i staten En ny generation av outsourcing, avsnitt 11.5 och bilaga 1 Juridisk analys av myndigheters informationshantering i molnet. Pensionsmyndigheten konstaterar i rapporten, på samma sätt som JO, att offentlighets- och sekretesslagens bestämmelser kan hindra myndigheter från att lämna ut vissa typer av sekretessbelagda uppgifter till privata it-leverantörer eftersom det saknas straffrättsligt sanktionerade tystnadsplikter för anställda hos sådana aktörer. Det handlar t.ex. om uppgifter av särskilt integritetskänsligt slag som rör enskilda och som inte bedöms kunna lämnas ut ens om leverantören och dess anställda ingår en avtalsrättslig tystnadspliktsförbindelse. Bland Pensionsmyndighetens förslag till regeringen finns förslaget att regeringen låter utreda närmare om det är lämpligt och ändamålsenligt att införa en lagreglerad och straffsanktionerad tystnadsplikt för privata leverantörer av it-tjänster (dnr Ju2017/06035/L6).

Inera AB framför bl.a. följande. Inera hanterar känsliga personuppgifter, patientuppgifter, i stor omfattning som personuppgiftsbiträde. En fråga är om Inera också får behandla personuppgifter på samma grunder som yrkesutövare inom hälso- och sjukvården. Inera är ingen vårdgivare.

Inera är ett kommunalt bolag som ägs av SKL Företag AB samt landets landsting. Inom en snar framtid även av Sveriges alla kommuner. Landsting och kommuner kommer att ha ett rättsligt bestämmande inflytande över Ineras verksamhet, varför Inera ska betraktas som myndighet i OSL:s mening (jfr 2 kap. 3 § OSL). Det innebär att Inera åberopar det led i artikel 9.3 som berör tystnadsplikt för annan person som behandlar känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål. I första hand kan sekretess råda i Ineras verksamhet enligt 40 kap. 5 OSL, men också 21 kap. 1 § OSL kan bli tillämplig. Emellertid förhåller det sig så att Inera anlitar ett flertal privata bolag för drift och underhåll av de nationella e-tjänster som bolaget förvaltar. Inom vårdområdet är det vidare många privata aktörer som levererar it-tjänster direkt åt vårdgivare och på så sätt behandlar stora mängder personuppgifter i egenskap av

personuppgiftsbiträde. Med anledning av kravet på tystnadsplikt enligt Prop. 2017/18:171 artikel 9.3 i dataskyddsförordningen för att få behandla personuppgifter inom vårdområdet, hyser Inera allvarliga farhågor att bolagets underbiträden samt leverantörer inom eHälsa inte får lagligen behandla personuppgifterna utan att en lagstadgad tystnadsplikt gäller för deras behandling. Inera förordar att det i patientdatalagen införs en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivares räkning. Ett alternativ är att införa en lagstadgad tystnadsplikt för aktörer som tillhandahåller sådana e-tjänster inom hela den offentliga sektorn som innefattar känsliga personuppgifter.

Kravet på reglerad tystnadsplikt enligt artikel 9.3 omfattar inte personuppgiftsbiträden

Regeringen anser att tolkningen av artikel 9 i dataskyddsförordningen primärt måste göras utifrån dess ordalydelse. Av artikel 9.2 h följer att det är fråga om behandling som är nödvändig av skäl som hör samman med vissa verksamheter inom hälso- och sjukvård och social omsorg. Verksamheten ska vila på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Vidare finns krav på att villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda.

I artikel 9.3 i dataskyddsförordningen stadgas att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

I skäl 53 i dataskyddsförordningen anges bl.a. följande: ”Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort… …Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade yrkesmässig tystnadsplikt.”

I engelska språkversionen av skäl 53 anges bl.a. följande: “Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole… …Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy…”.

I den engelska språkversionen lyder artikel 9.2 h: “processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical

Prop. 2017/18:171 diagnosis, the provision of health or social care or treatment or the

management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3”.

I den engelska språkversionen lyder artikel 9.3: “Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.”.

Regeringen anser att det bör uppmärksammas att artikel 9.3 hänvisar till behandlingen för de ändamål som anges i 9.2 h. Dataskyddsförordningen förklarar inte vad som avses med en yrkesutövare eller en annan person i den svenska språkversionen eller med ”professional subject” eller ”another person” som det uttrycks i den engelska språkversionen. Ledning för tolkningen av begreppet bör göras utifrån dess språkliga innebörd och dess kontext.

I den svenska språkversionen lyder artikel 8.3 i dataskyddsdirektivet: ”Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt”.

I den engelska språkversionen lyder artikel 8.3: “Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject under national law or rules established by national competent bodies to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy”.

Socialdataskyddsutredningen har bedömt följande vad gäller att tystnadsplikt krävs. Syftet med artikel 9.3 i dataskyddsförordningen får antas vara att de personer i bl.a. hälso- och sjukvårdsverksamhet som – dvs. behandlar – känsliga personuppgifter ska ha tystnadsplikt enligt t.ex. nationell rätt, eller i vart fall arbeta under någon som har sådan tystnadsplikt. Den fysiska personen behöver inte själv vara personuppgiftsansvarig. Däremot måste den personuppgiftsansvarige se till att en person som omfattas av tystnadsplikt är den som antingen själv behandlar uppgifterna eller åtminstone ansvarar för behandlingen (SOU 2017:66 s. 247).

Regeringen instämmer huvudsakligen med Socialdataskyddsutredningens bedömning. Det är den personuppgiftsansvarige som ansvarar för att behandling sker i enlighet med dataskyddsförordningen, exempelvis att behandling av känsliga personuppgifter för de ändamål som avses

i artikel 9.2 h bara sker av eller under ansvar av en yrkesutövare som Prop. 2017/18:171 omfattas av sådan tystnadsplikt som avses i artikel 9.3. Detta gäller oavsett om behandlingen sker hos den personuppgiftsansvarige själv eller hos ett personuppgiftsbiträde.

Regeringen bedömer emellertid att kravet i artikel 9.3 om att tystnadsplikten ska vara reglerad i unionsrätten eller nationell rätt inte omfattar personuppgiftsbiträden, så länge den personuppgiftsansvarige omfattas av en sådan reglerad tystnadsplikt. Ett personuppgiftsbiträde behandlar endast personuppgifter för den personuppgiftsansvariges räkning och under dennes ansvar. Vid sådan behandling gäller i och för sig de krav som uppställs i artikel 28 och 29 i dataskyddsförordningen. Enligt artikel 28.3 b följer exempelvis att personuppgiftsbiträdets hantering av personuppgifter ska regleras i ett avtal som särskilt ska föreskriva att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt (jfr engelska språkversionens lydelse av artikel 28.3 b ”statutory obligation of confidentiality”). Om avsikten var att kravet på reglerad yrkesmässig tystnadsplikt enligt artikel 9.3 också skulle gälla generellt för personuppgiftsbiträden torde detta vara en nyhet i dataskyddsförordningen som i så fall borde ha reglerats tydligare (jfr skäl 53). Om ett personuppgiftsbiträde överträder regleringen i dataskyddsförordningen genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet dock anses vara personuppgiftsansvarig med avseende på den behandlingen (artikel 28.10). Ett personuppgiftsbiträde kan vidare i egenskap av rollen som biträde under vissa förutsättningar bli ersättningsskyldig vid behandling i strid med förordningen enligt artikel 82.

I likhet med såväl Socialdataskyddsutredningen som Dataskyddsutredningen kan regeringen konstatera att bestämmelser om tystnadsplikt för personer verksamma inom hälso- och sjukvården redan finns i t.ex. 25 kap. OSL och patientsäkerhetslagen. För författningsreglerad social omsorg gäller sekretess enligt 26 kap. OSL och tystnadsplikt enligt 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade. Det finns således redan tystnadsplikt enligt författning.

Sammanfattande bedömning i fråga om tystnadsplikt för personuppgiftsbiträden

Regeringen bedömer att kravet på en reglerad yrkesmässig tystnadsplikt i artikel 9.3 i dataskyddsförordningen inte omfattar personuppgiftsbiträden. Av dataskyddsförordningen följer dock att personuppgiftsbiträdets hantering av personuppgifter ska regleras i ett avtal som särskilt ska föreskriva att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig (lagstadgad) tystnadsplikt.

Datainspektionen har i sin hemställan dels uppmärksammat att det i nationell lagstiftning finns skillnader i gränsen för personuppgiftsansvar och ansvaret för tystnadsplikt, dels att det finns en inhemsk debatt om myndigheters möjligheter att anlita personuppgiftsbiträde i fall där det är fråga om att lämna ut sekretessbelagda uppgifter. Dessa förhållanden be-

Prop. 2017/18:171 dömer regeringen inte är föranledda av dataskyddsförordningen. Huru-

vida det skulle finnas behov av att ändra i lagstiftning till följd av det ställningstagande som JO gjort i ovannämnda beslut bedöms inte primärt vara en fråga som rör dataskyddsförordningen. Detta kräver analyser utifrån dataskyddsreglering men även utifrån grundlagen, t.ex. 2 kap.6 och 20 §§regeringsformen, förkortad RF, samt regleringar av sekretess och tystnadsplikt. Detsamma gäller Inera AB:s synpunkter att det i patientdatalagen bör införs en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivares räkning.

Regeringen anser att frågan om en lagstadgad tystnadsplikt för personuppgiftsbiträden (såväl fysiska som juridiska personer) inom hälso- och sjukvård och social omsorg i detta lagstiftningsärende inte föranleder någon ytterligare åtgärd.

Behov av tystnadsplikt för tillverkare av medicintekniska produkter

Swedish Medtech har framfört att det är oklart om tillverkare av medicintekniska produkter omfattas av lagstadgad tystnadsplikt, och Läkemedelsindustriföreningen har framfört att tillverkare av medicintekniska produkter inte omfattas av sådan tystnadsplikt. Båda föreningarna har framfört att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen innebär en risk för hinder för incidentrapportering kopplat till medicintekniska produkter när dataskyddsförordningen ska börja tillämpas.

Det kan konstateras att den anmälningsplikt från hälso- och sjukvården till tillverkare av medicintekniska produkter avseende negativa händelser som finns i 6 kap. 2 och 3 §§ Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården inte bryter den sekretess och tystnadsplikt som gäller i hälso- och sjukvården. Det kan ifrågasättas om hälso- och sjukvården ska lämna känsliga personuppgifter i de aktuella incidentrapporterna. Om det skulle finnas behov av att ändra i lagstiftning på detta område, är det inte primärt en fråga som rör anpassning av svenska regler till dataskyddsförordningen. Detta kräver analyser utifrån dataskyddsreglering men även utifrån grundlagen, t.ex. 2 kap. 6 och 20§§ RF samt regleringar av sekretess och tystnadsplikt. Swedish Medtechs och Läkemedelsindustriföreningens synpunkter om tystnadsplikt för tillverkare av medicintekniska produkter föranleder därför inte någon ytterligare åtgärd i detta lagstiftningsärende.

Upplysningsbestämmelser som påminner om kravet på tystnadsplikt bör lämpligen införas i registerförfattningar

Regeringen instämmer i den bedömning Socialdataskyddsutredningen gör att den nationella regleringen blir tydligare om kravet på tystnadsplikt framgår också av berörda registerförfattningar. Bestämmelser som påminner om det kravet bör därför tas in i registerförfattningar för hälsooch sjukvårdsområdet och socialtjänsten som tillåter behandling av känsliga personuppgifter med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen.

Regeringens förslag till sådana bestämmelser finns i 2 kap. 7 a § patientdatalagen (avsnitt 7.1.6), 7 kap. 8 § patientdatalagen (avsnitt 7.1.8), 9 a § apoteksdatalagen (avsnitt 7.2.4), 9 a § lagen om behandling

av personuppgifter i ärenden om licens för läkemedel (avsnitt 7.3.3), 7 § Prop. 2017/18:171 lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 7.4.3), 8 a § lagen om receptregister (avsnitt 7.7.2) och 4 a § lagen om läkemedelsförteckning (avsnitt 7.8.2).

Det bör av lagförslagen framgå tydligare än vad Socialdataskyddsutredningen föreslår att kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen avser de situationer där känsliga personuppgifter får behandlas för de ändamål som avses i artikel 9.2 h i dataskyddsförordningen. Det bör uppmärksammas att stöd för att behandla känsliga personuppgifter även kan finnas i andra grunder i artikel 9.2 och i så fall gäller inte kravet på tystnadsplikt enligt artikel 9.3. Regeringen föreslår därför en annan utformning än Socialdataskyddsutredningen som är mer lik den som finns i förslaget till 3 kap. 5 § andra stycket dataskyddslagen.

Hänvisningen till artikel 9.3 i dataskyddsförordningen bör vara dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom det rör sig om en ren upplysning om att en annan, direkt tillämplig, bestämmelse gäller.

Hänvisningar till S6-6-4

6.6.5. Undantag för folkhälsoområdet

Regeringens bedömning: Ytterligare bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i i EU:s dataskyddsförordning bedöms i nuläget inte krävas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Folkhälsomyndigheten avstyrkte Dataskyddsutredningens förslag om att inte införa ett folkhälsoundantag i den föreslagna nya dataskyddslagen. Folkhälsomyndigheten vidhåller fortsatt att ett folkhälsoundantag bör införas, alternativt att det bör utredas hur undantaget kan införas i annan lagstiftning för att möjliggöra för myndigheten att fortsätta med de undersökningar som inte bedöms kunna inrymmas under undantagen för statistik eller forskning.

Skälen för regeringens bedömning: Enligt artikel 9.2 i i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det ska då ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

Dataskyddsdirektivet innehåller inte någon bestämmelse som särskilt tar sikte på folkhälsoområdet. Behandling av känsliga personuppgifter på folkhälsoområdet sker i dag med stöd av bestämmelser som har sin grund i artikel 8.4 (allmänt intresse) eller artikel 8.3 (hälso- och sjukvård) i dataskyddsdirektivet.

I artikel 9.2 i i dataskyddsförordningen ges exempel på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det kan enligt artikeln röra sig om behov av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller att säkerställa höga

Prop. 2017/18:171 kvalitets- och säkerhetsnormer för vård och läkemedel eller medicin-

tekniska produkter. Av skäl 54 i dataskyddsförordningen framgår att begreppet folkhälsa bör tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008, nämligen så att det avser alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Artikel 9.2 i i dataskyddsförordningen innehåller ett krav på att behandlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt. Enligt regeringens bedömning behöver undantaget i sig inte föreskrivas i nationell rätt för att behandling av känsliga personuppgifter ska kunna ske med stöd av artikel 9.2 i. Kravet på att behandlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt innebär enligt regeringens bedömning att den personuppgiftsansvarige ska ha stöd i rättsordningen för att utföra en uppgift på folkhälsoområdet. Detta rättsliga stöd ska enligt artikel 9.2 i innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Enligt regeringens bedömning är förutsättningarna för att behandling ska få ske enligt artikel 9.2 i uppfyllda om de känsliga personuppgifterna är sekretessreglerade i verksamheten. Om sekretessreglering saknas kan det däremot inte tas för givet att dataskyddsförordningens krav på lämpliga och specifika skyddsåtgärder för att skydda den registrerades rättigheter och friheter är uppfyllda.

Vad lämpliga och specifika skyddsåtgärder kan bestå i framgår av avsnitt 6.9.2. Oavsett hur kravet på att behandlingen ska ske på grundval av nationell rätt ska tolkas, bedömer regeringen att det inte är oförenligt med dataskyddsförordningen att reglera ett undantag som grundar sig på artikel 9.2 i i dataskyddsförordningen i nationell lagstiftning (se SOU 2017:66 s. 249). Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av folkhälsoundantaget får enligt regeringens mening anses, om inte nödvändiga så ändå tillåtna som nationella preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen, under förutsättning att den behandling av personuppgifter som regleras i registerförfattningen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 6.1 och 6.2).

Mot bakgrund av det ovan anförda bedömer regeringen att införandet av ett generellt folkhälsoundantag eller ytterligare bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 9.2 i i dataskyddsförordningen i nuläget inte krävs.

6.6.6. Fler uppgifter blir känsliga personuppgifter

Regeringens bedömning: Bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition behandlas bör även avse nya kategorier av känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning. De nya känsliga personuppgifterna får endast behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen.

Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten bör någon eller några av de nya kategorierna få behandlas.

Bestämmelser i särskilda registerförfattningar om s.k. skyddsåtgärder med restriktioner för behandling av känsliga personuppgifter enligt nuvarande definition bör som utgångspunkt utvidgas till att avse också de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att skyddsåtgärderna inte omfattar någon av de nya kategorierna av uppgifter bör den kategorin undantas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten.

Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs. Ett exempel är att det föreslås att behandling av samtliga kategorier av känsliga personuppgifter ska få behandlas enligt socialförsäkringsbalken utan någon analys av om dessa uppgifter har varit nödvändiga att behandla i verksamheten sedan tidigare eller om ett sådant behov kan tänkas uppstå. I det fortsatta lagstiftningsarbetet måste det säkerställas att varje bestämmelse som ska utgöra ett undantag från förbudet i artikel 9.1 överensstämmer med de krav som framgår av artikel 9.2 och avseende hälso- och sjukvård och social omsorg även artikel 9.3.

Prop. 2017/18:171 Skälen för regeringens bedömning

Dataskyddsförordningen innebär att fler kategorier av uppgifter än enligt dataskyddsdirektivet blir att betrakta som känsliga personuppgifter, som det enligt huvudregeln är förbjudet att behandla.

Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet ”sexualliv” och införandet av det begreppet i förordningen innebär således inte någon egentlig utvidgning från svenskt perspektiv (se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården, prop. 2000/01:126 s. 31 och propositionen Ett starkare skydd mot diskriminering, prop. 2007/08:95 s. 125129). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen.

Flera av de uppgifter som ryms inom de nya kategorierna är redan i dag att betrakta som känsliga personuppgifter, eftersom de ryms inom någon av de nuvarande kategorierna. Kategorierna av känsliga personuppgifter kommer därmed i viss mån att överlappa varandra. Tillägget av nya kategorier medför dock en begränsning av möjligheterna att behandla personuppgifter i jämförelse med vad som gäller enligt dataskyddsdirektivet för sådana uppgifter som inte redan omfattas av någon av de befintliga kategorierna av känsliga personuppgifter. De personuppgifter som ryms inom de nya kategorierna kommer, liksom övriga kategorier av känsliga personuppgifter, endast att få behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen.

Bestämmelser som tillåter behandling av känsliga personuppgifter

Är enligt registerförfattningen behandling av samtliga kategorier av känsliga personuppgifter tillåten, enligt nuvarande definition, bör enligt Socialdataskyddsutredningens mening behandling också av de nya kategorierna tillåtas utan vidare utredning av behovet. Har det vid införandet av registerförfattningen gjorts bedömningen att alla slags personuppgifter får behandlas om det är nödvändigt med hänsyn till ändamålen, bör nämligen den bedömningen godtas.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten.

Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Regeringen anser att det finns anledning att i detta sammanhang beakta att de olika registerförfattningarna inom Socialdepartementets verksamhetsområde skiljer sig åt i sin utformning. I vissa registerförfattningar

preciseras det vilka uppgifter som får behandlas, inklusive känsliga Prop. 2017/18:171 personuppgifter. Detta gäller lagen (1996:1156) om receptregister, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (särskilt vad gäller PKU-registret), lagen (2005:258) om läkemedelsförteckning, lagen (2006:496) om blodsäkerhet, lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler och lagen (2012:453) om register över nationella vaccinationsprogram. Detsamma kan sägas om lagen (1998:543) om hälsodataregister för vilken preciseringen av vilka personuppgifter som får behandlas i de olika hälsodataregistren följer av förordningar meddelade med stöd av lagen. Vidare kan det preciseras i lag vilken kategori av känsliga personuppgifter som får behandlas, se lagen (2006:1570) om skydd mot internationella hot mot människors hälsa. I lagen (2006:351) om genetisk integritet finns vad som får ses som en precisering av vissa uppgifter som ska dokumenteras i journal, dvs. tillåtligheten av behandlingen bedöms följa av patientdatalagen. I alkohollagen (2010:111) och lagen (2012:526) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ regleras behandling av personuppgifter som enligt regeringens bedömning inte inkluderar känsliga personuppgifter. Regeringen anser inte att det i dessa fall krävs några ytterligare analyser om vad utvidgningen av nya kategorier skulle kunna medföra.

Vidare finns det lagar som tillåter behandling av alla slags personuppgifter. Sådana bestämmelser finns när det gäller socialtjänsten (lagen [2001:454] om behandling av personuppgifter inom socialtjänsten), hälso- och sjukvården (patientdatalagen [2008:355]), socialförsäkringens administration (114 kap. socialförsäkringsbalken), öppenvårdsapotekens detaljhandel med läkemedel (apoteksdatalagen [2009:367]) och ärenden om licens för läkemedel (lagen [2016:526] om behandling av personuppgifter i ärenden om licens för läkemedel). Lagarna innehåller inte uppräkningar av olika kategorier av känsliga personuppgifter utan anger att personuppgifter får behandlas under vissa förutsättningar, eller vad gäller socialförsäkringsbalken och lagen om behandling av personuppgifter inom socialtjänsten att hela gruppen känsliga personuppgifter får behandlas under vissa förutsättningar. I avsnitt 6.6.3 redogör regeringen för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter för viktiga allmänna intressen i artikel 9.2 g i dataskyddsförordningen och i avsnitt 6.6.4 redogör regeringen för vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård och social omsorg i artikel 9.2 h i dataskyddsförordningen. Regeringen bedömer att behandlingen av känsliga personuppgifter enligt socialförsäkringsbalken och de fyra ovannämnda lagarna ryms inom artikel 9.2 g respektive 9.2 h. Dataskyddsförordningen kräver inte uttryckligen preciseringar i nationell rätt av vilka kategorier av känsliga personuppgifter som får behandlas i en viss verksamhet. Det kan konstateras att de aktuella lagarna innehåller skyddsåtgärder. Främst kan nämnas preciserade ändamålsbestämmelser men också t.ex. bestämmelser om tilldelning av behörighet och sökbegränsningar. Det finns också mer allmänna skyddsåtgärder i svensk rätt som t.ex. bestämmelser om sekretess och tystnadsplikt för de aktuella områdena. Tystnadsplikt är ett särskilt krav enligt artikel 9.2 h och artikel 9.3 i dataskyddsförordningen. Även kravet på tystnadsplikt behandlas i

Prop. 2017/18:171 avsnitt 6.6.4 där regeringen bl.a. konstaterar att det finns bestämmelser

om sekretess och tystnadsplikt för personer som är verksamma inom hälso- och sjukvård och författningsreglerad social omsorg i t.ex. 25 kap. OSL och 6 kap. patientsäkerhetslagen respektive 26 kap. OSL och 15 kap. socialtjänstlagen.

Regeringen anser därför att de bestämmelser som tillåter behandling av alla kategorier av känsliga personuppgifter i socialförsäkringsbalken, lagen om behandling av personuppgifter inom socialtjänsten, patientdatalagen, apoteksdatalagen och lagen om behandling av personuppgifter i ärenden om licens för läkemedel, även kan avse nya kategorier av känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen.

Det följer direkt av dataskyddsförordningen att de nya kategorierna av känsliga personuppgifter endast får behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen. Regeringen anser att de nya utvidgade kategorierna av känsliga personuppgifter bör få behandlas om de är nödvändiga för att kunna fullgöra den verksamhet som bedrivs och inom de ändamål som finns för att behandla personuppgifter. Detta gäller under förutsättning att behandlingen av uppgifterna uppfyller de grundläggande principerna i artikel 5 i dataskyddsförordningen.

Bestämmelser om skyddsåtgärder för känsliga personuppgifter

De skyddsåtgärder som förekommer i registerförfattningarna är ibland begränsade till att avse behandling av känsliga personuppgifter eller vissa av de nuvarande kategorierna av känsliga personuppgifter, t.ex. i fråga om sökbegränsningar. Enligt regeringens bedömning bör utgångspunkten vara att även de nya kategorierna av känsliga personuppgifter ska omfattas av dessa skyddsåtgärder.

Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. En bedömning av om det är nödvändigt behöver göras i förhållande till den verksamhet som är aktuell.

Hänvisa till definitionen i dataskyddsförordningen

För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör en hänvisning göras till artikel 9.1 i dataskyddsförordningen. En sådan hänvisning bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom terminologin som används i den nationella reglering som kompletterar dataskyddsförordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.

Hänvisningar till S6-6-6

6.7. Uppgifter om lagöverträdelser

Regeringens bedömning: Bestämmelser i registerförfattningar som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör behållas. Myndigheters möjligheter att behandla sådana uppgifter påverkas inte av EU:s dataskyddsförordning.

Bestämmelser i registerförfattningar som begränsar möjligheten att behandla uppgifter om lagöverträdelser enligt nuvarande definition kan och bör behållas. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. I annat fall är det endast tillåtet att begränsa behandling av sådana uppgifter om lagöverträdelser som omfattas av den nya definitionen i artikel 10 i dataskyddsförordningen.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen ser positivt på förslaget att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska behållas, men aktuella begränsningar måste ha stöd i dataskyddsförordningen. Detta gäller även för begränsningar av myndigheters behandling.

Skälen för regeringens bedömning

Allmänt om dataskyddsförordningen och den tidigare regleringen i dataskyddsdirektivet

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Bestämmelsen i dataskyddsförordningen skiljer sig något från artikel 8.5 i dataskyddsdirektivet. Enligt dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser som innefattar brott, brottmålsdomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Dataskyddsdirektivets reglering omfattar således även uppgifter om friande brottmålsdomar. I fråga om register över fällande domar i brottmål är regleringen densamma. Därutöver anges i dataskyddsdirektivet att medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet. I dataskyddsförordningen saknas denna skrivning.

Prop. 2017/18:171 Bestämmelsen i dataskyddsdirektivet har kommit till uttryck i 21 § personuppgiftslagen. Där anges att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Ändringen från brottmålsdomar till fällande domar i brottmål innebär en begränsning av bestämmelsens tillämpningsområde till att omfatta enbart fällande brottmålsdomar. Det utökar möjligheterna för andra än myndigheter att behandla uppgifter om brottmålsdomar, men påverkar inte myndigheternas möjligheter.

Vad gäller ändringen från lagöverträdelser till överträdelser gör Dataskyddsutredningen bedömningen att någon förändring i sak inte har varit avsedd genom det justerade ordvalet (SOU 2017:39 s. 193). Socialdataskyddsutredningen gör samma bedömning. Dataskyddsförordningens bestämmelse medför således inte någon förändring av möjligheterna att behandla personuppgifter om lagöverträdelser i förhållande till vad som gällt enligt dataskyddsdirektivet.

Propositionen Ny dataskyddslag

Regeringen föreslår i propositionen Ny dataskyddslag, (prop. 2017/18:105 avsnitt 11) att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §).

Regeringen eller den myndighet som regeringen bestämmer föreslås får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor (3 kap. 9 § dataskyddslagen).

Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig. Det är emellertid inte tydligt vad begreppet under kontroll av myndighet innebär för svenskt vidkommande. Begreppet skulle kunna tolkas som att behandlingen ska ske av ett organ som anförtrotts uppgifter som ankommer på den offentliga sektorn. Regeringen bedömer att bestämmelsen i artikel 10 i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet. Det är angeläget att tydliggöra detta, eftersom det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Det finns således ett visst utrymme att förtydliga innebörden av artikel 10 i svensk rätt. Som Dataskyddsutredningen föreslår bör det därför uttryckligen framgå av dataskyddslagen att personuppgifter som rör lagöverträdelser får behandlas av myndigheter (prop. 2017/18:105 s. 99).

Enligt artikel 10 i dataskyddsförordningen får behandling ske utan kontroll av myndighet då behandlingen är tillåten enligt unionsrätten

eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fast- Prop. 2017/18:171 ställs. Regleringen i artikel 10 syftar således till att säkerställa att det i unionsrätten eller den nationella rätten finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, när behandling utförs av andra än myndigheter. Enligt regeringens mening är det inte lämpligt att i dataskyddslagen ange vilka skyddsåtgärder som bör finnas vid behandling av uppgifter om lagöverträdelser. I stället bör detta övervägas i särskild ordning där behovet kan analyseras särskilt från fall till fall. Regeringen föreslår därför i likhet med Dataskyddsutredningen att regeringen eller den myndighet regeringen bestämmer ska ges befogenhet att meddela föreskrifter som tillåter andra än myndigheter att behandla personuppgifter som rör lagöverträdelser. Regeringen har för avsikt att, som utredningen föreslår, vidaredelegera denna normgivningskompetens till tillsynsmyndigheten. Eftersom dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar, kommer det även i fortsättningen att finnas utrymme för särreglering som tillåter behandling av personuppgifter som rör lagöverträdelser. Det bör dock noteras att det inte krävs en uttrycklig undantagsreglering för att behandling av uppgifter som rör lagöverträdelser ska vara tillåten (prop. 2017/18:105 s. 99 f.).

Överväganden avseende Socialdepartementets registerförfattningar

Personuppgifter om lagöverträdelser får således behandlas av en myndighet under förutsättning att det finns lagligt stöd för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Det krävs inga särskilda ställningstaganden för myndigheters behandling av personuppgifter som avser lagöverträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund för behandling av personuppgifter vad gäller myndigheter.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder utan kontroll av en myndighet kan enligt artikel 10 i dataskyddsförordningen tillåtas i den nationella rätten om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett krav på lämpliga och specifika skyddsåtgärder finns också i artikel 8.5 i dataskyddsdirektivet. Kraven på skyddsåtgärder får enligt regeringens bedömning anses innebära detsamma i dataskyddsförordningen och dataskyddsdirektivet. För att andra personuppgiftsansvariga än myndigheter fortsättningsvis ska få behandla sådana uppgifter som anges i artikel 10 gäller således samma förutsättningar som i dag. Någon ny analys av tillämpliga skyddsåtgärder krävs därför inte. Bestämmelser som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör därför behållas.

Datainspektionen ser positivt på förslaget att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska behållas, men att aktuella begränsningar måste ha stöd i dataskyddsförordningen. Detta gäller även för begränsningar av myndigheters behandling.

Registerförfattningar innehåller inte så sällan, såsom lämpliga och specifika skyddsåtgärder i de fall enskildas behandling omfattas, bestämmelser som begränsar möjligheterna att behandla sådana uppgifter

Prop. 2017/18:171 om lagöverträdelser som avses i 21 § personuppgiftslagen. Det kan t.ex.

röra sig om sökbegränsningar. Dessa begränsningar omfattar även uppgifter om friande domar i brottmål och administrativa frihetsberövanden. Trots att det för myndigheters behandling inte finns något motsvarande krav på skyddsåtgärder omfattas även dessa av begränsningarna i de fall registerförfattningen tillämpas på såväl myndigheters som enskildas behandling. För sådana behandlingar anser regeringen att det är fråga om specifika bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Regeringen instämmer i Socialdataskyddsutredningens bedömning att det är svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter som de hittills inte har bedömts ha behov av att behandla bara därför att dataskyddsförordningen gör det möjligt. Även för sådana behandlingar anser regeringen att det är fråga om specifika bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Det är därför under dessa förutsättningar tillåtet att behålla begränsningarna för de uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen men som inte omfattas av artikel 10 i dataskyddsförordningen. Av samma skäl kan även bestämmelser om skyddsåtgärder behållas. Begränsningar av enskildas behandling av personuppgifter, som omfattas av artikel 10 i dataskyddsförordningen, är dessutom tillåtna i form av skyddsåtgärder enligt samma artikel.

Bestämmelser i registerförfattningar som begränsar möjligheten att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden kan och bör därför behållas, trots att definitionen av uppgifter om lagöverträdelser i registerförfattningarna inte blir enhetlig med den som finns i dataskyddsförordningen och den föreslagna dataskyddslagen. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen har en sådan rättslig grund att det är tillåtet med mer specifika bestämmelser. Om så inte är fallet, får begränsningarna inte gälla för uppgifter om friande domar i brottmål eller administrativa frihetsberövanden, eftersom sådana uppgifter inte omfattas av dataskyddsförordningens krav på begränsningar.

Bestämmelser som reglerar behandling av uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen finns i 2 kap.7 och 8 §§ samt 7 kap. 8 §patientdatalagen (avsnitt 7.1.5) och 114 kap. 12 § socialförsäkringsbalken (avsnitt 7.5.6).

Hänvisningar till S6-7

6.8. Den registrerades rättigheter

6.8.1. Utökade rättigheter för registrerade

Regeringens bedömning: Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av EU:s dataskyddsförordning kan och bör behållas om den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagens bestämmelser om rättelse bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Örebro läns landsting, Sveriges Kommuner och Landsting och Inera AB anser att det med stöd av artikel 23 i dataskyddsförordningen behöver införas en bestämmelse i patientdatalagen som gör det möjligt för vårdgivare att fatta automatiserade beslut, inbegripet profilering, för individnära vård och behandling. Inom intensivvården på sjukhus används i dag övervakningssystem i form av medicintekniska produkter som monitorerar en patients blodtryck, hjärta, blodvärden m.m. I dagsläget används det visserligen inte några helautomatiska system som både övervakar vitalparametrar och som baserat på tröskelvärden automatiskt injicerar läkemedel. Det utesluter dock inte tillkomsten av sådana lösningar i en nära framtid. Ett autonomt system kan anses fatta beslut i dataskyddsförordningens mening. En annan fråga är om maskinen ”profilerar”. Enligt artikel 22.4 i dataskyddsförordningen råder ett förbud för automatiserade beslut, inbegripet profilering, som innefattar känsliga personuppgifter, t.ex. patientuppgifter, såvida inte artikel 9.2 a (uttryckligt samtycke) eller g (viktigt allmänt intresse) är tillämplig och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Hälso- och sjukvård är en arbetsuppgift av allmänt intresse, men inte ett sådant allmänt intresse som är ”viktigt”. Det är tveksamt om en vårdgivare får behandla känsliga patientuppgifter inom ramen för automatiserade beslut inklusive profilering med stöd av bestämmelserna i patientdatalagen om individinriktad vård och behandling.

Swedish Medtech anser att det råder oklarhet om huruvida artikel 22.1 i dataskyddsförordningen enbart är grundad på profilering. Swedish

Medtechs tolkning är att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, däri inbegripet, dvs. inklusive, profilering. Då det sker en väldigt snabb utveckling kring automatiserat beslutsfattande baserat på

Prop. 2017/18:171 individuella data inom vården i dag, framhåller Swedish Medtech att

behov finns att få till stånd ett klargörande.

Skälen för regeringens bedömning

Information som ska lämnas självmant

Regleringen i dataskyddsförordningen I dataskyddsförordningen har den registrerades rättigheter förstärkts i syfte att ge denne ökad kontroll över sina personuppgifter.

Av artikel 13.1 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om den personuppgiftsansvarige, dataskyddsombudet, ändamål och rättslig grund för behandlingen, de intressen som en eventuell behandling som sker med stöd av en intresseavvägning enligt artikel 6.1 f baseras på, mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt uppgifter om överföring till tredjeland eller en internationell organisation.

Vidare följer av artikel 13.2 i dataskyddsförordningen att information ska lämnas om lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och dataportabilitet, rätten att – om behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a – när som helst återkalla samtycket utan att detta påverkar lagligheten av behandling som skett innan samtycket återkallades, rätten att inge klagomål till en tillsynsmyndighet, uppgift om huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och följderna av att uppgifterna inte lämnas samt uppgift om automatiserat beslutsfattande, inbegripet profilering.

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de samlades in, ska den personuppgiftsansvarige enligt artikel 13.3 i dataskyddsförordningen före den behandlingen ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

Punkterna 1, 2 och 3 ska enligt artikel 13.4 i dataskyddsförordningen inte tillämpas om den registrerade redan förfogar över informationen.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Utöver den information som anges i artikel 13 ska även information om de kategorier av personuppgifter som behandlingen gäller lämnas (artikel 14.1 d). I stället för information om skyldigheten att tillhandahålla personuppgifterna gäller att information ska lämnas om varifrån uppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor (artikel 14.2 f).

När det gäller den tidpunkt inom vilken informationen ska lämnas anges i artikel 14.3 i dataskyddsförordningen att den personuppgiftsansvarige ska lämna informationen inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas. Det finns också möjlighet att lämna information först vid tid-

punkten för den första kommunikationen med den registrerade eller först Prop. 2017/18:171 när personuppgifterna lämnas ut för första gången.

Av artikel 14.5 framgår att information inte behöver lämnas om den registrerade redan har tillgång till informationen. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån informationsskyldigheten sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga skyddsåtgärder. Om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, behöver information inte heller lämnas. Information ska inte heller lämnas om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

Av artikel 12.1 i dataskyddsförordningen följer att den personuppgiftsansvarige ska tillhandahålla informationen som avses i artiklarna 13 och 14 i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

Regleringen i den föreslagna dataskyddslagen Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 13) att artiklarna 13–15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller författning eller enligt beslut som har meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400), se förslag till 5 kap. 1 § dataskyddslagen.

Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen Dataskyddsförordningens bestämmelser om information är mer utförliga än de som finns i artikel 10 och 11 i dataskyddsdirektivet. Den registrerade har således en rätt att få mer information än vad som gäller enligt dataskyddsdirektivet. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett samtycke och rätten att inge klagomål är exempel på information som tillkommit. En annan nyhet är att den personuppgiftsansvarige är skyldig att informera innan denne ytterligare behandlar personuppgifterna för ett annat syfte än det för vilket de samlades in.

Prop. 2017/18:171 Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet är att informationen ska lämnas vid tiden för registreringen, medan dataskyddsförordningen föreskriver att det ska ske inom en rimlig tid från erhållandet av uppgifterna. Enligt dataskyddsförordningen finns det också möjlighet att informera först i samband med den första kommunikationen med den registrerade.

Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form information ska lämnas saknar motsvarighet i dataskyddsdirektivet.

Bestämmelser i registerförfattningar om att information utöver vad som följer av dataskyddsförordningen ska lämnas självmant Det förekommer att det i registerförfattningar finns bestämmelser som preciserar personuppgiftslagens reglering av vilken information den personuppgiftsansvarige självmant på ett eller annat sätt ska lämna till den registrerade. Bestämmelserna har införts för att det ska bli tydligare vilken information som ska lämnas (se t.ex. prop. 2008/09:145 s. 363 och prop. 2007/08:126 s. 208).

Regeringen anser i likhet med Socialdataskyddsutredningens bedömning att sådana bestämmelser i registerförfattningar som innebär att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan behållas i de fall den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se avsnitt 6.1).

Om bestämmelserna kräver att informationen ska innehålla sådana upplysningar som ska lämnas enligt dataskyddsförordningens bestämmelser om information, så bör enligt regeringens bedömning dessa krav tas bort. Att bestämmelserna rensas på informationskrav innebär inte någon skillnad i sak, eftersom samma krav gäller enligt dataskyddsförordningen. För att bestämmelserna om information i registerförfattningarna inte ska leda till den felaktiga slutsatsen att de reglerar all den information som behöver lämnas självmant, bör bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen. Hänvisningen till dataskyddsförordningens bestämmelser om information bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelserna, eftersom det bara gäller en upplysning och dataskyddsförordningen är direkt tillämplig.

Information som ska lämnas på begäran (registerutdrag)

Regleringen i dataskyddsförordningen Den registrerades rätt till tillgång regleras i artikel 15 i dataskyddsförordningen. Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. Den registrerade har också rätt till viss information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller,

mottagarna eller de kategorier av mottagare till vilka personuppgifterna Prop. 2017/18:171 lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet, varifrån uppgifterna kommer samt automatiserat beslutsfattande, inbegripet profilering.

I artikel 15.2 stadgas att om personuppgifterna överförs till tredjeland eller till en internationell organisation ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

Den personuppgiftsansvarige ska enligt artikel 15.3 i dataskyddsförordningen förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form, ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Av skäl 63 i dataskyddsförordningen framgår bl.a. att den registrerade bör kunna utöva sin rätt att få tillgång med rimliga intervall.

Enligt artikel 12.1 i dataskyddsförordningen ska informationen tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. I artikel 12 i dataskyddsförordningen finns även vissa andra krav som den personuppgiftsansvarige ska iaktta, bl.a. avseende den tid inom vilken information ska lämnas till den registrerade. Där finns också en bestämmelse om att den personuppgiftsansvarige har möjlighet att ta ut en avgift eller vägra att tillmötesgå en begäran enligt artikel 15 i dataskyddsförordningen, om denna är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art.

Regleringen i den föreslagna dataskyddslagen Regeringen föreslår i propositionen Ny dataskyddslag (avsnitt 13) att artikel 15 i EU:s dataskyddsförordning inte gäller personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller inte om uppgifterna har lämnats ut till tredje part eller om de behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning (5 kap. 2 § dataskyddslagen).

Rätten till rättelse, radering och begränsning av behandling

Den registrerade har enligt dataskyddsförordningen rätt till rättelse (artikel 16), rätt till radering (artikel 17) och rätt till begränsning av behandling (artikel 18). Det finns inte någon definition av begreppet radering i dataskyddsförordningen. Det finns inte heller något i skälen till dataskyddsförordningen om vad som avses med begreppet. Begreppet får

Prop. 2017/18:171 enligt vanligt språkbruk anses innebära samma sak som begreppet

utplåning som används i dataskyddsdirektivet. Rätten till radering är dock betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet.

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Rätten till komplettering är ny i förhållande till dataskyddsdirektivet.

Rätten till radering, också kallad rätten att bli bortglömd, följer av artikel 17 i dataskyddsförordningen. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d) Personuppgifterna har behandlats på olagligt sätt.

e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

I artikel 17.2 anges att om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

Rättigheten är inte obegränsad. Av artikel 17.3 följer att punkterna 1 och 2 i artikel 17 inte ska gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a) För att utöva rätten till yttrande- och informationsfrihet.

b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska Prop. 2017/18:171 forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, vilket har ersatt den åtgärd som enligt dataskyddsdirektivet benämns som blockering. Den registrerade har rätt att kräva att behandlingen begränsas om han eller hon bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga (artikel 18.1 a). Begränsning kan också krävas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning (artikel 18.1 b). Om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, kan den registrerade kräva att behandlingen begränsas om han eller hon behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 18.1 c). Slutligen kan begränsning krävas om den registrerade har invänt mot behandling i enlighet med artikel 21.1 i dataskyddsförordningen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).

Av artikel 18.2 i dataskyddsförordningen följer att om behandlingen har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Vidare anges i artikel 18.3 i dataskyddsförordningen att en registrerad som har fått behandling begränsad ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör. Bestämmelserna innebär i förhållande till dataskyddsdirektivet bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.

Slutligen, enligt artikel 19 i dataskyddsförordningen, ska den personuppgiftsansvarige underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse eller radering av personuppgifter eller begränsning av behandling som skett i enlighet med artikel 16, 17.1 och 18 i dataskyddsförordningen, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Det motsvarar i huvudsak vad som gäller enligt dataskyddsdirektivet. Den personuppgiftsansvarige ska på den registrerades begäran dessutom informera den registrerade om dessa mottagare. Detta är en nyhet i förhållande till dataskyddsdirektivet.

I artikel 12 i dataskyddsförordningen finns det bestämmelser om bl.a. tidsfrister för att informera den registrerade om vad som hänt med anledning av en begäran om en åtgärd.

Prop. 2017/18:171 Dataskyddsdirektivets reglering av dessa rättigheter är inte alls lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga. Enligt artikel 12 c i dataskyddsdirektivet ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning. Dataskyddsdirektivets bestämmelser har kommit till uttryck i 28 § personuppgiftslagen som anger att personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen, på begäran av den registrerade snarast ska rättas, blockeras eller utplånas.

Registerförfattningar innehåller sällan några särskilt utformade bestämmelser om rättelse utan hänvisar i stället till personuppgiftslagens bestämmelser. När registerförfattningarna hänvisar till personuppgiftslagens bestämmelser om rättelse avses även åtgärderna blockering och utplåning. Skälet till att det i registerförfattningar ofta finns en hänvisning till personuppgiftslagens bestämmelser om rättelse är att bestämmelserna annars inte skulle vara tillämpliga, eftersom 28 § personuppgiftslagen enligt sin ordalydelse endast gäller personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. För att bestämmelserna ska vara tillämpliga även när personuppgifter behandlats i strid med registerförfattningar, krävs därför att de anges gälla på motsvarande sätt vid behandling av personuppgifter enligt den aktuella författningen.

Bestämmelser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om rättelse kan inte behållas när personuppgiftslagen upphävs. Eftersom dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga och inte specifikt begränsade till behandling i strid med dataskyddsförordningen, behövs det ingen hänvisning till dessa bestämmelser. Bestämmelser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Rätten att göra invändningar

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling är nödvändig för att utföra uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges respektive myndighetsutövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen,

rättigheter och friheter eller om det sker för fastställande, utövande eller Prop. 2017/18:171 försvar av rättsliga anspråk.

En betydande skillnad mellan dataskyddsförordningen och dataskyddsdirektivet är möjligheten att i nationell rätt reglera undantag från rätten att motsätta sig behandlingen. Enligt dataskyddsdirektivet gäller rätten att motsätta sig behandling utom när den nationella lagstiftningen föreskriver något annat. Några särskilda villkor för att införa sådana begränsningar i nationell rätt ställs inte upp. Medlemsstaterna har, såsom vi tolkat dataskyddsdirektivet i Sverige, därför enkelt kunnat reglera bort rättigheten i nationell rätt.

Enligt artikel 23.1 dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett antal olika mål som anges i punkterna a–j.

Medlemsstaterna kan således inte längre genom generella bestämmelser begränsa rätten att invända mot behandling. Eventuella nationella begränsningar måste i stället utgå från avvägningar i fråga om nödvändighet och proportionalitet samt grunda sig på något av de mål som anges i artikel 23.1 i dataskyddsförordningen.

Rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering

I artikel 22 i dataskyddsförordningen finns det bestämmelser om automatiserat beslutsfattande, inbegripet profilering. Enligt artikel 22.1 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

Profilering definieras i artikel 4.4 i dataskyddsförordningen som ”varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”.

Enligt skäl 71 i dataskyddsförordningen kan det röra sig om t.ex. ”ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ’profilering’ i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan

Prop. 2017/18:171 rörande honom eller henne eller på liknande sätt i betydande grad på-

verkar honom eller henne”.

I dataskyddsdirektivet finns motsvarande bestämmelser om automatiserade beslut, där kallade databehandlade beslut. Av artikel 15.1 i dataskyddsdirektivet framgår att medlemsstaterna ska ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande.

Det framgår inte tydligt om det finns en skillnad i tillämpningsområdet mellan artikel 22.1 i dataskyddsförordningen och artikel 15.1 i dataskyddsdirektivet. Artikel 15.1 i dataskyddsdirektivet omfattar enbart beslut som grundas på profilering medan formuleringen ”beslut som enbart grundas på automatiserad behandling, inbegripet profilering,” i artikel 22.1 i dataskyddsförordningen kan tolkas som att artikeln omfattar även andra beslut än sådana som grundas enbart på profilering.

Även skäl 71 i dataskyddsförordningen är otydligt i fråga om vad som avses. I den uppräkning av rättigheter som kan begränsas enligt artikel 23 i dataskyddsförordningen som finns i skäl 73 nämns däremot endast profileringsbaserade beslut. Enligt Socialdataskyddsutredningen tyder detta på att det bara är beslut grundade enbart på profilering som avses i artikel 22.1 i dataskyddsförordningen. Även kommissionens förslag till dataskyddsförordning (artikel 20) gällde endast åtgärder på grundval av profilering och frågans hantering därefter antyder inte att någon förändring i förhållande till dataskyddsdirektivet är avsedd. Socialdataskyddsutredningen utgår därför från att artikel 22.1 i dataskyddsförordningen omfattar bara sådana beslut som grundas enbart på automatiserad behandling som inkluderar profilering.

Enligt artikel 22.2 ska artikel 22.1 inte tillämpas om beslutet: a) är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, b) tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller c) grundar sig på den registrerades uttryckliga samtycke.

I de fall det är tillåtet att fatta automatiserade beslut med anledning av ett avtal eller med stöd av samtycke, ska den personuppgiftsansvarige enligt artikel 22.3 i dataskyddsförordningen genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna uttrycka sin åsikt och bestrida beslutet.

Beslut får enligt artikel 22.4 i dataskyddsförordningen grunda sig på känsliga personuppgifter endast om behandlingen sker med stöd av artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.

Lämpliga skyddsåtgärder bör enligt skäl 71 i dataskyddsförordningen inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.

Vidare anges i skäl 71 ytterligare åtgärder för att skydda den registrerade: Prop. 2017/18:171 ”I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bl.a. diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter.”

Att ett beslut enligt dataskyddsförordningen kan fattas automatiserat med stöd av samtycke från den registrerade är en nyhet i förhållande till dataskyddsdirektivet. Begränsningen i fråga om känsliga personuppgifter är också ny i förhållande till dataskyddsdirektivet.

Dataskyddsdirektivets bestämmelser har kommit till uttryck i 29 § personuppgiftslagen, där det anges att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut har enligt paragrafens andra stycke rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.

Socialdataskyddsutredningen bedömer att i den mån det inom Socialdepartementets verksamhetsområde förekommer beslut som grundas enbart på automatiserad behandling och inkluderar profilering, krävs det att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Utredningen anser att det dock är vanligare att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt Socialdataskyddsutredningens tolkning inte av artikel 22 i dataskyddsförordningen och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande regleras särskilt. Det krävs då endast att behandlingen av personuppgifter som sådan är tillåten enligt gällande dataskyddslagstiftning.

Swedish Medtech anser att det råder oklarhet i om artikel 22.1 i dataskyddsförordningen enbart är grundat på profilering och tolkar att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, däri inbegripet, dvs. inklusive, profilering. Örebro läns landsting, Sveriges Kommuner och Landsting och Inera AB anser att det med stöd av artikel 23 i dataskyddsförordningen behöver införas en bestämmelse i patientdatalagen som gör det möjligt för vårdgivare att fatta automatiserade beslut, inbegripet profilering, för individnära vård och behandling. Inom intensivvården på sjukhus används i dag övervakningssystem i form av medicintekniska produkter som monitorerar en patients blodtryck, hjärta, blodvärden m.m. I dagsläget används det visserligen inte några helautomatiska system som både övervakar vitalparametrar och som baserat på tröskel-

Prop. 2017/18:171 värden automatiskt injicerar läkemedel. Det utesluter dock inte tillkom-

sten av sådana lösningar i en nära framtid.

Socialdataskyddsutredningen gör bedömningen att artikel 22.1 enbart omfattar beslut baserade på profilering och att annan automatiserad beslutsfattning är tillåten. Swedish Medtech tolkar att artikel 22.1 omfattar all sorts automatiserad beslutsfattning, inbegripet profilering, dvs. inklusive beslut baserade på profilering. Vad som anförts talar dock för att avsikten med artikel 22 i dataskyddsförordningen är att endast omfatta automatiserade beslut som innefattar profilering. Någon säker slutsats kan dock i avsaknad av praxis inte dras i denna fråga.

För den personuppgiftsbehandling som förekommer i olika verksamheter bör den behandling som i dag är laglig kunna fortsätta. Ändringar i förutsättningar för att ytterligare behandla personuppgifter får övervägas i annan ordning. Detta lagstiftningsärende får därför avgränsas till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordning. Frågor som rör tolkningen av eller tillämpningen av dataskyddsförordningens direkt tillämpliga bestämmelser görs inte annat än i samband med resonemang kring behovet och lämplighet av kompletterande bestämmelser.

I fråga om det som remissinstanserna Örebro läns landsting, Sveriges

Kommuner och Landsting och Inera AB framför att det med stöd av artikel 23 i dataskyddsförordningen behöver införas en bestämmelse i patientdatalagen, anser regeringen att detta inte kan föreslås inom ramen för detta lagstiftningsärende. Det saknas beredningsunderlag för att bedöma behovet och konsekvenserna av en sådan ändring i patientdatalagen. Vidare kan det vara så att även andra frågor skulle behöva utredas vad gäller automatiserade beslut, inbegripet profilering, för individnära vård och behandling.

Hänvisningar till S6-8-1

6.8.2. Begränsningar av den registrerades rättigheter

Regeringens bedömning: Bestämmelser i registerförfattningar om begränsningar av andra rättigheter för registrerade än rätten att göra invändningar kan och bör behållas. Bestämmelser i registerförfattningar om begränsningar av den registrerades rätt att göra invändningar enligt artikel 21 i EU:s dataskyddsförordning kan och bör behållas om de efter en prövning i varje enskilt fall bedöms tillåtna enligt artikel 23.1.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att det inte är förenligt med dataskyddsförordningen att förutsätta att sådana bedömningar som krävs enligt artikel 23 har gjorts i tidigare lagstiftningsarbeten. Utredningen utgår från att sådana begränsningar av registrerades rättigheter som finns i befintliga registerförfattningar uppfyller de krav som ställs på begränsningar av registrerades rättigheter i artikel 23 i dataskyddsförordningen eftersom

dataskyddsdirektivet ställde liknande krav på begränsning av regi- Prop. 2017/18:171 strerades rättigheter. Datainspektionen anser att den tidigare avvägningen måste identifieras och analyseras tillsammans med de befintliga omständigheterna för att en bedömning enligt artikel 23 i dataskyddsförordningen ska kunna göras.

Helsingborgs kommun anser att utredningens bedömning vad gäller begränsning av enskildas rätt att invända mot behandling av personuppgifter i socialtjänsten är rimlig. Det finns ett starkt allmänt intresse av att ha en effektiv handläggning hos socialtjänsten, och en enskilds möjlighet att invända mot behandling av personuppgifter skulle motverka det intresset. Det allmännas intresse av att handläggningen sker effektivt bör väga tyngre när det gäller socialtjänstens verksamhet. Begränsningen av den enskildes rättigheter får därmed anses vara nödvändig och proportionerlig i detta fall.

Skälen för regeringens bedömning

Möjlighet till undantag

Enligt artikel 23.1 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett antal olika mål som anges i punkterna a–j.

En begränsning enligt artikel 23.1 i dataskyddsförordningen måste dock uppfylla vissa krav. Enligt artikel 23.2 i dataskyddsförordningen ska en lagstiftningsåtgärd som begränsar rättigheter och skyldigheter som följer av dataskyddsförordningen innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter, och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

En liknande bestämmelse om möjlighet till begränsning av omfattningen av skyldigheter och rättigheter finns i artikel 13 i dataskyddsdirektivet. I den bestämmelsen anges i och för sig inte något om att begränsningen ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna eller att åtgärden ska vara proportionell i ett demokratiskt samhälle. Det får dock förutsättas att begränsningar av den personuppgiftsansvariges skyldigheter inte heller enligt dataskydds-

Prop. 2017/18:171 direktivet får göras i strid med grundläggande rättigheter och friheter

eller vara oproportionella.

Europakonventionen nämns också i skäl 1 i dataskyddsdirektivet. Av Europarådets dataskyddskonvention följer vidare att lagstadgade begränsningar måste vara en nödvändig åtgärd i ett demokratiskt samhälle.

En större skillnad mellan dataskyddsförordningen och dataskyddsdirektivet är att uppräkningen av de intressen som en begränsning måste syfta till att säkerställa har utökats i dataskyddsförordningen.

Dessutom har vissa av de befintliga intressena formulerats om. Artikel 13.1 e i dataskyddsdirektivet omfattar endast viktiga ekonomiska eller finansiella intressen, medan artikel 23.1 e i dataskyddsförordningen även tar upp andra viktiga mål av generellt allmänt intresse. Uppräkningen i den punkten är inte heller längre uttömmande utan även andra mål kan omfattas. Samtidigt har ordalydelsen i 23.1 e ändrats från att en begränsning ska vara nödvändig med hänsyn till ett viktigt (ekonomiskt eller finansiellt) intresse till ett viktigt mål av generellt allmänt intresse. I avsaknad av ytterligare tolkningsdata går det inte att dra några säkra slutsatser om huruvida detta innebär att det krävs något annat än vad som följer av begreppet allmänt intresse som används i t.ex. artikel 6.1 e i dataskyddsförordningen. Socialdataskyddsutredningen bedömer att utrymmet för begränsningar enligt artikel 23.1 e i dataskyddsförordningen i vart fall är större än enligt motsvarande reglering i dataskyddsdirektivet, eftersom bestämmelsen inte längre enbart omfattar ekonomiska och finansiella intressen. Regeringen instämmer i denna bedömning.

I artikel 23.1 g i dataskyddsförordningen har, i förhållande till dataskyddsdirektivet när det gäller överträdelser av etiska regler, förhindrande och utredning av överträdelser lagts till medan undersökning tagits bort. Begreppen utredning och undersökning torde ha samma innebörd. Tillägget av förhindrande av överträdelser innebär en utökning i förhållande till dataskyddsdirektivet.

När det gäller tillsyns-, inspektions- eller regleringsfunktioner som nämns i artikel 23.1 h i dataskyddsförordningen har dataskyddsdirektivets formulering att bestämmelsen gäller även om funktionen är av övergående karaktär bytts ut mot formuleringen även i enstaka fall. Socialdataskyddsutredningen bedömer, i avsaknad av klargörande skäl, att någon ändring i sak inte är avsedd. Formuleringen i artikel 23.1 i i dataskyddsförordningen är densamma som i dataskyddsdirektivet. Regeringen instämmer i denna bedömning.

Möjligheterna att begränsa den registrerades rättigheter, när det gäller de intressen som är aktuella inom Socialdepartementets verksamhetsområde, är desamma för vissa av punkterna medan de för andra punkter är något utökade jämfört med vad som gäller enligt dataskyddsdirektivet. Kravet i dataskyddsförordningen på att lagstiftningsåtgärder med begränsningar ska, när det är relevant, innehålla specifika bestämmelser i vissa uppräknade avseenden saknar motsvarighet i dataskyddsdirektivet.

Allmänna utgångspunkter för undantag

Som framgått får den registrerade vissa nya rättigheter med dataskyddsförordningen. De nya rättigheterna för registrerade förhindrar inte den behandling som får ske enligt registerförfattningarna. Däremot uppställs

nya administrativa krav på de personuppgiftsansvariga. Dessa nya krav Prop. 2017/18:171 kan normalt sett inte anses så betungande att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Det bör därför inte finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen. När det gäller dataskyddsförordningens reglering av information, tillgång, rättelse, radering och begränsning av behandling har det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de nyheter som dataskyddsförordningen innebär. Dataskyddsförordningens reglering bör därför som utgångspunkt gälla. Om däremot ett nytt krav kan anses alldeles särskilt betungande för en specifik verksamhet, bör en begränsning av de nya rättigheterna övervägas.

Det förekommer bestämmelser i registerförfattningar som begränsar de rättigheter som registrerade har i dag enligt dataskyddsdirektivet och personuppgiftslagen. Det kan gälla t.ex. en begränsning av rätten till registerutdrag eller en bestämmelse om att behandling som är tillåten enligt författningen får utföras även om den registrerade motsätter sig den, dvs. en begränsning av rätten att göra invändningar.

De krav på själva begränsningen – syftet med begränsningen, nödvändig och proportionell åtgärd och respekt för andemeningen i de grundläggande rättigheterna – som gäller enligt dataskyddsförordningen är som framgått i vart fall inte snävare än enligt dataskyddsdirektivet. De bedömningar som gjorts när begränsningarna infördes bör godtas. De bestämmelser i registerförfattningar som begränsar registrerades rättigheter i förhållande till dem som finns enligt dataskyddsförordningen är tillåtna, utom när det gäller rätten till invändningar.

Begränsning av den registrerades rätt att göra invändningar

Vad gäller registerförfattningar inom Socialdepartementets verksamhetsområde anser regeringen att registerförfattningar som innehåller en begränsning av den registrerades rätt att göra invändningar reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.

Ett nytt krav för begränsningar enligt dataskyddsförordningen (artikel 23.2) är att lagstiftningsåtgärden, när det är relevant, också ska innehålla specifika bestämmelser i vissa uppräknade avseenden, nämligen ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

Registerförfattningar med begränsningar innehåller regelmässigt också bestämmelser i de allra flesta avseenden som räknas upp i artikel 23.2 i dataskyddsförordningen. Sådana registerförfattningar har införts efter

Prop. 2017/18:171 noggranna överväganden av vilka bestämmelser, utöver dem som finns i

personuppgiftslagen, som är relevanta i sammanhanget. De bedömningar om legalitetsprincipen och Europakonventionen som görs i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 8.2) och som regeringen gör i denna proposition, avsnitt 6.5.1, bör tillmätas motsvarande betydelse i fråga om begränsningar i rätten att göra invändningar i de sektorsspecifika registerförfattningarna inom Socialdepartementets verksamhetsområde.

Det har ansetts att en begränsning av rätten att göra invändningar enligt dataskyddsdirektivet bara förutsätter att det finns en författningsbestämmelse om det. Bestämmelser i registerförfattningar om en sådan begränsning har därför normalt inte föregåtts av en sådan prövning som den som måste göras enligt artikel 23.1 i dataskyddsförordningen. I fråga om sådana bestämmelser har Socialdataskyddsutredningen genomfört en prövning, i de fall det enligt artikel 21 i dataskyddsförordningen finns en rätt till invändningar, dvs. när den reglerade behandlingen grundar sig på att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (eller klarar en intresseavvägning). Detta gäller patientdatalagen (avsnitt 10.1.5 i SOU 2017:66 och i fråga om nationella och regionala kvalitetsregister avsnitt 10.1.16 i nämnda SOU), apoteksdatalagen (avsnitt 10.5.4 i nämnda SOU), lagen om behandling av personuppgifter i ärenden om licens för läkemedel (avsnitt 10.7.4 i nämnda SOU), lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 10.9.4 i nämnda SOU), socialförsäkringsbalken (avsnitt 10.13.2 i nämnda SOU), lagen om receptregister (avsnitt 11.1.4 i nämnda SOU) och lagen om register över nationella vaccinationsprogram (avsnitt 11.7.3 i nämnda SOU). Socialdataskyddsutredningens prövning av om begränsning är tillåten enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsförordningen i förhållande till varje enskild registerförfattning har lett till utredningens slutsats att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett. Regeringen instämmer i de bedömningar som gjorts avseende ovannämnda lagar.

I fråga om patientdatalagen så bedömer regeringen i likhet med Socialdataskyddsutredningen att personuppgiftsbehandling i stora delar av lagen utförs för att fullgöra rättslig förpliktelse. I sådana fall gäller inte den registrerades rätt att invända enligt artikel 21.1 (se avsnitt 10.1.5, 10.1.7, 10.1.13 samt 10.1.16 i nämnda SOU). Vad gäller skyldigheten att föra registret avseende biobanker så är det en rättslig förpliktelse (se avsnitt 12.1.2 nämnda SOU). Detta gäller även registret över blodverksamhet (se avsnitt 12.3.3 nämnda SOU), register som förs enligt lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler (se avsnitt 12.4.3 nämnda SOU), register som förs enligt lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ (se avsnitt 12.5.3 nämnda SOU), register som förs enligt patientsäkerhetslagen (se avsnitt 12.6.2 nämnda SOU) och register som förs enligt alkohollagen (se avsnitt 12.12.2 nämnda SOU). I sådana fall gäller inte den registrerades rätt att invända enligt artikel 21.1.

I andra lagar kan stödet för behandlingen av personuppgifter anses vara även fullgörande av rättslig förpliktelse. I sådana fall gäller inte rätten att invända enligt artikel 21.1. Detta gäller apoteksdatalagen (se avsnitt

10.5.4 och 10.5.6 nämnda SOU) och lagen om läkemedelsförteckning (se Prop. 2017/18:171 avsnitt 11.3.5 och 11.3.6 nämnda SOU). Likaså gäller detta personuppgiftsbehandling i form av uppgiftsutlämnande som föreskrivs i lag eller förordning (se 6 § andra stycket lagen om behandling av personuppgifter inom socialtjänsten, jfr avsnitt 10.9.3 och 10.9.4 nämnda SOU). Det gäller också uppgiftsskyldigheter enligt lagen om receptregister (jfr avsnitt 11.1.4 och 11.1.5 nämnda SOU), lagen om register över nationella vaccinationsprogram (se avsnitt 11.7.5 nämnda SOU), lagen om biobanker i hälso- och sjukvård m.m. (se avsnitt 12.1.5 nämnda SOU) och lagen om genetisk integritet m.m. (se avsnitt 12.2.3 och 12.2.4 nämnda SOU).

Lagen om hälsodataregister och ett antal förordningar reglerar olika slag av s.k. hälsodataregister. Enligt förarbetena till lagen om hälsodataregister är avsikten att de frågor som är gemensamma för alla hälsodataregister ska regleras i en lag medan närmare föreskrifter om enskilda hälsodataregister ska meddelas av regeringen inom de ramar som lagen drar upp (prop. 1997/98:108 s. 44). I 12 § lagen om hälsodataregister bemyndigas därför regeringen att meddela föreskrifter som medför begränsningar av sådan behandling av personuppgifter som är tillåten enligt lagen om hälsodataregister. I förarbetena till lagen om hälsodataregister bedöms samtliga ändamål vara av ett högt samhälleligt intresse (prop. 1997/98:108 s. 48). Socialdataskyddsutredningen bedömer att ändamålen därmed får anses ha grund i ett allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Det bör noteras att vad gäller bestämmelser om uppgiftsskyldighet i lagen om hälsodataregister och förordningarna så är det fråga om fullgörande av rättslig förpliktelse.

I hälsodataregistren finns endast en paragraf som reglerar behandlingen och frågan om den registrerades inställning. I 5 § förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län anges att personuppgifter inte får behandlas i registret om den registrerade motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. Socialdataskyddsutredningen bedömer att bestämmelsen i 5 § förordningen inte behöver ändras och anför bl.a. följande. Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter när det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. I det här fallet har regeringen ansett att den registrerades intressen väger tyngre än Socialstyrelsens intresse av att samla in uppgifter till ett register (se avsnitt 11.6.7 nämnda SOU). Regeringen noterar att registret numera inte torde användas och det bör därför övervägas om förordningen ska upphävas.

6.9. Skyddsåtgärder

6.9.1. Den generella regleringen av åtgärder som begränsar behandlingen av personuppgifter

Av artikel 6.1 c i dataskyddsdirektivet framgår att behandlade personuppgifter ska vara adekvata och relevanta och att de inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Artikeln har kommit till uttryck i 9 § e och f personuppgiftslagen. Samma princip finns i artikel 5.1 c i dataskyddsförordningen (principen om uppgiftsminimering). Där anges att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

En annan grundläggande princip enligt dataskyddsförordningen är att den personuppgiftsansvarige enligt artikel 5.1 f ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling, med invändning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet).

En allmän bestämmelse om den personuppgiftsansvariges ansvar finns i artikel 24 i dataskyddsförordningen. Av den följer att den personuppgiftsansvarige, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Vidare anges att om det står i proportion till behandlingen, ska åtgärderna omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

En precisering av det nämnda ansvaret finns i artikel 25 i dataskyddsförordningen som handlar om inbyggt dataskydd och dataskydd som standard. Enligt den artikeln ska den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder såsom pseudonymisering. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Åtgärderna ska vidtas både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen.

Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

I artikel 32 i dataskyddsförordningen anges att med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art,

omfattning, sammanhang och ändamål samt riskerna, av varierande Prop. 2017/18:171 sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Enligt artikel 32.2 ska vid bedömningen av lämplig säkerhetsnivå särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Vidare ska enligt artikel 32.4 den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Även enligt dataskyddsdirektivet gäller att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Enligt artikel 17 i dataskyddsdirektivet ska sådana åtgärder vidtas för att skydda personuppgifter mot bl.a. otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk. Av artikel 16 i dataskyddsdirektivet framgår att den som får tillgång till personuppgifter med anledning av sitt arbete, får behandla uppgifterna endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag. Bestämmelserna har kommit till uttryck i 30 och 31 §§personuppgiftslagen.

Att integritet och konfidentialitet finns med bland de allmänna principerna i artikel 5 i dataskyddsförordningen är en nyhet i förhållande till dataskyddsdirektivet. Bestämmelserna om säkerhet i dataskyddsdirektivet har liknande innehåll som de i dataskyddsförordningen men är mer allmänt hållna.

Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Åtgärderna får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som

Prop. 2017/18:171 inte medger eller inte längre medger identifiering av de registrerade ska

ändamålen uppfyllas på det sättet.

Artikel 89.1 i dataskyddsförordningen preciserar de mer allmänna bestämmelserna om skyddsåtgärder som nämnts ovan, bl.a. genom att ange att den personuppgiftsansvarige i första hand ska överväga om det är möjligt att behandla sådana uppgifter som inte medger identifiering av de registrerade. Detta kan dock anses följa redan av den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt de allmänna bestämmelserna om säkerhet.

I dataskyddsdirektivet är formuleringen angående skyddsåtgärder för historiska, statistiska eller vetenskapliga ändamål något annorlunda. I artikel 6.1 b i dataskyddsdirektivet anges att senare behandling för historiska, statistiska eller vetenskapliga ändamål förutsätter att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen (se avsnitt 6.1).

För behandling av känsliga personuppgifter med stöd av artikel 9.1 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet. Även i artikel 87 i dataskyddsförordningen talas det om lämpliga skyddsåtgärder i fråga om behandling av ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering.

Nationell lagstiftning om skyddsåtgärder kan vidare vara nödvändig för att en begränsning av den registrerades rättigheter ska få göras (se avsnitt 6.8.2). Olika skyddsåtgärder är således inte bara något som kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.

6.9.2. Bestämmelser om skyddsåtgärder i registerförfattningar

Regeringens bedömning: Bestämmelser i registerförfattningar om olika former av åtgärder som kan anses utgöra skyddsåtgärder behöver inte ändras. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c eller e i EU:s dataskyddsförordning eller om behandlingen av uppgifterna grundar sig på artikel 9.2 g, i eller j eller artikel 10 i dataskyddsförordningen.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens bedömning förutom att begreppet åtgärder eller skyddsåtgärder i regel används i stället för säkerhetsåtgärd.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder Prop. 2017/18:171 inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen påpekar att skyddsåtgärder och säkerhetsåtgärder inte är synonyma begrepp. Skyddsåtgärder är ett vidare begrepp. Som exempel kan anges att det inte är en säkerhetsåtgärd att tillmäta den registrerades inställning till en behandling betydelse, medan den registrerades inställning däremot kan anses utgöra en skyddsåtgärd.

Datainspektionen delar uppfattningen att den registrerades inställning till en behandling är en viktig skyddsåtgärd. Att en behandling får ske med den enskildes medgivande är integritetshöjande och används vidare än samtycke i övrigt, bl.a. ges patienten ett viktigt inflytande vid sammanhållen journalföring. Enligt bestämmelserna om sammanhållen journalföring kan vårdpersonal tillfråga patienten om denne godtar att vårdgivaren tar del av andra vårdgivares uppgifter om patienten. Det är en ojämlik situation där patienten är i beroendeställning. Enligt Datainspektionen hindrar det emellertid inte att samtycket används som integritetshöjande åtgärd eftersom begränsningen enligt skäl 43 att använda samtycke i ojämlika situationer avser samtycke som utgör giltig rättslig grund för behandling av personuppgifter. Eftersom vårdgivare har andra rättsliga grunder som stöd för sin behandling av patientuppgifter inom hälso- och sjukvården kan ett integritetshöjande samtycke användas oavsett att relationen är ojämlik. Det kan emellertid vara svårt för såväl den registrerade som den personuppgiftsansvarige att skilja på samtycke som utgör rättslig grund för behandling av personuppgifter och integritetshöjande samtycke. Datainspektionen anser därför att lagstiftaren bör överväga om inte ett annat ord bör införas för det integritetshöjande samtycket såsom exempelvis godkännande, som utredningen nämner, eller medgivande, som Datainspektionen föreslog i remissvaret gällande Nationella läkemedelslistan. Oavsett vilket ord som används är det viktigt att det tydliggörs vilken form av samtycke som lagstiftaren avser. Ett integritetshöjande samtycke måste ha en annan rättslig grund och stöd för behandling av känsliga personuppgifter.

Pensionsmyndigheten anför att begreppet socialförsäkringsdatabasen på sikt bör utmönstras ur lagstiftningen då det enbart är fråga om ett teoretiskt begrepp som betecknar uppgiftsmängder till vilka Pensionsmyndigheten och Försäkringskassan får ha direktåtkomst. I själva verket består socialförsäkringsdatabasen av en stor mängd personuppgifter som behandlas av båda myndigheterna inom respektive verksamhet. Dessa uppgiftsmängder är inte avgränsade på ett sådant sätt att det finns fog för att tala om en socialförsäkringsdatabas. Regleringen av respektive myndighets personuppgiftsansvar gör att begreppet framstår som än mer missvisande.

Skälen för regeringens bedömning

Begreppen skyddsåtgärd och säkerhetsåtgärd

I dataskyddsförordningen används orden skyddsåtgärd och säkerhetsåtgärd. Det saknas en definition, utan begreppen får sitt innehåll i det sammanhang där de används eller genom de åtgärder som kan vidtas för att t.ex. säkerställa uppgifternas säkerhet. I vissa artiklar används endast

Prop. 2017/18:171 formuleringar som lämpliga och särskilda åtgärder, t.ex. artikel 9.2 g och

i i dataskyddsförordningen. Vidare används ordet säkerhetsåtgärder i artikel 10 som likvärdigt med straffprocessuella tvångsmedel.

Regeringen instämmer i Datainspektionens påpekande att skyddsåtgärder och säkerhetsåtgärder inte är synonyma, utan att skyddsåtgärder är ett vidare begrepp. Enligt regeringens mening är det därför lämpligare att i regel använda ordet skyddsåtgärder i stället för säkerhetsåtgärd.

En databas som används gemensamt i verksamheten

För vissa verksamheter har man valt att i registerförfattning knyta särskilda regler till viss behandling av personuppgifter som anses särskilt integritetskänslig. Exempelvis bedöms sådan behandling av personuppgifter, som innebär att fler än ett fåtal personer har såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifterna på annat sätt, typiskt sett mer integritetskänslig än vad som är fallet när endast någon enstaka person förfogar över uppgifterna (prop. 2002/03:135 s. 47 f.)

För att avgränsa vilka personuppgifter som berörs, används ofta ett databasbegrepp. Begreppet används i juridisk mening och ansluter inte nödvändigtvis till tekniska avgränsningar eller behörighetstilldelningar.

En avgränsning av vilka personuppgifter som får behandlas i en viss databas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Samma princip, uttryckt på i sak samma sätt, finns i artikel 6.1 b i dataskyddsdirektivet. Bestämmelser i registerförfattningar om begränsningar av användares åtkomst till personuppgifter samt om uppföljning av åtkomsten är tänkta att innebära en konkretisering av personuppgiftslagens bestämmelser om säkerhet. Genom att användaren endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.

Styrning av tilldelning och begränsning av behörigheter är sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta på eget initiativ enligt dataskyddsförordningen.

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav även fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Logguppföljning medför i sig vissa särskilda integritetsrisker som bör beaktas. Om uppföljning sker av anställdas åtgärder i ett ärendehanteringssystem, kan exempelvis personuppgifter avseende såväl enskilda, vars uppgifter finns i ett ärende, som de anställda komma att behandlas. Det får förutsättas att en bedömning av dessa integritetsrisker i förhållande till eventuella integritetsvinster har gjorts innan befintliga bestämmelser om logguppföljning har införts i registerförfattningar.

Direktåtkomst och utlämnande på medium för automatiserad behandling Prop. 2017/18:171

Utlämnande genom direktåtkomst och utlämnande på medium för automatiserad behandling utgör olika former av behandling av personuppgifter och regleras ofta i registerförfattningar. I dataskyddsförordningen, dataskyddsdirektivet och personuppgiftslagen finns det inga särskilda bestämmelser som direkt rör dessa former av behandling/utlämnande utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6 i dataskyddsförordningen.

Det krävs också att åtgärder enligt artiklarna 24.1 och 32 i dataskyddsförordningen är vidtagna. Om utlämnandet avser känsliga personuppgifter eller uppgifter om lagöverträdelser, krävs i tillämpliga fall stöd enligt artikel 9 respektive artikel 10 i dataskyddsförordningen. Motsvarande gäller enligt dataskyddsdirektivet.

Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen, får det således ske på vilket sätt som helst så länge föreskrivna skyddsåtgärder vidtas. Artiklarna 24.1 och 32 i dataskyddsförordningen om åtgärder, som har sin motsvarighet i artikel 16 och 17 i dataskyddsdirektivet, kommer att vara direkt tillämpliga.

Sökbegränsningar

Varken dataskyddsförordningen, dataskyddsdirektivet eller personuppgiftslagen innehåller några bestämmelser som särskilt tar sikte på sökning. Sökning och sammanställning av personuppgifter är dock en form av behandling av personuppgifter som omfattas av dataskyddsregleringen. Det innebär bl.a. att en sökning måste vara förenlig med angivna ändamål för att vara tillåten.

I många registerförfattningar finns sökbegränsningar som framför allt tar sikte på användningen av känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp. Anledningen är att användningen av dessa uppgifter som sökbegrepp kan leda till att det går att skapa mycket integritetskänsliga sammanställningar med personer som har vissa egenskaper. Sökbegränsningarna inskränker också allmänhetens möjligheter att ta del av sammanställningen (2 kap. 3 § tredje stycket tryckfrihetsförordningen). Att förbjuda användning av t.ex. känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp utgör en form av åtgärd eller skyddsåtgärd i dataskyddsförordningens mening.

Kryptering och pseudonymisering

Kryptering och pseudonymisering är åtgärder som tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen eftersom sådana åtgärder innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på kryptering och pseudonymisering uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen som anger att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder. Kryptering och pseudonymisering utgör sådana åtgärder som nämns i

Prop. 2017/18:171 artikel 32 i dataskyddsförordningen och som ska vidtas i den mån det är

lämpligt.

Samtycke

Det förekommer bestämmelser i registerförfattningar om att en viss åtgärd, t.ex. direktåtkomst eller utlämnande på medium för automatiserad behandling, med personuppgifter som behandlas med stöd av annan rättslig grund än samtycke bara får utföras med den registrerades samtycke. En sådan bestämmelse kan anses utgöra en integritetshöjande åtgärd, dvs. ett slags skyddsåtgärd (Ds 2016:44 s. 224 f.). Eftersom registerförfattningarna inom Socialdepartementets verksamhetsområde gäller utöver personuppgiftslagen, måste samtycket uppfylla det som anges i definitionen av samtycke i 3 § personuppgiftslagen, som genomför definitionen av samtycke i artikel 2 h i dataskyddsdirektivet.

Enligt definitionen i artikel 4.11 i dataskyddsförordningen ska samtycket vara frivilligt, specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar den aktuella behandlingen av personuppgifter som rör honom eller henne. Definitionen av samtycke i artikel 4.11 i dataskyddsförordningen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.

Eftersom själva definitionen av vad som utgör ett giltigt samtycke inte har ändrats i sak i dataskyddsförordningen, bedömer Socialdataskyddsutredningen att någon ytterligare analys av lämpligheten av att uppställa ett krav på samtycke för att en viss åtgärd, såsom direktåtkomst eller annat elektroniskt utlämnande, ska få utföras inte behöver göras i de fall sådana bestämmelser finns i befintliga registerförfattningar. Dataskyddsförordningens definition av samtycke föranleder således inte i sig att denna typ av integritetshöjande åtgärder behöver ändras. Regeringen instämmer i utredningens bedömning.

Det kan inte uteslutas att kraven på samtycke i vissa situationer har skärpts något i förhållande till vad som anses gälla i dag. När registerförfattningarna, sedan dataskyddsförordningen börjat tillämpas, kommer att komplettera dataskyddsförordningen i stället för att gälla utöver personuppgiftslagen, kommer regleringen av samtycke som finns i dataskyddsförordningen att gälla även för de samtycken i registerförfattningarna som utgör integritetshöjande åtgärder.

Datainspektionen delar uppfattningen att den registrerades inställning till en behandling är en viktig skyddsåtgärd. Att en behandling får ske med den enskildes medgivande är integritetshöjande och används vidare än samtycke i övrigt. Enligt bestämmelserna om sammanhållen journalföring kan vårdpersonal tillfråga patienten om denne godtar att vårdgivaren tar del av andra vårdgivares uppgifter om patienten. Det är en ojämlik situation där patienten är i beroendeställning. Enligt Datainspektionen hindrar det emellertid inte att samtycket används som integritetshöjande åtgärd eftersom begränsningen enligt skäl 43 att använda samtycke i ojämlika situationer avser samtycke som utgör giltig rättslig grund för behandling av personuppgifter. Eftersom vårdgivare har andra rättsliga grunder som stöd för sin behandling av patientuppgifter inom hälso- och sjukvården kan ett integritetshöjande samtycke användas

oavsett att relationen är ojämlik. Det kan emellertid vara svårt för såväl Prop. 2017/18:171 den registrerade som den personuppgiftsansvarige att skilja på samtycke som utgör rättslig grund för behandling av personuppgifter och integritetshöjande samtycke. Datainspektionen anser därför att lagstiftaren bör överväga om inte ett annat ord bör införas för det integritetshöjande samtycket såsom exempelvis godkännande. Oavsett vilket ord som används är det viktigt att det tydliggörs vilken form av samtycke som lagstiftaren avser.

Det finns dock inte något krav enligt dataskyddsförordningen på att sådana samtycken som i registerförfattningar har föreskrivits såsom en integritetshöjande åtgärd och inte som en rättslig grund för att över huvud taget få behandla personuppgifter ska omfattas av de eventuellt skärpta kraven på samtycke. Socialdataskyddsutredningen har övervägt att använda ett annat ord, exempelvis godkännande för ett sådant samtycke som utgör en form av skyddsåtgärd. Utredningen ser dock flera nackdelar med att införa ett nytt begrepp. Ordet samtycke är inarbetat och används för att uttrycka integritetshöjande åtgärder i flera registerförfattningar.

Regeringen anser att ett införande av ett annat ord än samtycke inte skulle underlätta för dem som ska tillämpa sådana författningar. Vidare anser regeringen att det i vissa fall skulle kunna uppfattas såsom en försvagning av vikten av den enskildes inställning. Inom hälso- och sjukvården används ordet samtycke i t.ex. 4 kap. patientlagen (2014:821) och i 16 kap. 4 § hälso- och sjukvårdslagen (2017:30). Såsom Socialdataskyddsutredningen framfört skulle det, om samtycke ersattes med något annat ord, bli otydligt om bestämmelsen om återkallelse av samtycke i artikel 7.3 i dataskyddsförordningen gäller. I lagen om biobanker i hälsooch sjukvården m.m. finns hänvisningar till andra bestämmelser om samtycke, varför en ändring av ordet samtycke inte bedöms vara lämplig i den författningen.

Överväganden

De bestämmelser om åtgärder eller skyddsåtgärder som finns i registerförfattningar är enligt regeringens bedömning sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 6.1).

Vid behandling av känsliga personuppgifter som grundar sig på artikel 9.2 g (viktigt allmänt intresse), i (allmänt intresse på folkhälsoområdet) och j (arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) i dataskyddsförordningen krävs det åtgärder eller skyddsåtgärder enligt nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet. Bestämmelserna om sökbegränsningar eller andra skyddsåtgärder i registerförfattningar kan således vara inte bara tillåtna utan också nödvändiga såsom skyddsåtgärder vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser eller vid

Prop. 2017/18:171 begränsning av den registrerades rättigheter enligt artikel 23 i data-

skyddsförordningen.

Sammanfattningsvis anser regeringen att bestämmelser i registerförfattningar som innehåller skyddsåtgärder inte behöver ändras med anledning av dataskyddsförordningen. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c och e (se avsnitt 4.1) eller om behandlingen av uppgifterna grundar sig på artikel 9 g, i eller j eller artikel 10 i dataskyddsförordningen.

6.10. Gallring och bevarande

Regeringens bedömning: Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande behöver inte ändras i sak. Detta gäller under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i EU:s dataskyddsförordning.

Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Riksarkivet har inga synpunkter i fråga om betänkandets bedömning eftersom det inte föreslås några materiella förändringar i bestämmelser om gallring eller bevarande. En ståndpunkt som Riksarkivet under lång tid återkommit till är en för registerförfattningarna enhetlig begreppsapparat som överensstämmer med förslag lämnade i betänkandet

Myndighetsdatalag (SOU 2015:39). Där framhålls att begrepp som bevarande och gallring ska tolkas offentligt- och arkivrättsligt, medan begrepp som behandling och utplåning ska tolkas dataskyddsrättsligt.

Skälen för regeringens bedömning

Arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

I dataskyddsförordningen finns ett antal artiklar som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Enligt artikel 5.1 b i dataskyddsförordningen gäller t.ex. att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenliga med de ursprungliga ändamålen (ändamålsbegränsning).

I artikel 5.1 e i dataskyddsförordningen föreskrivs att personuppgifter Prop. 2017/18:171 inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. Enligt artikel 9.2 j i dataskyddsförordningen får sådana uppgifter behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det enligt artikel 89.2 och 3 i dataskyddsförordningen föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till tillgång (artikel 15), rätten till registerutdrag, rättelse (artikel 16), rätten till begränsning av behandling (artikel 18) och rätten till invändning mot behandling (artikel 21). Undantag får göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårt att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett (artikel 19) och rätten till dataportabilitet (artikel 20).

Prop. 2017/18:171 Skillnader i förhållande till regleringen i dataskyddsdirektivet och

personuppgiftslagen

Regleringen i dataskyddsförordningen av gallring och bevarande skiljer sig något från motsvarande reglering i dataskyddsdirektivet. Dataskyddsdirektivets reglering är inte lika utförlig och innehåller inget särskilt undantag för behandling av känsliga personuppgifter. Formuleringarna i dataskyddsförordningen och dataskyddsdirektivet är inte heller desamma. Enligt artikel 6.1 e i dataskyddsdirektivet ska medlemsstaterna föreskriva att personuppgifter förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska enligt artikeln också vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.

Dataskyddsdirektivets bestämmelse har kommit till uttryck i 9 § första stycket i samt tredje och fjärde styckena personuppgiftslagen. Där framgår att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid, men inte längre än vad som behövs för dessa ändamål. För att uppfylla dataskyddsdirektivets krav på skyddsåtgärder anges att personuppgifter som behandlas för dessa ändamål bara får användas för att vidta åtgärder i fråga om den registrerade om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (prop. 1996/97:44 s. 63).

Enligt 8 § andra stycket personuppgiftslagen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Det inkluderar även eventuella känsliga personuppgifter. Bestämmelserna i 9 § första stycket i samt tredje och fjärde stycket personuppgiftslagen gäller därför inte vid en myndighets arkivering av allmänna handlingar utan har främst betydelse för enskilda arkiv. Gallring av allmänna handlingar styrs i stället av bestämmelser i arkivlagen (1990:782) samt i registerförfattningar, vars bestämmelser gäller före arkivlagen och arkivförordningen (1991:446). Detta framgår av 10 § arkivlagen och 14 § arkivförordningen. Regleringen kompletteras av myndighetsföreskrifter och myndighetsbeslut om gallring eller bevarande.

Regleringen i den föreslagna dataskyddslagen

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 14.1.3) att känsliga personuppgifter och personuppgifter som rör lagöverträdelser får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

Arkivlagen och andra föreskrifter om arkiv omfattar inte bara myndigheter utan även t.ex. kommunala bolag och vissa andra utpekade enskilda organ. För dessa skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och regleringen i artikel 10 i dataskydds-

förordningen avseende behandlingen av personuppgifter som rör lagöver- Prop. 2017/18:171 trädelser. Dataskyddslagen bör därför även innehålla en bestämmelse som, på motsvarande sätt som avseende känsliga personuppgifter, tillåter behandling av personuppgifter som rör lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

I förslaget till dataskyddslag (3 kap. 6 §) anges att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Av förslaget till 3 kap. 8 § andra stycket dataskyddslagen följer att även andra än myndigheter får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning, (dvs. om lagöverträdelser), om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

Enligt förslaget till 4 kap. 1 § dataskyddslag ska personuppgifter som behandlas enbart för arkivändamål av allmänt intresse få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

I propositionen Ny dataskyddslag (avsnitt 14.2) redovisas förslag om bl.a. att känsliga personuppgifter får behandlas för statistiska ändamål, om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (se även 3 kap. 7 § förslag till dataskyddslag).

Överväganden när det gäller Socialdepartementets registerförfattningar

Huvudregeln enligt artikel 5.1 e i dataskyddsförordningen är att personuppgifter inte får lagras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Huvudregeln har inte ändrats i förhållande till dataskyddsdirektivet, se artikel 6.1 e.

Bestämmelser i registerförfattningar som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är enligt regeringens bedömning sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e).

Om registerförfattningar innehåller bemyndiganden som ger regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för ett visst ändamål, berörs inte dessa av dataskyddsförordningen, eftersom de inte i sig föreskriver bevarande. Ett sådant bemyndigande får endast användas på ett sådant sätt som är tillåtet enligt dataskyddsförordningen.

Prop. 2017/18:171 Särskilda regler gäller enligt dataskyddsförordningen om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Om personuppgifter behandlas enbart för ovan angivna ändamål, får de lagras under längre perioder under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter. I artikel 89.1 i dataskyddsförordningen anges att skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas). Vidare framgår av samma artikel att personuppgifter ska avidentifieras i den mån det är möjligt. Även enligt dataskyddsdirektivet ska medlemsstaterna vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål. Kravet på skyddsåtgärder är således inte nytt och principerna om uppgiftsminimering respektive avidentifiering finns även i dataskyddsdirektivet. Om registerförfattningar innehåller bestämmelser om behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål, får det mot bakgrund av detta enligt regeringens mening, i likhet med Socialdataskyddsutredningens bedömning, förutsättas att tillräckliga skyddsåtgärder redan framgår av registerförfattningarna eller de föreskrifter som medger bevarandet.

Av artikel 9.2 j i dataskyddsförordningen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är ny i förhållande till dataskyddsdirektivet och innebär att behandling av känsliga personuppgifter för nämnda ändamål förutsätter stöd i nationell rätt och bestämmelser om skyddsåtgärder. Som anges ovan föreslår regeringen i propositionen Ny dataskyddslag med stöd av den bestämmelsen att ett undantag avseende arkiverade personuppgifter ska införas i dataskyddslagen.

I registerförfattningar finns det ibland bemyndiganden att meddela föreskrifter om bevarande av känsliga personuppgifter för dessa ändamål. Dessa bemyndiganden brukar avse att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Oavsett vad kravet på grundval i lagstiftningen i artikel 9.2 j i dataskyddsförordningen innebär kan sådana bemyndiganden kvarstå oförändrade. När föreskrifter om bevarande meddelas med stöd av bemyndigandena, måste dock föreskrifterna, i enlighet med artikel 9.2 j i dataskyddsförordningen, stå i proportion till det eftersträvade syftet och vara förenliga med det väsentliga innehållet i rätten till dataskydd samt, om så krävs, innehålla bestämmelser om skyddsåtgärder utöver dem som kan vara tillämpliga enligt registerförfattningen.

Bestämmelser i registerförfattningar om gallring och bemyndiganden Prop. 2017/18:171 att meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål bedöms inte behöva ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e).

Mot bakgrund av tolkningen att den ändrade formuleringen av historiska, statistiska eller vetenskapliga ändamål inte medför någon ändring i sak samt behovet av att fortsätta att anknyta till formuleringen i den generella dataskyddsregleringen, är det enligt Socialdataskyddsutredningen lämpligast att anpassa formuleringarna i registerförfattningarna till den som används i dataskyddsförordningen.

I propositionen Ny dataskyddslag (avsnitt 14.1.1) anför regeringen bl.a. följande. Begreppet arkivändamål av allmänt intresse definieras inte i dataskyddsförordningen. I dataskyddsdirektivet används i stället termen historiska ändamål. Det är oklart om någon skillnad i innebörd är avsedd. Den närmare innebörden av begreppet arkivändamål av allmänt intresse får därför klargöras i rättstillämpningen, särskilt i förhållande till begreppet historiska forskningsändamål som i dataskyddsförordningen ofta används i samma bestämmelser.

Regeringen anser att formuleringen i registerförfattningarna inom Socialdepartementets verksamhetsområde bör anpassas till den som används i EU:s dataskyddsförordning. Detta gäller bestämmelser i 7 kap. 10 § patientdatalagen (avsnitt 7.1.8) och 114 kap. 31 § socialförsäkringsbalken (avsnitt 7.5.9).

Riksarkivet anför att myndigheten under lång tid återkommit till frågan om en för registerförfattningarna enhetlig begreppsapparat som överensstämmer med förslag lämnade i betänkandet Myndighetsdatalag (SOU 2015:39), där begrepp som bevarande och gallring ska tolkas offentligtoch arkivrättsligt, medan begrepp som behandling och utplåning ska tolkas dataskyddsrättsligt. Socialdataskyddsutredningen har till följd av sitt uppdrag inte haft anledning att utreda detta. Regeringen anser att det saknas förutsättningar att i detta lagstiftningsärende nu genomföra sådana ändringar av begrepp i registerförfattningar inom Socialdepartementets verksamhetsområde.

Hänvisningar till S6-10

6.11. Sanktioner

6.11.1. Skadestånd

Regeringens bedömning: Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagens bestämmelser om skadestånd bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Justitiekanslern tillstyrker utredningens förslag till ändringar i den del som berör skadestånd. För att det ska bli tydligt avseende vilka paragrafer 8 kap. 1 § i Dataskyddsutredningens förslag till dataskyddslag blir tillämpliga är det bra att det anges i vilken utsträckning de olika författningarna kompletterar dataskyddsförordningen.

Sveriges advokatsamfund anser att reglernas komplexitet gör att den registrerade inte sällan kan komma i behov av juridisk vägledning, inte minst om det blir fråga om att föra en skadeståndstalan mot en personuppgiftsansvarig myndighet angående en eventuell kränkning av den registrerades personliga integritet. Samtidigt ligger ersättningsbeloppen för skada och kränkning av den personliga integriteten på mycket blygsamma nivåer enligt praxis. Möjligheten att driva skadeståndsfrågor i allmän domstol begränsas dessutom av reglerna om mål av mindre värden. Det kan befaras att skadeståndssanktionen i praktiken knappast kommer att få någon betydelse, vare sig som ett medel för att kompensera de registrerade eller som ett styrmedel mot de personuppgiftsansvariga myndigheterna. Det är tveksamt om skadeståndstalan verkligen kommer att utgöra ett effektivt rättsmedel.

Skälen för regeringens bedömning: I stället för särskilt utformade bestämmelser om skadestånd innehåller registerförfattningar ofta hänvisningar till personuppgiftslagens bestämmelser om skadestånd.

Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Bestämmelsen är utformad i enlighet med artikel 23 i dataskyddsdirektivet.

I dataskyddsförordningen finns bestämmelser om ansvar och rätt till ersättning i artikel 82. Enligt artikel 82.1 i dataskyddsförordningen ska varje person som lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. En nyhet är att även ett personuppgiftsbiträde kan bli skadeståndsskyldigt gentemot den registrerade. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot dataskyddsförordningen. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

Begreppet skada bör enligt skäl 146 i dataskyddsförordningen tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar dataskyddsförordningens mål. Vidare anges i samma skäl att behandling som strider mot dataskyddsförordningen omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.

Regeringen förtydligar detta i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 17.1.1) genom att i 7 kap. 1 § dataskyddslagen ange

att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller Prop. 2017/18:171 vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska enligt artikel 82.3 i dataskyddsförordningen undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. Det finns i artikel 82.4 och 5 i dataskyddsförordningen bestämmelser om att skadeståndsansvaret är solidariskt om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde har medverkat vid samma behandling samt i artikel 82.6 i dataskyddsförordningen en bestämmelse om vilken domstol som är behörig att pröva en tvist om rätten till ersättning.

Till skillnad från vad som gäller enligt personuppgiftslagen är dataskyddsförordningen, inom sitt tillämpningsområde, direkt tillämplig även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde, och det behövs av den anledningen ingen hänvisning till dess bestämmelser. Dessutom föreslås som nämnts att det i dataskyddslagen ska finnas en hänvisning till dataskyddsförordningens skadeståndsbestämmelse, som omfattar alla författningar som kompletterar dataskyddsförordningen. Den hänvisningen kan inte anses avse annat än skada som uppkommer vid sådan behandling av personuppgifter som omfattas av dataskyddsförordningen.

I den utsträckning en författning har bestämmelser om både sådan behandling och annat, blir således inte överträdelser av dessa andra bestämmelser förknippade med skadeståndsskyldighet enligt dataskyddsregleringen.

Några registerförfattningar inom Socialdepartementets verksamhetsområde – patientdatalagen (2008:355) och 114 kap. socialförsäkringsbalken – omfattar i tillämpliga delar behandling av uppgifter om avlidna personer, som inte omfattas av dataskyddsförordningen (se skäl 27 i dataskyddsförordningen) eller den föreslagna dataskyddslagen. Bestämmelserna om skadestånd i dessa författningar är dock inte tillämpliga vid behandling av uppgifter om avlidna personer, och dataskyddsregleringens skadeståndsbestämmelser kommer som framgått inte heller att gälla vid sådan behandling när dataskyddsförordningen börjar tillämpas.

Regeringen föreslår i propositionen Ny dataskyddslag i 1 kap. 2 § dataskyddslagen att bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och dataskyddslagen ska gälla även vid behandling av personuppgifter som utgör led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (dvs. verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken), dock med undantag för en del lagar. Den bestämmelsen, jämte hänvisningen till bestämmelsen om skadestånd i dataskyddsförordningen, får anses innebära att även brott mot bestämmelser i en registerförfattning om sådan behandling av personuppgifter som faller utanför dataskyddsförordningens tillämpningsområde men som genom den föreslagna bestämmelsen i dataskyddslagen ändå ska omfattas av dataskyddsförordningen, kan föranleda skadestånd. Överträdelser av bestämmelser som avser sådan behandling som i och för sig omfattas av dataskyddsförordningen, men där rättigheterna går utöver vad som krävs enligt dataskyddsförordningen, kan också föranleda rätt till skadestånd enligt artikel 82 i data-

Prop. 2017/18:171 skyddsförordningen. Det handlar t.ex. om överträdelser av bestämmelser

om information, där kraven på den information som ska lämnas går utöver vad som krävs enligt dataskyddsförordningen.

Det saknas skäl att i registerförfattningar särskilt reglera vad som gäller i fråga om skadestånd vid behandling av personuppgifter.

Bestämmelser i registerförfattningar inom Socialdepartementets verksamhetsområde som innehåller hänvisningar till personuppgiftslagens bestämmelser om skadestånd bör upphävas. Detta gäller bestämmelser i 10 kap. 1 § patientdatalagen (avsnitt 7.1.10), 15 § apoteksdatalagen (avsnitt 7.2.5), 20 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel (avsnitt 7.3.4), 9 § lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 7.4.4), 114 kap. 33 § socialförsäkringsbalken (avsnitt 7.5.11), 24 § lagen om receptregister (avsnitt 7.7.6), 13 § lagen om läkemedelsförteckning (avsnitt 7.8.6), 11 § lagen om hälsodataregister (avsnitt 7.9.2), 12 § lagen om register över nationella vaccinationsprogram (avsnitt 7.10.3), 6 kap. 2 § lagen om biobanker i hälso- och sjukvården m.m. (avsnitt 7.11.3), 21 § lagen om blodsäkerhet (avsnitt 7.13.2), 26 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler (avsnitt 7.14.2), 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ (avsnitt 7.15.2) och 13 kap. 5 § alkohollagen (avsnitt 7.17.1).

Hänvisningar till S6-11-1

6.11.2. Administrativa sanktionsavgifter

Regeringens bedömning: EU:s dataskyddsförordning medför inget behov av nya bestämmelser om administrativa sanktionsavgifter i registerförfattningar.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning

Tillsynsmyndigheten kan som en av sina befogenheter enligt artikel 58.1–3 i dataskyddsförordningen påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter i enlighet med artikel 83 vid överträdelser av olika bestämmelser i dataskyddsförordningen. Detta är en ny möjlighet som införs i och med att dataskyddsförordningen ska börja tillämpas.

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 16) att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller vid tillsyn över att bestämmelserna i lagen och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs (6 kap. 1 § dataskyddslagen).

Tillsynsmyndigheten kommer att på det sätt som krävs enligt dataskyddsförordningen kunna utfärda administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen även inom registerförfattningar-

nas tillämpningsområden utan att det behövs särskilda bestämmelser om Prop. 2017/18:171 det i dessa författningar.

Enligt artikel 83.2 i dataskyddsförordningen ska administrativa sanktionsavgifter, beroende av omständigheterna i det enskilda fallet, påföras utöver eller i stället för sådana åtgärder som tillsynsmyndigheten i övrigt kan vidta i form av varningar, reprimander, förlägganden, förbud etc. Olika faktorer, däribland överträdelsens karaktär, svårighetsgrad, varaktighet, omfattning och syfte, ska beaktas både vid beslut om huruvida administrativa sanktionsavgifter ska påföras och när avgifternas belopp ska fastställas.

Överträdelser av bestämmelser i dataskyddsförordningen som kan föranleda administrativa sanktionsavgifter är kategoriserade utifrån olika svårighetsgrad. För vissa mindre allvarliga överträdelser gäller ett maxbelopp på 10 000 000 euro eller 2 procent av den globala årsomsättningen om det gäller ett företag. För allvarligare överträdelser föreskrivs i stället ett maxbelopp på 20 000 000 euro eller 4 procent av den globala årsomsättningen.

Uppräkningen i artikel 83 i dataskyddsförordningen är uttömmande. Tillsynsmyndighetens befogenhet enligt artikel 58.2 i att ta ut administrativa sanktionsavgifter är begränsad till de överträdelser som anges i artikel 83. Av den artikeln framgår att sanktionsavgifter kan tas ut vid överträdelser av vissa artiklar i förordningen samt av nationella bestämmelser som antagits på grundval av kapitel IX i dataskyddsförordningen. Med stöd av kapitel IX kan medlemsstaterna anta bestämmelser om t.ex. behandling av nationella identifikationsnummer (artikel 87) och behandling i anställningsförhållanden (artikel 88). Vid en överträdelse av nationella bestämmelser som inte har antagits på grundval av kapitel IX och som inte samtidigt utgör en överträdelse av dataskyddsförordningens bestämmelser, kan sanktionsavgifter således inte tas ut med stöd av bestämmelsen.

En överträdelse av en bestämmelse i nationell lagstiftning som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser för vilken sanktionsavgift kan påföras med stöd av artikel 83 i dataskyddsförordningen omfattas av möjligheten att påföra administrativa sanktionsavgifter.

Vid överträdelse av flera olika bestämmelser får den administrativa sanktionsavgiftens totala belopp enligt artikel 83.3 i dataskyddsförordningen inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

Medlemsstaterna har i artikel 83.7 i dataskyddsförordningen getts möjlighet att själva avgöra om och i vilken utsträckning administrativa sanktionsavgifter ska kunna påföras offentliga myndigheter och organ som är inrättade i medlemsstaterna.

Regeringen föreslår i propositionen Ny dataskyddslag (avsnitt 16.2) att sanktionsavgifter får tas ut av statliga och kommunala myndigheter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas (se vidare 6 kap. 2– 3 §§ dataskyddslagen).

Prop. 2017/18:171 Medlemsstaternas skyldigheter att fastställa andra sanktioner för

överträdelser

Enligt artikel 84 i förordningen ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för sådana som inte är föremål för administrativa sanktionsavgifter. Sanktionerna ska enligt artikeln vara effektiva, proportionella och avskräckande. I skäl 152 anges att medlemsstaterna bör genomföra ett system med effektiva, proportionella och avskräckande sanktioner om förordningen inte harmoniserar administrativa sanktioner eller om det är nödvändigt i andra fall. Det anges också i nämnda skäl att det ska fastställas om sanktionerna ska vara av straffrättslig eller administrativ art.

I skäl 149 anges att medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder och möjligheter att förverka den vinning som gjorts vid överträdelser av förordningen. Där erinras också om att utdömandet av sådana påföljder och administrativa sanktioner inte bör medföra ett åsidosättande av dubbelprövningsförbudet enligt EU-domstolens tolkning.

De sanktionsverktyg som normalt står till buds för staten är främst straff och sanktionsavgifter samt vite och återkallelse av tillstånd. Förordningen föreskriver dock inte något sådant tillståndsförfarande som gör att återkallelse kan användas som sanktion.

Regeringen föreslår i propositionen Ny dataskyddslag (avsnitt 16.3.3) att sanktionsavgifter enligt dataskyddsförordningen ska få tas ut även vid överträdelser av förordningens bestämmelser om behandling av personuppgifter som rör lagöverträdelser och att avgiftens storlek ska bestämmas inom ramen för den högre beloppsgräns som gäller för överträdelser av bl.a. bestämmelserna om känsliga personuppgifter.

Regeringen bedömer dock att överträdelser av dataskyddsförordningen inte bör vara straffsanktionerade och att någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite inte bör införas (propositionen Ny dataskyddslag, avsnitt 16.3.2). I detta lagstiftningsärende finns inte anledning att göra annan bedömning.

6.12. Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

Regeringens bedömning: Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör upphävas.

Socialdataskyddsutredningens bedömning: Överensstämmer delvis med regeringens. Utredningen föreslår att överklagandebestämmelser som utöver beslut om behandling av personuppgifter även avser andra beslut, ändras på så sätt att bestämmelser om överklagande av beslut om behandling av personuppgifter ersätts med en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder Prop. 2017/18:171 inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105 avsnitt 17.5) att beslut enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen).

Andra beslut enligt EU:s dataskyddsförordning eller dataskyddslagen än de som avses i 2–4 §§ dataskyddslagen får inte överklagas (7 kap. 5 § dataskyddslagen).

Av propositionen Ny dataskyddslag (avsnitt 17.1.2) framgår bl.a. följande. Om den personuppgiftsansvarige är en myndighet får enligt gällande rätt vissa av de beslut som myndigheten fattar i denna egenskap överklagas till allmän förvaltningsdomstol (52 § personuppgiftslagen). Denna rätt gäller endast myndighetens beslut om information enligt 26 § personuppgiftslagen, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Bestämmelsen har inte sin grund i dataskyddsdirektivet, utan motiveras av allmänna förvaltningsrättsliga principer om att förvaltningsbeslut som direkt berör en enskild person ska kunna överprövas av domstol (prop. 2005/06:173 s. 5153). När den personuppgiftsansvarige är en myndighet kan vissa beslut som meddelas till följd av en begäran av en registrerad anses vara ett utflöde av myndighetens myndighetsutövning. Dataskyddslagen bör därför, i likhet med personuppgiftslagen, förses med en uttrycklig bestämmelse om att vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten. Regeringen anser att beslut från regeringen, Riksdagens ombudsmän och de högsta domstolarna ska undantas från rätten att överklaga. Rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen. De bestämmelser som kan föranleda överklagbara beslut rör enligt Dataskyddsutredningens bedömning information (artikel 12.5), registerutdrag m.m. (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21). I vissa fall skulle även bestämmelsen om dataportabilitet i artikel 20 kunna föranleda beslut av en personuppgiftsansvarig myndighet och bör därför av tydlighetsskäl också anges i den föreslagna bestämmelsen om överklagande. Angående om bestämmelserna om information i artiklarna 14.5 b–d och om automatiserade beslut i artikel 22 bör omfattas av rätten att överklaga kan regeringen konstatera att rätten till information inte omfattas av överklagandebestämmelsen i 52 § personuppgiftslagen och att det inte finns skäl att nu införa en annan ordning. När det gäller automatiserade beslut innehåller 52 § personuppgiftslagen visserligen en hänvisning till 29 § andra stycket personuppgiftslagen, som anger att den registrerade har rätt att på begäran få information om vad som har styrt den automatiserade behandling som lett fram till beslutet. Någon sådan rätt till information finns emellertid inte enligt artikel 22 i dataskyddsförordningen. Följakt-

Prop. 2017/18:171 ligen bör någon rätt att överklaga beslut enligt artikel 22 inte införas i

dataskyddslagen.

Dataskyddslagen kommer att gälla om inte annat följer av registerförfattningarna eller föreskrifter som har meddelats i anslutning till registerförfattningarna. Det innebär att under förutsättning att det inte finns avvikande bestämmelser i registerförfattningarna, kommer bestämmelserna i dataskyddslagen om överklagande av personuppgiftsansvariga myndigheters beslut att vara tillämpliga även inom registerförfattningarnas tillämpningsområde, på samma sätt som personuppgiftslagens bestämmelser är i dag.

Regeringen anser att det inte finns något skäl att reglera överklagandemöjligheten på annat sätt än vad som kommer att följa av dataskyddslagen. Det finns inte behov av särskilda bestämmelser om överklagande i registerförfattningarna. Befintliga bestämmelser om att beslut om rättelse och information enligt 26 § personuppgiftslagen kan överklagas bör därför upphävas i de olika registerförfattningarna.

Vissa författningar innehåller dock även bestämmelser om överklagande av andra beslut än beslut om behandling av personuppgifter. Till skillnad mot vad Socialdataskyddsutredningen bedömer anser regeringen att det i sådana författningar inte behöver införas en bestämmelse som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av personuppgifter i den föreslagna dataskyddslagen. Vid behandling av personuppgifter enligt registerförfattningarna finns bestämmelser som anger att den generella lagen gäller och däri finns bl.a. bestämmelser om överklagande.

Detta gäller bestämmelser i 10 kap. 2 § tredje stycket patientdatalagen (avsnitt 7.1.11), 10 § lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 7.4.5), 114 kap. 36 § socialförsäkringsbalken (avsnitt 7.5.12) och 6 kap. 7 § lagen om biobanker i hälso- och sjukvården m.m. (avsnitt 7.11.5).

Hänvisningar till S6-12

7. Särskilda överväganden och förslag som rör lagar inom Socialdepartementets verksamhetsområde

7.1. Patientdatalagen (2008:355)

7.1.1. Lagens tillämpningsområde

Regeringens förslag: Patientdatalagen gäller inte vid sådan behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i EU:s dataskyddsförordning.

Regeringens bedömning: Någon ändring av patientdatalagens tillämpningsområde föranleds inte av EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer delvis med regeringens. Utredningen föreslår att patientdata-

lagen kompletteras med en bestämmelse som innebär att vissa bestäm- Prop. 2017/18:171 melser i lagen inte ska tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen lämnar dock inte något förslag till vilka bestämmelser som inte ska tillämpas, utan förslaget ska ses som en markering av att det i det fortsatta lagstiftningsarbetet bör övervägas vilken anpassning av patientdatalagen som krävs med anledning av det nya dataskyddsdirektivet. Utredningen föreslår också att den föreslagna brottsdatalagen ska gälla inom rättspsykiatrisk vård i stället för dataskyddsförordningen, om inte annat följer av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Datainspektionen framför att det inom hälso- och sjukvården finns delar av verksamheten som utgör verkställighet av påföljder inom rättsväsendet. Den personuppgiftsbehandling som utförs för dessa ändamål omfattas inte av dataskyddsförordningen utan i stället av ett direktiv, som i Sverige har föreslagits implementeras genom en brottsdatalag.

Socialstyrelsen anser att det är väsentligt att en sammanhållen reglering motsvarande patientdatalagen fortsatt kan gälla för all hälso- och sjukvård oavsett om grunden för vården är frivillig vård, vård enligt lagen om psykiatrisk tvångsvård eller vård enligt lagen om rättspsykiatrisk vård.

Rättsmedicinalverket delar utredningens bedömning att patientdatalagen bör fortsätta att gälla vid behandling av personuppgifter inom rättspsykiatrisk vård och att den föreslagna brottsdatalagen ska komplettera patientdatalagen vid sådan personuppgiftsbehandling. Rättsmedicinalverket vill dock lyfta fram att utredningens resonemang vad gäller den hälso- och sjukvård som tillhandahålls av Kriminalvården och Statens institutionsstyrelse också blir relevant för delar av den hälso- och sjukvård som Rättsmedicinalverket tillhandahåller inom ramen för den rättspsykiatriska verksamheten. Det förekommer att Rättsmedicinalverket ger vård både enligt lagen om rättspsykiatrisk vård och enligt hälso- och sjukvårdslagen till frihetsberövade personer som är intagna på en rättspsykiatrisk undersökningsenhet.

Sveriges Kommuner och Landsting, Örebro läns landsting ställer sig bakom utredningens förslag att patientdatalagen ska gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård. Det behövs klargöras vilka bestämmelser i patientdatalagen som inte ska gälla vid behandling av personuppgifter inom rättspsykiatrisk vård och vilka övriga anpassningar som behövs.

Sveriges advokatsamfund förutsätter att den föreslagna lagtexten kommer att kompletteras vad gäller förslaget till lag om ändring i 1 kap. 1 § patientdatalagen där det angetts att undantag för behandling av personuppgifter inom rättspsykiatrisk vård ska gälla, men inte i vilka avseenden undantagen ska gälla för sådan behandling.

Inera AB delar utredningens bedömning att patientdatalagen i huvudsak får anses förenlig med dataskyddsförordningens bestämmelser och därför inte behöver bli föremål för några ingripande förändringar.

Uppsala läns landsting kan inte tillstyrka förslaget. Personuppgiftsbehandlingen i den psykiatriska vården kommer att regleras av dataskyddsförordningen, dataskyddslagen, patientdatalagen. Den personuppgiftsbehandling som sker inom den rättspsykiatriska vården kommer emellertid

Prop. 2017/18:171 att styras av brottsdatalagen och delar av patientdatalagen, dock att det är

oklar vilka delar som avses. Olika lagstiftningar kommer att gälla för personuppgiftsbehandling på en och samma avdelning beroende på om patienten är dömd till vård eller inte, vilket medför att lagstiftningen blir svår att tillämpa.

Skälen för regeringens förslag och bedömning

Patientdatalagens tillämpningsområde behöver inte ändras till följd av dataskyddsförordningen

Patientdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 §). Lagen är tillämplig hos såväl offentliga vårdgivare, dvs. statliga myndigheter, landsting och kommuner, som privata vårdgivare, dvs. andra juridiska personer eller enskilda näringsidkare som bedriver hälso- och sjukvård.

Dataskyddsförordningen föranleder inte någon ändring av patientdatalagens tillämpningsområde.

Patientdatalagen ska inte tillämpas för behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning

Dataskyddsförordningen är inte tillämplig på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, se artikel 2.2 d i dataskyddsförordningen. Sådan behandling omfattas av den brottsdatalag som föreslås i lagrådsremissen Brottsdatalag. Behandling av personuppgifter för syften som ska regleras i den föreslagna brottsdatalagen kan förekomma inom patientdatalagens tillämpningsområde, t.ex. i den rättspsykiatriska vården. Patientdatalagen kommer i dessa fall inte att kompletteras av dataskyddsförordningen utan av den föreslagna brottsdatalagen.

Socialdataskyddsutredningen föreslår att vissa bestämmelser i patientdatalagen inte ska tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen lämnar dock inte något förslag till vilka bestämmelser som skulle undantas på detta sätt, utan utredningens förslag är en markering att det i det fortsatta lagstiftningsarbetet bör övervägas vilken anpassning av patientdatalagen som krävs med anledning av det nya dataskyddsdirektivet. Socialdataskyddsutredningen föreslår också att inom den rättspsykiatriska vården ska brottsdatalagen gälla om inte annat skulle följa av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen. Mot bakgrund av beredningsläget (dvs. tillräckligt underlag saknas i fråga om anpassningar av patientdatalagen till följd av nämnda direktiv och dess implementering genom brottsdatalagen) är det inte möjligt att föreslå en sådan reglering som Socialdataskyddsutredningen tar upp.

Regeringen håller med Socialdataskyddsutredningen om att patientdatalagen, på samma sätt som vid annan hälso- och sjukvård, bör fortsätta att gälla vid behandling av personuppgifter inom den rättspsykiatriska vården, och håller med Socialstyrelsen om att det är väsentligt att en sammanhållen reglering motsvarande patientdatalagen fortsatt kan gälla för all hälso- och sjukvård oavsett grunden för vården. Regeringen

anser att detta behövs för hälso- och sjukvårdens syften och ändamål, se Prop. 2017/18:171 t.ex. 2 kap.45 §§patientdatalagen.

I lagrådsremissen föreslogs att patientdatalagen inte gäller vid behandling av personuppgifter i vårdgivares verksamhet som omfattas av brottsdatalagens tillämpningsområde.

Lagrådet framför att eftersom någon lagrådsremiss med förslag till brottsdatalag ännu inte föreligger kan Lagrådet inte ta ställning till förslaget.

Regeringen anser att förslaget till ändring i patientdatalagen i stället lämpligen kan utformas på ett sätt som anknyter till det materiella tillämpningsområdet för dataskyddsförordningen. Av artikel 2.2 d i dataskyddsförordningen följer att förordningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att bl.a. förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen föreslår därför att det i 1 kap. 1 § patientdatalagen införs en bestämmelse om att lagen inte gäller vid sådan behandling som avses i artikel 2.2 d i EU:s dataskyddsförordning. Liksom i övergångsbestämmelserna i förslaget till dataskyddslag, se propositionen Ny dataskyddslag (prop. 2017/18:105), bör det framgå att det är artikel 2.2 d i den ursprungliga lydelsen som avses, dvs. en statisk hänvisning. I annat fall kan en framtida ändring av artikel 2.2 d få till följd att viss behandling personuppgiftsbehandling, under en övergångsperiod, inte kommer att omfattas av någon författning alls.

Behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordningen kommer därmed inte att omfattas av patientdatalagen utan av den kommande brottsdatalagen som föreslås träda i kraft den 1 augusti 2018.

I verksamheter som bedriver hälso- och sjukvård bedöms regleringen i den föreslagna brottsdatalagen främst komma att aktualiseras vid behandling av personuppgifter som rör verkställigheten av påföljder. Inom rättspsykiatrisk vård kan det handla om t.ex. beslut om den rättspsykiatriska vården och om tvångsåtgärder som fattas av chefsöverläkaren.

När det gäller behandling av personuppgifter för hälso- och sjukvårdens syften omfattas sådan personuppgiftsbehandling inte av den föreslagna brottsdatalagen. Personuppgiftsbehandlingen regleras i stället av dataskyddsförordningen och av de kompletterande bestämmelserna som finns i dataskyddslagen och den sektorsspecifika patientdatalagen. Den omständigheten att t.ex. rättspsykiatrisk vård avser såväl verkställigheten av påföljder som hälso- och sjukvård medför att det kan förekomma fall där det finns vissa svårigheter att avgöra vilken rättslig reglering som ska tillämpas. För det fall fråga uppkommer om vilken reglering som är tillämplig kan vägledning hämtas i lagrådsremissen (och den kommande propositionen) Brottsdatalag och delbetänkandet SOU 2017:29. Har behandlingen flera syften kan de olika regelverken vara tillämpliga parallellt. Regeringen anser därför att det inte finns behov av att ha särskilda bestämmelser som reglerar behandling av personuppgifter inom rättspsykiatrisk vård.

Hänvisningar till S7-1-1

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.2. Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 1 kap. 4 § patientdatalagen ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av patientdatalagen eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår att inom rättspsykiatrisk vård ska i stället den föreslagna brottsdatalagen gälla om inte annat följer av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen.

Remissinstanserna: Socialstyrelsen vill betona vikten av att gränsdragningen mellan den föreslagna brottsdatalagen och patientdatalagen tydliggörs och att dubbelreglering undviks när det gäller behandling av personuppgifter inom den rättspsykiatriska vården.

Örebro läns landsting vill framhålla att det är av stor vikt att det i det fortsatta lagstiftningsarbetet så snart som möjligt klargörs vilka bestämmelser i patientdatalagen som inte ska tillämpas. Uppsala läns landsting anför att olika lagstiftning kommer att gälla för personuppgiftsbehandling på en och samma avdelning beroende på om patienten är dömd till vård eller inte, vilket medför att lagstiftningen blir svår att tillämpa. Till detta kommer att det är oklart vilka regler i patientdatalagen som blir tillämpliga på personuppgiftsbehandlingen inom den rättspsykiatriska vården. Landstinget kan inte tillstyrka förslaget.

Statens institutionsstyrelse vill framhålla att komplexiteten i den nya reglering som föreslås till följd av dataskyddsförordningen väsentligen ökar eftersom regleringen innebär att personuppgifter i samma journalföringssystem kommer att omfattas av olika regelverk, vilket inte varit fallet tidigare.

Rättsmedicinalverket framhåller vikten av att förhållandet mellan de olika EU-rättsakterna och svensk lagstiftning inom detta område klargörs i det fortsatta lagstiftningsarbetet. Sveriges Kommuner och Landsting understryker att det är av stor vikt att det i det fortsatta lagstiftningsarbetet så snart som möjligt klargörs vilka bestämmelser i patientdatalagen som inte ska tillämpas vid rättspsykiatrisk vård.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och den föreslagna dataskyddslagen

Enligt 1 kap. 4 § patientdatalagen gäller personuppgiftslagen vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av patientdatalagen eller föreskrifter som har meddelats med stöd av den lagen.

Som anges i avsnitt 6.3 bör även en upplysningsbestämmelse om att Prop. 2017/18:171patientdatalagen kompletterar dataskyddsförordningen tas in i lagen. Regeringen föreslår att 1 kap. 4 § patientdatalagen ska innehålla en upplysning om att patientdatalagen kompletterar dataskyddsförordningen.

Vidare bör, som anges i avsnitt 6.3, registerförfattningarna alltjämt gälla utöver den nationella generella regleringen. I patientdatalagen ska förhållandet till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen liksom i dag endast regleras för automatiserad behandling eller sådan manuell behandling där uppgifterna ingår i eller är avsedda att ingå i ett register.

Förhållandet till den föreslagna brottsdatalagen

Flera remissinstanser efterfrågar klargöranden om förhållandet mellan patientdatalagen och den föreslagna brottsdatalagen. Enligt 1 kap. 1 § tillämpas patientdatalagen vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. I förarbetena till lagen benämns tillämpningsområdet som vårdgivarnas kärnverksamhet och anges omfatta den individinriktade patientvården inom hälso- och sjukvården (prop. 2007/08:126 s. 48 f.). I 2 kap.45 §§patientdatalagen anges ändamål som personuppgifter får behandlas för.

I avsnitt 7.1.1 föreslår regeringen att patientdatalagen inte ska gälla vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, dvs. behandling av personuppgifter som behöriga myndigheter utför i syfte att bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. I den mån behandling av personuppgifter som i dag omfattas av patientdatalagen utförs för sådana syften kommer patientdatalagen inte att gälla. Har behandlingen flera olika syften kan olika regelverk vara tillämpliga parallellt för respektive syfte.

Aktörer som bedriver verksamhet behöver noga överväga för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.

Regeringen föreslår därför inte en sådan reglering av förhållandet till brottsdatalagen som Socialdataskyddsutredningen föreslår.

Hänvisningar till S7-1-2

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.3. Samtycke som grund för behandlingen

Regeringens bedömning: Bestämmelsen i 2 kap. 3 § patientdatalagen om att den registrerades samtycke kan utgöra grund för behandling av personuppgifter kan behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den person-

Prop. 2017/18:171 uppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd

till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Det saknas sådana överväganden. Avseende 2 kap. 3 § patientdatalagen anges att enligt den bedömning utredningen har gjort i visst avsnitt behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av personuppgifter på samtycke inte göras. Någon kommentar gällande privata vårdgivare görs inte.

Skälen för regeringens bedömning: Som anges i avsnitt 6.5.2 förekommer det att myndigheter och enskilda tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. En sådan regel finns i 2 kap. 3 § första stycket patientdatalagen, se prop. 2007/08:126 s. 227. Enligt den bedömning som redovisas i samma avsnitt kan sådana bestämmelser behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av förordningen i nationell rätt. Regeringen delar därför inte Datainspektionens bedömning att ytterligare analys är nödvändig.

7.1.4. Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagen i 2 kap. 5 § andra meningen patientdatalagen tas bort. I stället införs en bestämmelse där det anges att personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 2 kap. 5 § patientdatalagen hänvisas till 9 § första stycket d och andra stycket personuppgiftslagen, vilket innebär att den s.k. finalitetsprincipen gäller vid behandling enligt patientdatalagen. Hänvisningen syftar till att klargöra att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Eftersom personuppgiftslagen kommer att upphävas, måste hänvisningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 6.5.3.

Hänvisningar till S7-1-4

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.5. Personuppgifter som får behandlas i fråga om

uppgifter om lagöverträdelser

Regeringens förslag: Hänvisningen till personuppgiftslagen i 2 kap. 7 § patientdatalagen tas bort. I stället ska det uttryckligen anges vilka uppgifter om lagöverträdelser som får behandlas. Dessa ska vara samma som i dag, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelser i registerförfattningar som tillåter enskilda och myndigheter att behandla uppgifter om lagöverträdelser kan och bör behållas, se avsnitt 6.7. Som också framgår av det avsnittet kan begränsningar av möjligheten att behandla uppgifter om friande brottmålsdomar och administrativa frihetsberövanden behållas för myndigheter och enskilda eftersom behandlingen inom patientdatalagens tillämpningsområde grundar sig på artikel 6.1 c och e (rättslig förpliktelse och allmänt intresse) i dataskyddsförordningen. Bestämmelsen i patientdatalagen bör därför omfatta samma uppgifter som i dag, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Eftersom personuppgiftslagen kommer att upphöra, bör det anges i bestämmelsen vilka uppgifter det rör sig om.

Hänvisningar till S7-1-5

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.6. Känsliga personuppgifter

Regeringens förslag: Patientdatalagen kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Regeringens bedömning: Behandling av känsliga personuppgifter inom patientdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i patientdatalagen.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Örebro läns landsting befarar att underbiträden och leverantörer inom e-hälsa inte lagligen kommer att få behandla personuppgifter utan att en lagstadgad tystnadsplikt gäller för deras behandling. Det behöver skyndsamt utredas om formuleringen i artikel 9.3 i dataskyddsförordningen innebär att det är tillräckligt att den personuppgiftsansvarige omfattas av en lagreglerad tystnadsplikt eller om kravet även gäller personuppgifts-

Prop. 2017/18:171 biträden som utför personuppgiftsbehandling för den personuppgifts-

ansvariges räkning. Om en sådan analys skulle visa att kravet även gäller sådana personuppgiftsbiträden måste det införas en lagstadgad tystnadsplikt för dessa biträden i berörda registerförfattningar eller på annat lämpligt sätt. Exempelvis skulle det då kunna införs en lagstadgad tystnadsplikt för juridiska och fysiska personer som behandlar personuppgifter för vårdgivarens räkning i patientdatalagen.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten.

Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Skälen för regeringens förslag och bedömning

Påminnelse om tystnadsplikt

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen.

Behandling av känsliga personuppgifter, inklusive de nya kategorierna

Känsliga personuppgifter får behandlas med stöd av 2 kap.4, 5 och 7 §§patientdatalagen som anger att en vårdgivare endast får behandla sådana personuppgifter som behövs för vissa uppräknade ändamål. Den regleringen ersätter bestämmelsen om behandling av känsliga personuppgifter i 18 § personuppgiftslagen.

I avsnitt 6.6.4 redogör regeringen för vad som omfattas av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regeringen gör mot bakgrund av vad som anges där bedömningen att den behandling som sker enligt patientdatalagen ryms inom de syften som nämns i artikel 9.2 h i dataskyddsförordningen. Patientdatalagens reglering bedöms således vara förenlig med dataskyddsförordningen och känsliga personuppgifter kan även fortsättningsvis ske med stöd av ändamålsbestämmelserna.

Som anges i avsnitt 6.6.6 anser regeringen att bestämmelser i särskilda registerförfattningar på Socialdepartementets område som tillåter behandling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med dataskyddsförordningen. Vad gäller specifikt patientdatalagen noterar regeringen också att det i lagens förarbeten bedömdes att det skulle innebära tillämpningsproblem att närmare specificera vilka personuppgifter som får behandlas, inklusive känsliga personuppgifter. Lagen utformades därför på det sättet att ändamålsbestäm-

ningen ska styra över vilka personuppgifter som får behandlas (prop. Prop. 2017/18:171 2007/08:26 s. 63).

Hänvisningar till S7-1-6

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.7. Sökbegränsningar

Regeringens förslag: Möjligheten att använda uppgifter om hälsa som sökbegrepp ska även avse sådana genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa. Hänvisningar till personuppgiftslagen i 2 kap. 8 § patientdatalagen ersätts med hänvisningar till 2 kap. 7 § respektive den föreslagna 7 a § till dataskyddslagen.

Regeringens bedömning: I övrigt kan och bör bestämmelserna om sökbegrepp behållas.

Socialdataskyddsutredningens förslag: Överensstämmer i stort med regeringens. I utredningens förslag användes formuleringen biometriska uppgifter, och inte hela formuleringen biometriska uppgifter för att entydigt identifiera en fysisk person.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: I 2 kap. 8 § patientdatalagen finns det ett förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. Som sökbegrepp får inte heller uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas. Vissa undantag från förbudet anges i bestämmelsen, bl.a. får uppgifter om hälsa användas som sökbegrepp, och regeringen får meddela föreskrifter om vissa ytterligare undantag.

Som anges i avsnitt 6.9.2 utgör sökbegränsningar skyddsåtgärder enligt dataskyddsförordningen. Bestämmelser om skyddsåtgärder är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c eller e i dataskyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i det avsnittet, inte ändras med anledning av dataskyddsförordningen.

Regeringen anser att sökbegränsningarna, i enlighet med bedömningen i avsnitt 6.7, bör avse samma uppgifter om lagöverträdelser som i dag.

När det gäller sökbegränsningar avseende känsliga personuppgifter är det, som anges i avsnitt 6.6.6, regeringens bedömning att dessa även bör omfatta de nytillkomna kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. Som anges i avsnitt 6.6.6 kan kategorierna av känsliga personuppgifter i viss mån överlappa varandra. Genetiska uppgifter kan t.ex. avslöja en persons hälsotillstånd. Sådana uppgifter utgör i dag uppgifter om hälsa och är

Prop. 2017/18:171 således tillåtna som sökbegrepp enligt regleringen i 2 kap. 8 § patient-

datalagen.

Regeringen anser att det är nödvändigt för en ändamålsenlig behandling av personuppgifter inom hälso- och sjukvården att sådana genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa, kan fortsätta att användas som sökbegrepp. Regeringen anser till skillnad från Socialdataskyddsutredningen att detta inte behöver tydliggöras på det sätt som utredningen föreslår genom att det anges i 2 kap. 8 § att uppgifter om hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, tillåts att användas som sökbegrepp. Regeringen anser att uppgifter om hälsa får användas som sökbegrepp även om dessa också kan avse annan känslig personuppgift t.ex. genetiska uppgifter. Det som avgör om uppgiften är tillåten som sökbegrepp är om den hör till uppgifter om hälsa.

Även om regeringen i avsnitt 6.6.6 har bedömt att införandet av begreppet sexuell läggning i dataskyddsförordningen inte innebär någon egentlig utvidgning jämfört med nuvarande reglering är det en ny skrivning. Regeringen bedömer därför att det bör tydliggöras att även uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa får användas som sökbegrepp. Detta bör ske på samma sätt som för genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person.

Någon skillnad i sak är inte avsedd med de föreslagna förtydligandena utan förslaget syftar endast till att tydliggöra att samma sökningar som får göras i dag även får göras fortsättningsvis. Genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning som inte samtidigt utgör uppgifter om hälsa får däremot inte användas som sökbegrepp.

Eftersom hänvisningarna till personuppgiftslagen inte kan vara kvar när den lagen upphör, bör de ersättas med hänvisningar till definitionerna av uppgifter om lagöverträdelser och känsliga personuppgifter i 2 kap. 7 § respektive den föreslagna 7 a § patientdatalagen.

Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom detta område och inte heller att föreskriftsrätten delegeras. Möjligheten för regeringen att meddela föreskrifter kan därför behållas.

Hänvisningar till S7-1-7

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.8. Nationella och regionala kvalitetsregister

Information som ska lämnas självmant

Regeringens förslag: Krav på information till registrerade i 7 kap. 3 § patientdatalagen som motsvarar eller begränsar krav på information som finns i EU:s dataskyddsförordning tas bort. Därmed tas det bort att information ska lämnas om i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Socialdataskyddsutredningens förslag: Överensstämmer med Prop. 2017/18:171 regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig enligt 7 kap. 3 § patientdatalagen se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret, i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifter påbörjas, ska den lämnas så snart som möjligt därefter.

Bestämmelsen i 7 kap. 3 § patientdatalagen kompletterar och gäller således utöver 8 kap. 6 § patientdatalagen och – när dataskyddsförordningen börjar tillämpas – artikel 13 och 14 i dataskyddsförordningen.

Vilken information den personuppgiftsansvarige enligt dataskyddsförordningen är skyldig att lämna i olika situationer framgår av avsnitt 6.8.1.

Den information den personuppgiftsansvarige ska lämna till den registrerade enligt 7 kap. 3 § patientdatalagen är i huvudsak sådan information som ska lämnas enligt dataskyddsförordningen. Informationsskyldigheten i 7 kap. 3 § omfattar dock även en upplysning som inte omfattas av dataskyddsförordningens reglering, nämligen information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.

Sådana bestämmelser som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas, kan i enlighet med regeringens ställningstagande i avsnitt 6.8.1 behållas, om den ursprungliga behandlingen grundas på artikel 6.1 c eller e i dataskyddsförordningen. Behandling av personuppgifter i nationella och regionala kvalitetsregister sker med stöd av artikel 6.1 c och e i dataskyddsförordningen. Den kompletterande informationsskyldigheten kan därmed behållas.

Eftersom det rör sig om en kompletterande informationsskyldighet, kan informationen lämnas vid den tidpunkt som bedöms lämplig i nationell rätt. Bestämmelsen i 7 kap. 3 § andra stycket om när informationen ska lämnas, påverkas därför inte av dataskyddsförordningen.

Enligt 7 kap. 3 § 2 ska den registrerade få information om i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal. Att den registrerade har rätt att få information om varifrån personuppgifterna kommer, när de inte lämnats av den enskilde själv, framgår av artikel 14.2 f i dataskyddsförordningen. Uppgifter i en patientjournal kommer dock inte alltid från den enskilde själv. Nuvarande reglering i patientdatalagen medför i förhållande till dataskyddsförordningen därför en begränsning av skyldigheten att lämna information.

I avsnitt 6.8.2 under rubriken ”Information som ska lämnas självmant” bedömer regeringen att det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de nyheter som dataskyddsförordningen innebär när det gäller den information som ska lämnas till den registrerade. Det finns därför, som anges i

Prop. 2017/18:171 avsnitt 6.8.2, inte anledning att överväga en begränsning av de registrera-

des nya rättigheter.

Regeringen föreslår därför att nu gällande krav på information till registrerade i 7 kap. 3 § tas bort i den utsträckningen de motsvarar eller begränsar krav på information som gäller enligt dataskyddsförordningen. Därmed tas det bort att information ska lämnas om i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Personuppgifter som får behandlas

Regeringens förslag: Förbudet i 7 kap. 8 § tredje stycket patientdatalagen mot att behandla andra känsliga personuppgifter än uppgifter som rör hälsa, om inte annat har medgetts av regeringen eller den myndighet som regeringen bestämmer i enskilda fall, ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning.

Patientdatalagen kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Hänvisningen till personuppgiftslagen i 7 kap. 8 § tredje stycket patientdatalagen ersätts med en hänvisning till 2 kap. 7 § patientdatalagen.

Bestämmelsen om att uppgifter om lagöverträdelser får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet regeringen bestämmer i enskilda fall medger det placeras i en ny paragraf.

Regeringens bedömning: Bestämmelsen i 7 kap. 8 § patientdatalagen om vilka personuppgifter som får behandlas kan och bör i övrigt behållas.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen som avser påminnelse om kravet på tystnadsplikt.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Vad gäller remissynpunkter om tystnadspliktskravet i artikel 9.3 i EU:s dataskyddsförordning, se avsnitt 6.6.4, och om att fler uppgifter blir känsliga personuppgifter, se avsnitt 6.6.6.

Skälen för regeringens förslag och bedömning

Känsliga personuppgifter

Regeringen bedömer att hälso- och sjukvården även fortsättningsvis kan behandla känsliga personuppgifter enligt artikel 9.2 h i dataskyddsförordningen. Bedömningen omfattar även behandlingen i de nationella kvalitetsregistren. Det är således möjligt att ha kvar bestämmelsen som

innebär att uppgifter om hälsa får behandlas i registren. Av samma skäl Prop. 2017/18:171 kan möjligheten för regeringen eller den myndighet regeringen bestämmer att i enskilda fall tillåta att behandling av andra känsliga personuppgifter än hälsa får ske behållas.

Eftersom 7 kap. patientdatalagen innehåller en egen reglering av behandling av känsliga personuppgifter i nationella och regionala kvalitetsregister, vilket innebär att den generella regleringen i 2 kap. inte är tilllämplig, bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in även i 7 kap. 8 § patientdatalagen. Angående bestämmelsens utformning, se slutet av avsnitt 6.6.4.

Genom dataskyddsförordningen har, som redan nämnts i avsnitt 6.6.6, några nya kategorier av känsliga personuppgifter tillkommit, nämligen genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Förbudet att behandla känsliga personuppgifter bör i enlighet med den bedömning som redovisas i det nämnda avsnittet, omfatta också dessa nya kategorier av uppgifter.

Skulle det uppkomma ett behov av att behandla sådana uppgifter i ett kvalitetsregister, har regeringen, eller den myndighet regeringen bestämmer, enligt bestämmelsen möjlighet att medge det. Det kommer även fortsättningsvis endast att vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa i kvalitetsregistren, om inte föreskrifter meddelas om att andra kategorier av uppgifter får behandlas.

Personuppgifter om lagöverträdelser

Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det (7 kap. 8 § tredje stycket patientdatalagen). I 6 § patientdataförordningen (2008:360) anges att frågor om medgivande till behandling enligt 7 kap. 8 § tredje stycket patientdatalagen prövas av Datainspektionen efter att ha hört Socialstyrelsen.

I enlighet med den bedömning regeringen har gjort i avsnitt 6.7 kan och bör förbudet mot att behandla personuppgifter om lagöverträdelser i 7 kap. 8 § patientdatalagen även fortsättningsvis omfatta de uppgifter som avses i 21 § personuppgiftslagen. Detta eftersom bestämmelserna avser behandling som grundar sig på artikel 6.1 c och e i dataskyddsförordningen (rättslig förpliktelse och allmänt intresse) eller avser myndigheters behandling. Eftersom personuppgiftslagen kommer att upphöra, måste dock hänvisningen till personuppgiftslagen ersättas med en hänvisning till definitionen av vilka uppgifter som avses i 2 kap. 7 § patientdatalagen.

Lagrådet anser att regleringens överskådlighet förbättras om känsliga personuppgifter och uppgifter om lagöverträdelser behandlas i var sin paragraf. Regeringen instämmer i denna bedömning och föreslår att bestämmelsen om att uppgifter om lagöverträdelser får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet regeringen bestämmer i enskilda fall medger det placeras i en ny paragraf.

Prop. 2017/18:171 Bevarande och gallring

Regeringens förslag: Bestämmelsen i 7 kap. 10 § patientdatalagen om gallring behålls i sak men befintlig formulering om historiska, statistiska eller vetenskapliga ändamål ändras till den som används i

EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska enligt 7 kap. 10 § första stycket patientdatalagen gallras när de inte längre behövs för det ändamål de behandlas för. En arkivmyndighet inom ett landsting eller en kommun samt regeringen eller den myndighet regeringen föreskriver får dock enligt andra och tredje stycket föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Regeringen har i likhet med Socialdataskyddsutredningen i avsnitt 6.10 kommit till den slutsatsen att bestämmelser i registerförfattningar om gallring och bevarande inte behöver ändras under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) och en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ändamål. Bestämmelserna i 7 kap. 10 § patientdatalagen kan behållas. Formuleringarna av ändamålen i andra och tredje stycket bör dock anpassas till dataskyddsförordningens lydelse.

Hänvisningar till S7-1-8

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.9. Rättigheter för den enskilde

Rättelse

Regeringens förslag: Bestämmelsen om rättelse i 8 kap. 3 § patientdatalagen upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 8 kap. 3 § första stycket patientdatalagen, som hänvisar till bestämmelsen om rättelse i 28 § personuppgiftslagen, kan i enlighet med vad som anges i avsnitt 6.8.1 upphävas. I 8 kap. 3 § andra stycket patientdatalagen upplyses om att uppgifter i en journalhandling enligt 3 kap. 14 § inte får utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §. Eftersom detta endast är en upplysning om vad som följer av den paragraf som kommer direkt efter, kan även bestämmelsen i 8 kap. 3 § andra stycket upphävas.

Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 8 kap. 6 § patientdatalagen kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att information ska lämnas om vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka kategorier av uppgifter som behandlas, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen, vad som gäller i fråga om bevarande och gallring samt huruvida personuppgiftsbehandlingen är frivillig eller inte.

Hänvisningen till patientdatalagens bestämmelse om skadestånd ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Upplysningsbestämmelsen i 8 kap. 6 § sista stycket patientdatalagen bör vara kvar.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Sveriges advokatsamfund anser att det finns en risk med att flera regler utgår ur patientdatalagen för att i stället hänvisa till dataskyddsförordningen och till de kompletterande bestämmelserna i den föreslagna dataskyddslagen. Risken består i att möjligheten att särskilt reglera ett utökat skydd för den registrerade inte utnyttjas i tillräcklig grad. Det kan t.ex. vara lämpligt att införa en mer långtgående och konkret informationsskyldighet än den som följer av dataskyddsförordningen när det gäller behandling av personuppgifter inom hälso- och sjukvården.

Skälen för regeringens förslag och bedömning: Enligt 8 kap. 6 § patientdatalagen ska den personuppgiftsansvarige se till att den registrerade får viss information om behandlingen av personuppgifter. Bestämmelsen i 8 kap. 6 § utgör en precisering av 25 § personuppgiftslagen, som anger vilken information som ska lämnas till den registrerade.

I övrigt gäller bestämmelserna i 2325 och 27 §§personuppgiftslagen om information som ska lämnas självmant. Detta eftersom personuppgiftslagens bestämmelser gäller om inget annat sägs i patientdatalagen.

Regeringen har i avsnitt 6.8.1 redogjort för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Regleringen av vilken information den personuppgiftsansvarige ska lämna enligt patientdatalagen sammanfaller till stora delar med den i dataskyddsförordningen.

Informationsskyldigheten i patientdatalagen innebär dock att ett antal upplysningar som inte omfattas av dataskyddsförordningens reglering ska lämnas, nämligen den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för upp-

Prop. 2017/18:171 gifterna och behandlingen, rätten enligt 4 kap. 4 § att i vissa fall begära

att uppgifter spärras, rätten enligt 8 kap. 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till skadestånd samt vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling. Det finns också krav på upplysningar som ska lämnas enligt dataskyddsförordningen som inte anges i patientdatalagen.

De bestämmelser i patientdatalagen som föreskriver att mer information än vad som krävs enligt dataskyddsförordningen ska lämnas kan, i enlighet med bedömningen i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Det har inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de nyheter som dataskyddsförordningen innebär när det gäller den information som ska lämnas till den registrerade. Det finns därför, som anges i avsnitt 6.8.2, inte anledning att överväga en begränsning av de registrerades nya rättigheter.

Slutsatsen är att vårdgivare ska lämna den information som följer av dataskyddsförordningen och den ytterligare information som ska lämnas enligt patientdatalagen. Detta bör regleras genom en bestämmelse i patientdatalagen som kompletterar och hänvisar till dataskyddsförordningens reglering på det sätt som anges i avsnitt 6.8.1.

Hänvisningen till personuppgiftslagens bestämmelse om skadestånd, som regeringen i avsnitt 7.1.10 föreslår ska upphävas, bör dock ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig.

De krav på att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.

Upplysningsbestämmelsen i 8 kap. 6 § sista stycket bör av tydlighetsskäl vara kvar, medan den generella regeln i första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och formuleringen att den personuppgiftsansvarige ska lämna viss angiven information utöver vad som framgår av dataskyddsförordningen.

Andra rättigheter för den enskilde – upplysning till den enskilde

Regeringens bedömning: Nuvarande bestämmelse i 8 kap. 7 § patientdatalagen som upplyser om vissa rättigheter enligt den lagen kan behållas. Det finns dock inte anledning att införa en upplysande bestämmelse om de rättigheter som följer av EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer inte med regeringens bedömning. Utredningen föreslår att

bestämmelsen kompletteras med en hänvisning till rättigheter i EU:s Prop. 2017/18:171 dataskyddsförordning.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning: I 8 kap. 7 § patientdatalagen upplyses om att det i lagen finns föreskrifter om andra rättigheter för den enskilde i vissa andra bestämmelser. Vad gäller de angivna rättigheterna och deras förenlighet med dataskyddsförordningen bedömer utredningen att dessa kan behållas, se avsnitt 10.1.12–13 och 10.1.15 i SOU 2017:66.

Till skillnad från Socialdataskyddsutredningen anser regeringen att det inte finns anledning att införa en sådan upplysande bestämmelse i lagen med innehållet att ytterligare rättigheter för den enskilde finns i dataskyddsförordningen. Detta framgår av det förhållandet att patientdatalagen innehåller kompletterande bestämmelser till dataskyddsförordningen, se avsnitt 7.1.2.

Hänvisningar till S7-1-9

  • Prop. 2017/18:171: Avsnitt 10.11

7.1.10. Skadestånd

Regeringens förslag: Bestämmelsen i 10 kap. 1 § patientdatalagen som hänvisar till personuppgiftslagens bestämmelse om skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 10 kap. 1 § patientdatalagen som hänvisar till personuppgiftslagens bestämmelse om skadestånd bör i enlighet med vad regeringen kommit fram till i avsnitt 6.11.1 upphävas.

7.1.11. Bestämmelsen om överklagande upphävs

Regeringens förslag: Hänvisningen till personuppgiftslagens bestämmelser om överklagande i 10 kap. 2 § tredje stycket patientdatalagen upphävs.

Regeringens bedömning: Bestämmelsen om överklagande kan i övrigt behållas.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår att hänvisningen till personuppgiftslagens bestämmelser om överklagande ersätts med hänvisning till dataskyddslagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: Bestämmelser om överklagande finns i 10 kap. 2 § patientdatalagen. Av första stycket följer att Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i

Prop. 2017/18:171 fråga om omhändertagande eller återlämnande av patientjournaler enligt

9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Av andra stycket följer att i fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket angående utlämnande av en journalhandling gäller i tillämpliga delar 6 kap. 7–11 §§ offentlighetsoch sekretesslagen (2009:400). I tredje stycket upplyses om att vid sådan behandling av personuppgifter som avses i 1 kap. 4 §, dvs. behandling som är helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i ett register, finns ytterligare bestämmelser om överklagande i 5153 §§personuppgiftslagen. Övriga beslut enligt patientdatalagen får enligt fjärde stycket inte överklagas.

Hänvisningen till personuppgiftslagen i 10 kap. 2 § tredje stycket patientdatalagen bör, i enlighet med bedömningen i avsnittet 6.12, upphävas. De övriga bestämmelserna om överklagande rör andra beslut än sådana som kan överklagas enligt dataskyddslagen och bör därför behållas.

Hänvisningar till S7-1-11

  • Prop. 2017/18:171: Avsnitt 10.11

7.2. Apoteksdatalagen (2009:367)

7.2.1. Förhållandet till annan reglering

Regeringens förslag: I 5 § apoteksdatalagen införs en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av apoteksdatalagen eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-2-1

  • Prop. 2017/18:171: Avsnitt 10.12

7.2.2. Den enskildes inställning till behandling av personuppgifter

Regeringens bedömning: Bestämmelsen i 6 § apoteksdatalagen om den enskildes inställning till behandlingen av personuppgifter kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att de registerförfattningar som innehåller

bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Datainspektionen saknar emellertid sådana särskilda överväganden beträffande 6 § apoteksdatalagen. Någon kommentar gällande privata vårdgivare görs inte.

Skälen för regeringens bedömning

Rätten att invända mot behandling av personuppgifter

Behandling av personuppgifter som är tillåten enligt apoteksdatalagen får enligt 6 § första stycket apoteksdatalagen utföras även om den enskilde motsätter sig behandlingen.

Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter, under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller om behandlingen sker med stöd av en intresseavvägning.

Socialdataskyddsutredningen bedömer att stora delar av den behandling av personuppgifter som utförs enligt apoteksdatalagen, sker för att fullgöra en rättslig förpliktelse (SOU 2017:66 s. 376 f.). Eftersom dataskyddsförordningen inte ger den registrerade rätt att invända mot behandling som sker med stöd av den grunden, utgör bestämmelsen i 6 § första stycket apoteksdatalagen inte någon begränsning av den registrerades rätt att göra invändningar i förhållande till sådan behandling. Regeringen instämmer i denna bedömning.

När det däremot gäller behandling som grundar sig på ett allmänt intresse måste, som anges i avsnitt 6.8.2, en bedömning göras av om begränsningen av rätten att göra invändningar uppfyller de krav som anges i artikel 23 i dataskyddsförordningen.

Bestämmelsen måste för det första utgöra en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål gäller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (artikel 23.1 e). Bedrivande av verksamhet inom bl.a. hälso- och sjukvård inklusive den administration sådan verksamhet kräver är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen. Regeringen anser att även den behandling av personuppgifter som utförs av apoteken enligt apoteksdatalagen får anses utgöra ett sådant generellt allmänt intresse.

Prop. 2017/18:171 För det andra måste åtgärden att begränsa rätten att göra invändningar ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Att göra den behandling av personuppgifter som behövs i apotekens verksamhet enligt apoteksdatalagen beroende av den registrerades inställning skulle hindra apoteken från att bedriva arbetet på ett effektivt och patientsäkert sätt. En begränsning av rätten att invända mot behandling är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett generellt mål av allmänt intresse. Begränsningen anses inte strida mot andemeningen i de grundläggande rättigheterna och friheterna.

En begränsning av rätten att göra invändningar måste också uppfylla kraven i artikel 23.2 i dataskyddsförordningen på vilka bestämmelser som den lagstiftning som begränsar den registrerades rättigheter ska innehålla. Bestämmelser med det innehåll som krävs finns redan i apoteksdatalagen.

Det är sammantaget möjligt att begränsa möjligheten att göra invändningar mot behandling av personuppgifter på det sätt som regleras i 6 § första stycket apoteksdatalagen.

Samtycke som grund för behandlingen

Behandling av personuppgifter som inte är tillåten enligt apoteksdatalagen får enligt 6 § andra stycket apoteksdatalagen ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Socialdataskyddsutredningen ansåg att någon ny avvägning inte behöver göras angående lämpligheten i att grunda en behandling av personuppgifter på samtycke. Detta i enlighet med den bedömning som utredningen gör i betänkandet, SOU 2017:66 avsnitt 9.10.2.

Datainspektionen anser att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Datainspektionen saknar emellertid sådana särskilda överväganden beträffande 6 § apoteksdatalagen. Någon kommentar gällande privata vårdgivare görs inte.

Som anges i avsnitt 6.5.2 förekommer det att myndigheter och enskilda tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. En sådan regel finns i 6 § andra stycket apoteksdatalagen. Enligt den bedömning som redovisas i samma avsnitt kan sådana bestämmelser behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 till dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Regeringen delar därför inte Datainspektionens bedömning att ytterligare analys är nödvändig.

7.2.3. Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen i 9 § apoteksdatalagen till personuppgiftslagens bestämmelse om finalitetsprincipen tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 9 § apoteksdatalagen finns en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen.

Hänvisningen innebär att finalitetsprincipen, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, gäller. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Som anges i avsnitt 6.5.3 kan registerförfattningar även fortsättningsvis, i syfte att förtydliga att de uppräknade ändamålen inte är uttömmande, innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Eftersom personuppgiftslagen kommer att upphöra att gälla, bör bestämmelsen utformas i enlighet med vad som anges i det avsnittet.

Hänvisningar till S7-2-3

  • Prop. 2017/18:171: Avsnitt 10.12

7.2.4. Känsliga personuppgifter

Regeringens förslag: Apoteksdatalagen kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Regeringens bedömning: Behandling av känsliga personuppgifter inom apoteksdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i apoteksdatalagen.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse

Prop. 2017/18:171 med artikel 9. Det är inte förenligt med dataskyddsförordningen att

förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten. Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Skälen för regeringens förslag och bedömning: I avsnitt 6.6.4 anges vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Mot bakgrund av den omfattande uppräkningen av vad som innefattas i förvaltning av hälso- och sjukvårdstjänster i skäl 53 i dataskyddsförordningen och det förhållandet att personalen på apotek omfattas av samma tystnadsplikt som personalen vid vårdinrättningar, gör regeringen i likhet med Socialdataskyddsutredningen bedömningen att den verksamhet som apoteksdatalagen omfattar ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Apoteksdatalagens reglering är därmed förenlig med dataskyddsförordningen.

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i apoteksdatalagen. Apotekspersonal har redan tystnadsplikt enligt patientsäkerhetslagen (2010:659), se 6 kap. 12 § jämförd med 1 kap. 4 § patientsäkerhetslagen.

Som anges i avsnitt 6.6.6 anser regeringen att bestämmelser i särskilda registerförfattningar på Socialdepartementets område som tillåter behandling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med dataskyddsförordningen.

Hänvisningar till S7-2-4

  • Prop. 2017/18:171: Avsnitt 10.12

7.2.5. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 15 § apoteksdatalagen som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 15 § apoteksdatalagen hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.2.6. Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 16 § apoteksdatalagen kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter, rätten till skadestånd vid behandling av personuppgifter i strid med denna lag, vad som gäller i fråga om bevarande samt huruvida personuppgiftsbehandlingen är frivillig eller inte.

Hänvisningen till apoteksdatalagens bestämmelse om skadestånd ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: Enligt 16 § apoteksdatalagen ska den personuppgiftsansvarige se till att den registrerade får viss information om behandlingen av personuppgifter.

Bestämmelsen är en precisering av personuppgiftslagens informationsbestämmelser. I övrigt gäller bestämmelserna om information i 2327 §§personuppgiftslagen.

Regeringen har i avsnitt 6.8.1 redogjort för vilken information den personuppgiftsansvarige är skyldig att lämna till den registrerade enligt dataskyddsförordningen. Flera av de upplysningar som den personuppgiftsansvarige ska ta med i informationen enligt apoteksdatalagen motsvaras av informationsskyldigheten i dataskyddsförordningen.

I apoteksdatalagen anges dock ett antal upplysningar som inte omfattas av dataskyddsförordningens reglering, nämligen upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd samt vad som gäller i fråga om sökbegrepp. Informationsskyldigheten enligt dataskyddsförordningen innebär å sin sida krav på att informationen ska innehålla vissa upplysningar som inte följer av apoteksdatalagens reglering.

De bestämmelser i apoteksdatalagen som föreskriver att mer information ska lämnas än vad som krävs enligt dataskyddsförordningen kan, i enlighet med bedömningen som gjorts i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Att uppfylla de tillkommande kraven på information till den registrerade som föreskrivs i dataskyddsförordningen kan inte anses medföra

Prop. 2017/18:171 några särskilda olägenheter för den personuppgiftsansvarige. Det finns

därför, som anges i avsnitt 6.8.2, inte anledning att överväga en begränsning av rätten att få denna information.

Den personuppgiftsansvarige bör vara skyldig att lämna såväl den information som följer av dataskyddsförordningen som den ytterligare information som ska lämnas enligt apoteksdatalagen. Detta bör regleras genom att 16 § apoteksdatalagen kompletterar och hänvisar till dataskyddsförordningens reglering på det sätt som anges i avsnitt 6.8.1.

Hänvisningen till personuppgiftslagens bestämmelse om skadestånd, som regeringen i avsnitt 7.2.5 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig.

De krav i apoteksdatalagen som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort.

Även den generella regeln i 16 § första stycket apoteksdatalagen om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och formuleringen om att den personuppgiftsansvarige ska lämna viss angiven information utöver vad som framgår av dataskyddsförordningen.

Hänvisningar till S7-2-6

  • Prop. 2017/18:171: Avsnitt 10.12

7.3. Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

7.3.1. Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 4 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om behandling av personuppgifter i ärenden om licens för läkemedel eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av regeringens överväganden i avsnitt 6.3.

Hänvisningar till S7-3-1

  • Prop. 2017/18:171: Avsnitt 10.17

7.3.2. Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagens bestämmelse om finalitetsprincipen i 9 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 9 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel finns det en hänvisning till finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen. Det innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Som anges i avsnitt 6.5.3 kan registerförfattningar i förtydligande syfte även fortsättningsvis innehålla bestämmelser med innebörden att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.

Hänvisningar till S7-3-2

  • Prop. 2017/18:171: Avsnitt 10.17

7.3.3. Känsliga personuppgifter

Regeringens förslag: Lagen om behandling av personuppgifter i ärenden om licens för läkemedel kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Regeringens bedömning: Behandling av känsliga personuppgifter kan alltjämt ske med stöd av ändamålsbestämmelserna i lagen om behandling av personuppgifter i ärenden om licens för läkemedel.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Läkemedelsverket anser att 9 a § har karaktären av en upplysningsbestämmelse och att bestämmelsen därmed kanske inte är nödvändig eftersom utredningen redan gjort en bedömning att alla som enligt lagen

Prop. 2017/18:171 får behandla känsliga personuppgifter i ärenden om licens omfattas av

tystnadsplikt.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten.

Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Skälen för regeringens förslag och bedömning: Lagen om behandling av personuppgifter i ärenden om licens för läkemedel innehåller inte bestämmelser som särskilt tar sikte på behandling av känsliga personuppgifter utan ändamålsbestämmelserna tillåter nödvändig behandling av alla slags personuppgifter för de angivna ändamålen. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter, påverkas inte regleringen av att det har tillkommit nya kategorier av känsliga personuppgifter. Som anges i avsnitt 6.6.6 anser regeringen att bestämmelser i särskilda registerförfattningar på Socialdepartementets område som tillåter behandling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med dataskyddsförordningen.

I avsnitt 6.6.4 anges vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Mot bakgrund av den omfattande uppräkningen av vad som innefattas i förvaltning av hälso- och sjukvårdstjänster i skäl 53 i dataskyddsförordningen, görs bedömningen att den verksamhet som omfattas av lagen om behandling av personuppgifter i ärenden om licens för läkemedel ryms inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regleringen är således förenlig med dataskyddsförordningen.

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Regeringen instämmer i den bedömning Socialdataskyddsutredningen gör att den nationella regleringen blir tydligare om kravet framgår också av berörda registerförfattningar. Personalen vid Läkemedelsverket och Ehälsomyndigheten omfattas av bestämmelser om tystnadsplikt enligt bl.a. 25 kap. 1 § respektive 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).

Hänvisningar till S7-3-3

  • Prop. 2017/18:171: Avsnitt 10.17

7.3.4. Bestämmelsen om rättelse och skadestånd

upphävs

Regeringens förslag: Bestämmelsen i 20 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 20 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel hänvisar till personuppgiftslagensbestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.3.5. Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter och till skadestånd vid behandling av personuppgifter i strid med denna lag samt vad som gäller i fråga om gallring.

Hänvisningen till bestämmelsen om skadestånd i lagen om behandling av personuppgifter i ärenden om licens för läkemedel ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: I 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel regleras vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen är en precisering av de bestämmelser om information som finns i personuppgiftslagen. I övrigt gäller personuppgiftslagens bestämmelser om information i 23–27 §§ vid behandling som

Prop. 2017/18:171 sker enligt lagen om behandling av personuppgifter i ärenden om licens

för läkemedel.

Regeringen har i avsnitt 6.8.1 redogjort för dataskyddsförordningens reglering av den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Informationsskyldigheten enligt dataskyddsförordningen omfattar flera av de upplysningar som den personuppgiftsansvarige ska ta med i informationen enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel.

Bestämmelsen i lagen om behandling av personuppgifter i ärenden om licens för läkemedel omfattar dock även upplysningar som inte ingår i informationsskyldigheten enligt dataskyddsförordningen, nämligen upplysning om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd samt vad som gäller i fråga om sökbegränsningar. Enligt dataskyddsförordningen ska informationen vidare omfatta vissa upplysningar som inte framgår av lagen om behandling av personuppgifter i ärenden om licens för läkemedel.

Bestämmelserna i lagen om behandling av personuppgifter i ärenden om licens för läkemedel som innebär att mer information ska lämnas än vad som krävs enligt dataskyddsförordningens reglering kan, i enlighet med bedömningen i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Det kan inte anses innebära några särskilda svårigheter för den personuppgiftsansvarige att uppfylla de nya kraven på information till den registrerade som föreskrivs i dataskyddsförordningen. Det saknas därför, som anges i avsnitt 6.8.2, skäl att överväga en begränsning av den registrerades rätt till information.

Den personuppgiftsansvarige bör lämna såväl den information som följer av dataskyddsförordningen som den information som ska lämnas enligt lagen om behandling av personuppgifter i ärenden om licens för läkemedel. Bestämmelsen i 21 § lagen om behandling av personuppgifter i ärenden om licens för läkemedel bör på sätt som anges i avsnitt 6.8.1 komplettera och hänvisa till dataskyddsförordningens reglering.

Hänvisningen till bestämmelsen om skadestånd i lagen om behandling av personuppgifter i ärenden om licens för läkemedel, som regeringen i avsnitt 7.3.4 föreslår ska upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Även det som anges i 21 § första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige också ska lämna viss ytterligare information utöver vad som framgår av dataskyddsförordningen.

Hänvisningar till S7-3-5

  • Prop. 2017/18:171: Avsnitt 10.17

7.4. Lagen (2001:454) om behandling av

personuppgifter inom socialtjänsten

7.4.1. Lagens tillämpningsområde

Regeringens förslag: I lagen om behandling av personuppgifter inom socialtjänsten införs en bestämmelse om att lagen inte ska tillämpas vid behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår att lagen inte tillämpas vid behandling av personuppgifter som utförs av behöriga myndigheter för syften som anges i 1 kap. 2 § brottsdatalagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Datainspektionen framför att inom socialtjänsten finns det delar av verksamheten som utgör verkställighet av påföljder inom rättsväsendet.

Den personuppgiftsbehandling som utförs för dessa ändamål omfattas inte av dataskyddsförordningen utan i stället av ett direktiv, som i Sverige har föreslagits implementeras genom en brottsdatalag.

Socialstyrelsen anser att det behöver tydliggöras hur den föreslagna brottsdatalagens bestämmelser förhåller sig till regleringen i lagen om behandling av personuppgifter inom socialtjänsten samt till t.ex. bestämmelser om dokumentation och gallring i socialtjänstlagen. Så långt som det är möjligt är det önskvärt att socialnämnderna kan ha en sammanhållen reglering för all verksamhet.

Skälen för regeringens förslag: Viss verksamhet som anges i 2 § lagen om behandling av personuppgifter inom socialtjänsten innebär verkställighet av påföljder. Som exempel kan nämnas att en domstol överlämnar någon som har dömts för brott till vård enligt lagen (1988:870) om vård av missbrukare i vissa fall. Även ungdomsvård och ungdomstjänst utgör påföljder som verkställs inom socialtjänsten.

Detsamma gäller den verksamhet som bedrivs av Statens institutionsstyrelse i fråga om verkställighet av sluten ungdomsvård.

I de fall det är fråga om behandling av personuppgifter inom socialtjänsten som utförs av behöriga myndigheter för syften som anges i artikel 2.2 d i dataskyddsförordningen kommer inte dataskyddsförordningen att vara tillämplig, se avsnitten 5.1 och 6.3.

I lagrådsremissen föreslogs att lagen om behandling av personuppgifter inom socialtjänsten inte tillämpas vid behandling av personuppgifter som utförs av behöriga myndigheter för syften som anges i brottsdatalagen.

Lagrådet framför att eftersom någon lagrådsremiss med förslag till brottsdatalag ännu inte föreligger kan Lagrådet inte ta ställning till förslaget.

Regeringen anser att förslaget till ändring i lagen om behandling av personuppgifter inom socialtjänsten i stället lämpligen kan utformas på ett sätt som anknyter till det materiella tillämpningsområdet för dataskyddsförordningen. Av artikel 2.2 d i dataskyddsförordningen följer att förordningen inte ska tillämpas på behandling av personuppgifter som

Prop. 2017/18:171 behöriga myndigheter utför i syfte att bl.a. förebygga, förhindra, utreda,

avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen föreslår därför att det i 1 kap. 3 § lagen om behandling av personuppgifter inom socialtjänsten införs en bestämmelse om att lagen inte tillämpas vid behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordning. Liksom i övergångsbestämmelserna i förslaget till dataskyddslag, se propositionen Ny dataskyddslag (prop. 2017/18:105), bör det framgå att det är artikel 2.2 d i den ursprungliga lydelsen som avses, dvs. en statisk hänvisning. I annat fall kan en framtida ändring av artikel 2.2 d få till följd att viss behandling personuppgiftsbehandling, under en övergångsperiod, inte kommer att omfattas av någon författning alls.

Behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordningen kommer därmed inte att omfattas av lagen om behandling av personuppgifter inom socialtjänsten utan av den kommande brottsdatalag som föreslås träda i kraft den 1 augusti 2018.

I verksamheter som bedriver socialtjänst bedöms regleringen i den föreslagna brottsdatalagen främst komma att aktualiseras vid behandling av personuppgifter som rör verkställigheten av påföljder. Det kan t.ex. handla om olika beslut om tvångsvård och om tvångsåtgärder som vidtas därvid.

När det gäller behandling av personuppgifter för socialtjänstens syften omfattas sådan personuppgiftsbehandling inte av den föreslagna brottsdatalagen. Personuppgiftsbehandlingen regleras i stället av dataskyddsförordningens reglering och av de kompletterande bestämmelserna som finns i dataskyddslagen och den sektorsspecifika lagen om behandling av personuppgifter inom socialtjänsten. Den omständigheten att t.ex. tvångsvård avser såväl verkställigheten av påföljder som socialtjänst medför att det kan förekomma fall där det finn vissa svårigheter att avgöra vilken rättslig reglering som ska tillämpas.

För det fall fråga uppkommer om vilken lag som är tillämplig kan vägledning hämtas i lagrådsremissen (och den kommande propositionen) Brottsdatalag och delbetänkandet SOU 2017:29. Har behandlingen flera syften kan de olika regelverken vara tillämpliga parallellt.

Hänvisningar till S7-4-1

  • Prop. 2017/18:171: Avsnitt 10.4

7.4.2. Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 4 § lagen om behandling av personuppgifter inom socialtjänsten ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om behandling av personuppgifter inom socialtjänsten eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 4 § lagen om be- Prop. 2017/18:171 handling av personuppgifter inom socialtjänsten, om förhållandet till annan lagstiftning, bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-4-2

  • Prop. 2017/18:171: Avsnitt 10.4

7.4.3. Känsliga personuppgifter

Regeringens förslag: Bestämmelsen i 7 § första stycket 2 lagen om behandling av personuppgifter inom socialtjänsten, som tillåter behandling av känsliga personuppgifter, ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning.

Lagen om behandling av personuppgifter inom socialtjänsten kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Socialdataskyddsutredningens förslag: Överensstämmer i allt väsentligt med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen om påminnelse om kravet på tystnadsplikt.

Utredningen föreslår att det i nuvarande 7 a § förtydligas att de känsliga personuppgifter som avses är desamma som i 7 § första stycket 2.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Datainspektionen anser att nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten.

Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs.

Helsingborgs kommun har uppfattat att utredningen föreslår att en bestämmelse om tystnadsplikt för den som behandlar känsliga personuppgifter förs in i lagen om behandling av personuppgifter inom socialtjänsten. Enligt dataskyddsförordningen får känsliga personuppgifter endast behandlas av eller under ansvar av en tjänsteperson som omfattas av tystnadsplikt. Det finns ingen konsekvensbeskrivning i utredningen av vad formuleringen under ansvar av innebär. Det behöv ett förtydligande för att klargöra ansvarsförhållandet mellan myndighet och underleverantör när en sådan behandlar känsliga personuppgifter för myndighetens räkning.

Skälen för regeringens förslag: Som anges i avsnitt 6.6.4 är bedömningen att undantaget avseende hälso- och sjukvård samt social omsorg i artikel 9.2 h i dataskyddsförordningen innefattar sådan verksamhet som avses i 2 § lagen om behandling av personuppgifter inom socialtjänsten.

Prop. 2017/18:171 Bestämmelsen som tillåter behandling av känsliga personuppgifter inom

tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten bedöms därmed förenlig med dataskyddsförordningen och kan och bör behållas.

Som också anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om behandling av personuppgifter inom socialtjänsten. Tystnadsplikt gäller redan inom socialtjänsten enligt 26 kap. offentlighets- och sekretesslagen (2009:400), 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade.

Begränsningarna av vilka känsliga personuppgifter som får behandlas enligt 7 § andra stycket och 7 a § lagen om behandling av personuppgifter inom socialtjänsten får anses utgöra skyddsåtgärder enligt dataskyddsförordningen. Sådana bestämmelser är tillåtna med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c och e i dataskyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i avsnitt 6.9.2, inte ändras med anledning av dataskyddsförordningen.

Dataskyddsförordningen innehåller nya kategorier av känsliga personuppgifter – genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Socialdataskyddsutredningen anser att bestämmelsen som tillåter behandling av känsliga personuppgifter i lagen om behandling av personuppgifter inom socialtjänsten i enlighet med utredningens bedömning även bör omfatta de nya kategorierna av känsliga personuppgifter. Som anges i avsnitt 6.6.6 anser också regeringen att bestämmelser i särskilda registerförfattningar på Socialdepartementets område som tillåter behandling av alla kategorier av känsliga personuppgifter enligt nuvarande definition bör avse också de nya kategorier av känsliga personuppgifter som tillkommer med dataskyddsförordningen. De nya kategorierna av känsliga personuppgifter får endast behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen. Det bör tillmätas betydelse att de nytillkomna kategorierna också bör omfattas av begränsningarna av behandling av känsliga personuppgifter i 7 § andra stycket, dvs. att uppgifterna får endast behandlas om dessa har lämnats i ett ärende eller är nödvändiga för verksamheten. Vidare att dessa inte får tas in i en sammanställning av personuppgifter enligt 7 a § lagen om behandling av personuppgifter inom socialtjänsten.

I 7 § första stycket 2 lagen om behandling av personuppgifter inom socialtjänsten bör därför hänvisas till samtliga kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen.

Till skillnad från Socialdataskyddsutredningen anser regeringen inte att det i nuvarande 7 a § behöver förtydligas att de känsliga personuppgifter som avses är desamma som i 7 § första stycket 2.

Hänvisningar till S7-4-3

  • Prop. 2017/18:171: Avsnitt 10.4

7.4.4. Bestämmelsen om rättelse och skadestånd

upphävs

Regeringens förslag: Bestämmelsen i 9 § lagen om behandling av personuppgifter inom socialtjänsten som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 9 § lagen om behandling av personuppgifter inom socialtjänsten ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt lagen om behandling av personuppgifter inom socialtjänsten.

Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.4.5. Bestämmelsen om överklagande upphävs

Regeringens förslag: Bestämmelsen om överklagande i 10 § lagen om behandling av personuppgifter inom socialtjänsten upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Beslut inom socialtjänsten om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen får enligt 10 § första stycket lagen om behandling av personuppgifter inom socialtjänsten överklagas hos allmän förvaltningsdomstol. Andra beslut enligt lagen om behandling av personuppgifter inom socialtjänsten får däremot inte överklagas. Av 10 § andra stycket framgår att prövningstillstånd krävs vid överklagande till kammarrätten.

I avsnitt 6.12 har regeringen gjort bedömningen att det inte finns skäl att reglera möjligheten att överklaga i registerförfattningar på annat sätt än i enlighet med vad som följer av den förslagna dataskyddslagen. Det har inte framkommit några särskilda skäl som motiverar att möjligheten att överklaga beslut inom socialtjänsten ska vara mer omfattande än vad som gäller i övriga verksamheter. Regeringen gör därför bedömningen att bestämmelserna om överklagande i den föreslagna dataskyddslagen bör gälla även inom tillämpningsområdet för lagen om behandling av personuppgifter inom socialtjänsten. Bestämmelsen i 10 § lagen om behandling av personuppgifter inom socialtjänsten bör därför upphävas.

7.5. Socialförsäkringsbalken

7.5.1. Bestämmelsen om tillämpningsområdet behålls

Regeringens förslag: Definitionen av socialförsäkringen administration placeras i 114 kap. 2 § första stycket socialförsäkringsbalken.

Regeringens bedömning: Inga förändringar krävs av bestämmelsen om tillämpningsområdet i 114 kap. 2 § socialförsäkringsbalken.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens bedömning. Utredningen föreslår en annan placering av definitionen av socialförsäkringens administration.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Pensionsmyndigheten anser att bestämmelsen inte behövs eftersom personuppgiftsbehandling regleras direkt av dataskyddsförordningen.

Skälen för regeringens bedömning: Bestämmelsen bör inte ändras vad avser bestämmelsens tillämpningsområde av de skäl som anges i avsnitt 6.2. Med anledning av Lagrådets synpunkter föreslår regeringen att bestämmelsen med definitionen av socialförsäkringens administration placeras sist i 114 kap. 2 § första stycket, se avsnitt 7.5.4.

Hänvisningar till S7-5-1

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.2. Rätten att invända mot behandling av personuppgifter

Regeringens bedömning: Bestämmelsen i 114 kap. 3 § socialförsäkringsbalken bör även fortsättningsvis innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Pensionsmyndigheten ställer sig principiellt tveksam till inskränkningar av de rättigheter som gäller enligt dataskyddsförordningen eftersom sådana inskränkningar riskerar att urholka det skydd för integriteten som förordningen är avsedd att ge. Sådana inskränkningar ska inte göras generellt utan först efter noggranna överväganden i varje enskilt fall. 114 kap. 3 § socialförsäkringsbalken innebär en begränsning av rätten att invända mot behandling. Pensionsmyndigheten anser att bestämmelsen bör kunna upphävas, eftersom behovet av dessa inskränkningar inte väger tyngre än de registrerades intresse av att rättigheterna inte inskränks.

Skälen för regeringens bedömning: Enligt 114 kap. 3 § socialförsäkringsbalken får sådan behandling av personuppgifter som är tillåten enligt det kapitlet utföras även om den registrerade motsätter sig behandlingen.

Den registrerade har enligt dataskyddsförordningen rätt att invända Prop. 2017/18:171 mot behandling av personuppgifter, under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se vidare avsnitt 6.8.1). Den behandling som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken är till största delen sådan behandling. Bestämmelsen i 114 kap. 3 § socialförsäkringsbalken utgör en begränsning av rätten att göra invändningar mot behandling av personuppgifter i artikel 21 i dataskyddsförordningen. En sådan bestämmelse förutsätter, i enlighet med vad som framgår av avsnitt 6.8.2, att de villkor som anges i artikel 23 i dataskyddsförordningen är uppfyllda. Vilka villkoren är framgår av samma avsnitt. Ett av kraven är att bestämmelsen utgör en åtgärd i syfte att säkerställa något av de mål som anges i artikel 23.1 i dataskyddsförordningen. Ett av dessa mål, punkt e, gäller ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. Regeringen anser att bedrivande av verksamhet inom bl.a. socialförsäkring och pensioner, inklusive den administration dessa verksamheter kräver, är ett sådant allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.

En ytterligare förutsättning för att en begränsning ska få göras enligt artikel 23.1 i dataskyddsförordningen är att den utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa det aktuella intresset. Försäkringskassan och Pensionsmyndigheten, som administrerar socialförsäkring och pensioner, behandlar personuppgifter helt eller delvis automatiserat. Elektroniska ärendehanteringssystem utgör en integrerad del av myndigheternas handläggning av ärenden, och systemen har tagits fram i syfte att främja såväl effektivitet som rättssäkerhet samtidigt som integritetsaspekter beaktats. Rätten till förmåner enligt socialförsäkringsbalken är i och för sig inte beroende av myndigheternas möjlighet att behandla personuppgifter automatiserat, men en möjlighet för den registrerade att invända mot den normala hanteringen skulle påtagligt försvåra arbetet för myndigheterna. En delvis manuell hantering skulle minska effektiviteten, öka kostnaderna och riskera en negativ påverkan på objektivitet och likabehandling. Mot bakgrund av det starka intresset av en enhetlig elektronisk ärendehantering, måste ett undantag från rätten att invända mot behandling av personuppgifter i verksamhet som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken anses utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Begränsningen kan inte heller anses strida mot andemeningen i de grundläggande rättigheterna och friheterna.

De specifika bestämmelser som krävs enligt artikel 23.2 i dataskyddsförordningen, om bl.a. olika skyddsåtgärder för personuppgifterna, finns redan i 114 kap. socialförsäkringsbalken.

Regeringen bedömer – till skillnad från Pensionsmyndigheten – att 114 kap. 3 § socialförsäkringsbalken även fortsättningsvis kan och bör innehålla en begränsning av den registrerades rätt att invända mot behandling av personuppgifter som rör honom eller henne.

7.5.3. Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 114 kap. 6 § socialförsäkringsbalken ska innehålla en upplysning om att kapitlet kompletterar EU:s dataskyddsförordning.

Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av 114 kap. socialförsäkringsbalken eller föreskrifter som har meddelats i anslutning till det kapitlet.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Se avsnitt 6.3. Skälen för regeringens förslag: Bestämmelsen i 114 kap. 6 § socialförsäkringsbalken om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-5-3

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.4. Bestämmelsen om personuppgiftsansvar placeras i en egen paragraf

Regeringens förslag: Bestämmelsen om personuppgiftsansvar placeras i en ny paragraf.

Regeringens bedömning: Bestämmelsen om personuppgiftsansvar ändras inte i sak.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår att definitionen av socialförsäkringens administration ska placeras i samma paragraf som bestämmelsen om personuppgiftsansvar.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Pensionsmyndigheten anför att det vore mer ändamålsenligt att inte reglera personuppgiftsansvaret alls, utan i stället låta dataskyddförordningens bestämmelser gälla, vilket ger möjligheter till ett gemensamt personuppgiftsansvar när sådana förhållanden som gör det tillåtet och lämpligt är för handen. Detta skulle även gynna de registrerade eftersom det då ankommer på Pensionsmyndigheten och Försäkringskassan tillsammans och under öppna former att fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen. Av 114 kap. socialförsäkringsbalken framgår nämligen att Pensionsmyndigheten och

Försäkringskassan är personuppgiftsansvarig för sin egen respektive behandling av personuppgifter i socialförsäkringsdatabasen. I själva verket är det många gånger samma uppgifter som behandlas av båda myndigheterna, men behandlingen kan skilja sig såtillvida att den ena myndigheten samlar in uppgifterna och den andra myndigheten behandlar uppgifterna för att exempelvis fastställa intjänande eller för att besluta om socialförsäkringsförmåner. Praktiska tillämpningsproblem uppstår då i förhållande till skyldigheter som ankommer på den personuppgiftsansvarige, såsom skyldigheten att rapportera personuppgiftsincidenter,

och i förhållande till de rättigheter som tillkommer de registrerade. Prop. 2017/18:171 Frågor som blir mer eller mindre svåra att lösa är t.ex. vilken myndighet som ska rapportera en incident avseende en uppgift som behandlas av båda myndigheterna, eller om en behandling kan begränsas hos den ena myndigheten men inte den andra. Kanske finns det hos en myndighet skäl att begränsa behandlingen, men inte hos den andra. Frågan är hur en sådan situation hanteras praktiskt och tekniskt. I förlängningen blir det även en rättssäkerhetsfråga såtillvida att det i ljuset av de skärpta sanktioner som regelverket är förenade med inte får råda någon tvekan om vilken myndighet som bär ansvaret vid bristande regelefterlevnad. Därtill kommer vikten av att det för de registrerade är tydligt vilken myndighet de ska vända sig till för att framställa en begäran om tillgodoseende av rättigheter. Bestämmelsen om personuppgiftsansvar bör därför upphävas. I andra hand menar Pensionsmyndigheten att bestämmelsen om personuppgiftsansvar i 114 kap. 6 § andra stycket bör kompletteras så att det anges att personuppgiftsansvaret för uppgifter i socialförsäkringsdatabasen kan vara gemensamt mellan Pensionsmyndigheten och Försäkringskassan.

Skälen för regeringens förslag och bedömning: I 114 kap. 6 § andra stycket socialförsäkringsbalken regleras vem som är personuppgiftsansvarig. Pensionsmyndigheten anser att bestämmelsen bör upphävas och att enbart dataskyddsförordningen ska tillämpas i stället.

Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Motsvarande gäller enligt artikel 2 d i dataskyddsdirektivet.

Det är således tillåtet enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig, på samma sätt som enligt dataskyddsdirektivet. Om den personuppgiftsansvarige finns angiven i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.

Enligt skäl 45 i dataskyddsförordningen bör medlemsstaternas nationella rätt reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

Regeringen anser därför att bestämmelsen om vem som är personuppgiftsansvarig kan och bör behållas. Pensionsmyndigheten anför att bestämmelsen i så fall bör kompletteras så att det anges att personuppgiftsansvaret för uppgifter i socialförsäkringsdatabasen kan vara gemensamt mellan Pensionsmyndigheten och Försäkringskassan. Regeringen har i avsnitt 5.2 bedömt att detta lagstiftningsärende bör avgränsas till att

Prop. 2017/18:171 hantera de anpassningar i författningar inom Socialdepartementets verk-

samhetsområde som i nuläget bedöms behövas med anledning av dataskyddsförordningens ikraftträdande. Den ändring som Pensionsmyndigheten föreslår behövs inte med anledning av förordningen och hanteras därför inte i detta ärende. Bestämmelsen om personuppgiftsansvar bör därför inte ändras på annat sätt än att den för att öka överskådligheten placeras i en egen paragraf.

Socialdataskyddsutredningen föreslår att definitionen av socialförsäkringens administration ska placeras i samma paragraf, 114 kap. 6 a §, som bestämmelsen om personuppgiftsansvar. Lagrådet anser att en lämpligare ordning synes vara att de myndigheter det är fråga om pekas ut redan i en andra mening i 114 kap. 2 § första stycket. Regeringen instämmer i denna bedömning och föreslår därför att definitionen av socialförsäkringens administration i stället placeras i kapitlets början, 114 kap. 2 § första stycket, se vidare avsnitt 7.5.1.

Hänvisningar till S7-5-4

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.5. Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Bestämmelsen i 114 kap. 10 § ändras på det sättet att hänvisningen till personuppgiftslagen tas bort. I stället anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 114 kap. 10 § socialförsäkringsbalken finns det en hänvisning till 9 § första stycket d personuppgiftslagen, den s.k. finalitetsprincipen. Bestämmelsen innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. I 114 kap. 10 § socialförsäkringsbalken finns det också en hänvisning till 9 § andra stycket personuppgiftslagen, där det förtydligas att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

I enlighet med vad som anges i avsnitt 6.5.3, bör det även fortsättningsvis finnas en bestämmelse som klargör att de i 114 kap. socialförsäkringsbalken angivna ändamålen inte är uttömmande. Bestämmelsen bör utformas i enlighet med vad som anges i det avsnittet.

Hänvisningar till S7-5-5

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.6. Känsliga personuppgifter och uppgifter om

lagöverträdelser

Regeringens förslag: Bestämmelserna som reglerar behandling av känsliga personuppgifter i 114 kap. 11 § socialförsäkringsbalken ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning.

Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser tas bort. I stället ska det i 114 kap. 12 § socialförsäkringsbalken uttryckligen anges vilka personuppgifter om lagöverträdelser m.m. som får behandlas medan det i 114 kap. 13 §, 15 § andra stycket och 16 § hänvisas till 114 kap. 12 § första stycket.

Regeringens bedömning: I övrigt bör bestämmelserna i 114 kap. 11 och 12 §§, 15 § andra stycket och 16 § socialförsäkringsbalken behållas i sak.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer i allt väsentligt med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning och förslag.

Övriga synpunkter, se avsnitt 6.6.3 och 6.6.6.

Skälen för regeringens förslag och bedömning

Känsliga personuppgifter

Känsliga personuppgifter får enligt 114 kap. 11 § socialförsäkringsbalken behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Det är dessutom tillåtet att behandla känsliga personuppgifter om det är nödvändigt för vissa angivna ändamål. För vissa ändamål gäller att endast uppgifter om hälsa får behandlas. Det finns också en begränsning som innebär att behandling av känsliga personuppgifter för vissa ändamål inte får ske annat än om uppgifterna redan har behandlats för vissa andra ändamål. I 114 kap. 15 § andra stycket första och andra meningarna och 114 kap. 16 § socialförsäkringsbalken finns det vissa begränsningar av behandling av känsliga personuppgifter i socialförsäkringsdatabasen. I 114 kap. 13 § finns det en upplysning om bestämmelserna i 114 kap. 15 §.

Behandling av känsliga personuppgifter hos myndigheterna inom socialförsäkringens administration är nödvändig med hänsyn till ett viktigt allmänt intresse. Bestämmelserna som tillåter behandling av känsliga personuppgifter inom tillämpningsområdet för 114 kap. socialförsäkringsbalken är, i enlighet med vad som konstaterats i avsnitt 6.6.3, förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas.

Dataskyddsförordningen innehåller nya kategorier av känsliga personuppgifter – genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Även de nytillkomna uppgifterna bör omfattas av den särskilda regleringen av

Prop. 2017/18:171 behandling av känsliga personuppgifter i 114 kap. socialförsäkrings-

balken i enlighet med vad som sägs i avsnitt 6.6.6.

Begränsningarna av under vilka förutsättningar känsliga personuppgifter får behandlas får anses utgöra sådana lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Begränsningarna kan och bör därför behållas. Detsamma gäller för begränsningen som innebär att endast uppgifter om hälsa får behandlas för vissa ändamål.

Bestämmelsen i 114 kap. 11 § andra stycket bör, i enlighet med den bedömning som har gjorts i avsnitt 6.6.6, inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning. Det kommer även fortsättningsvis endast vara tillåtet att behandla sådana känsliga uppgifter som rör hälsa för de aktuella ändamålen. Som anges i avsnitt 6.6.6 förekommer det emellertid att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana uppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa, kan behandlas som en uppgift om hälsa med stöd av bestämmelsen i 114 kap. 11 § andra stycket socialförsäkringsbalken. Det har inte framkommit något behov av att behandla sådana uppgifter, och det behövs därför inget förtydligande kring det i paragrafen.

Bestämmelserna i 114 kap. 11 § första och tredje styckena socialförsäkringsbalken bör omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen.

Uppgifter om lagöverträdelser m.m.

I 114 kap. 12 § och 15 § andra stycket samt 16 § socialförsäkringsbalken finns det bestämmelser som begränsar möjligheten att behandla personuppgifter om lagöverträdelser. Myndigheters möjligheter att behandla personuppgifter om lagöverträdelser behöver, i enlighet med vad som framgår av avsnitt 6.7, inte ändras med anledning av dataskyddsförordningen. Eftersom bestämmelserna innehåller hänvisningar till personuppgiftslagen som kommer att upphöra att gälla i samband med att dataskyddsförordningen ska börja tillämpas, måste bestämmelserna dock ändras. I 114 kap. 12 § socialförsäkringsbalken bör det uttryckligen anges vilka personuppgifter om lagöverträdelser m.m. som får behandlas medan det i 114 kap. 13 § och 15 § andra stycket samt 16 § hänvisas till 114 kap. 12 § första stycket.

Hänvisningar till S7-5-6

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.7. Sökbegränsningar

Regeringens förslag: Bestämmelsen om användning av känsliga personuppgifter som sökbegrepp i 114 kap. 27 § första stycket socialförsäkringsbalken ska omfatta alla känsliga personuppgifter enligt den utvidgade definitionen i EU:s dataskyddsförordning. Hänvisningen till personuppgiftslagens definition av uppgifter om lagöverträdelser ersätts med en hänvisning till 114 kap. 12 § socialförsäkringsbalken.

Regeringens bedömning: Bestämmelserna om sökbegränsningar i 114 kap.27 och 28 §§socialförsäkringsbalken bör behållas i sak.

Socialdataskyddsutredningens förslag och bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning och förslag.

Skälen för regeringens förslag och bedömning: I 114 kap. 27 § socialförsäkringsbalken finns det ett förbud mot att använda känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp vid sökning i socialförsäkringsdatabasen. Bestämmelserna innehåller också en begränsning som innebär att endast beteckning på ett ärende eller en handling får användas som sökbegrepp vid sökning som omfattar innehållet i fler än en handling. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt enligt sista stycket i samma paragraf. Enligt 114 kap. 28 § socialförsäkringsbalken får uppgifter om hälsa användas under vissa förutsättningar om regeringen eller den myndighet regeringen bestämmer meddelat föreskrifter om det.

Förbudet mot att använda känsliga personuppgifter som sökbegrepp i 114 kap. 27 § första stycket får anses utgöra en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Bestämmelsen kan och bör därmed behållas.

Som anges i avsnitt 6.6.6 har nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. De nytillkomna kategorierna bör, i enlighet med vad Socialdataskyddsutredningen kommit fram till omfattas av sökförbudet i de nu aktuella bestämmelserna.

Sökbegränsningen avseende uppgifter om lagöverträdelser kan behållas (se avsnitt 6.7), eftersom den avser behandling som sker med stöd av artikel 6.1c eller e i dataskyddsförordningen eller endast omfattar myndigheters möjligheter att behandla personuppgifter om lagöverträdelser.

Bestämmelsen som begränsar möjligheten att söka med hjälp av annat än beteckningen på ett ärende eller en handling i 114 kap. 27 § andra stycket utgör, som framgått av avsnitt 6.9, en form av skyddsåtgärd enligt dataskyddsförordningen. Bestämmelser om skyddsåtgärder är tillåtna med stöd av artiklarna 6.2 och 6.3 i dataskyddsförordningen när det gäller reglering av behandling som grundar sig på en rättslig för-

Prop. 2017/18:171 pliktelse eller arbetsuppgift av allmänt intresse eller som ett led i

myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelsen bör därmed inte ändras.

Bestämmelsen i 114 kap. 28 § socialförsäkringsbalken som anger att uppgifter som rör hälsa får användas som sökbegrepp om föreskrifter har meddelats om det, bör i enlighet med bedömningen i avsnitt 6.6.6 inte utvidgas till att omfatta några av de nya kategorierna av känsliga personuppgifter utan behållas i sin nuvarande utformning. Det kommer även fortsättningsvis endast vara möjligt att meddela föreskrifter som tillåter behandling av sådana känsliga uppgifter som rör hälsa. Det förekommer emellertid att de olika kategorierna av känsliga personuppgifter överlappar varandra. Sådana personuppgifter som omfattas av någon av de nya kategorierna men som även utgör en uppgift om hälsa kan enligt regeringens bedömning således omfattas av föreskrifter som meddelas med stöd av bestämmelsen i 114 kap. 28 § socialförsäkringsbalken.

Hänvisningar till S7-5-7

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.8. Överföring av personuppgifter till tredjeländer

Regeringens förslag: Bestämmelsen i 114 kap. 29 § socialförsäkringsbalken ändras på det sättet att det anges att personuppgifter får föras över till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige har ingått med andra stater.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Pensionsmyndigheten anser att bestämmelsen inte behövs, eftersom behandlingen regleras direkt i förordningen.

Datainspektionen ifrågasätter utredningens bedömning att bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland inte behöver ändras om det finns stöd för överföringen i dataskyddsförordningen eftersom det får anses vara en sådan mer specifik, eller särskild, bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt. Överföring av personuppgifter till tredjeländer regleras i kapitel V i dataskyddsförordningen. I vilka fall det är möjligt med nationell reglering avseende tredjelandsöverföring framgår av kapitel V. Den konkreta bestämmelsen som berörs är 114 kap. 29 § socialförsäkringsbalken. För att säkerställa om undantagen är förenliga med dataskyddsförordningen är det nödvändigt att finna stöd i en artikel som möjliggör sådana nationella regleringar. Av artikel 49.1 d dataskyddsförordningen framgår att överföring till tredjeland kan vara tillåtet om överföringen är nödvändig av viktiga skäl som rör allmänintresset. Det framgår vidare av artikel 49.4 att allmänintresset ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av. Att själva allmänintresset kan erkännas av nationell rätt framgår således direkt i artikeln. Enligt Datainspektionens bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell rätt generellt tillåta överföring till tredje land. En personuppgiftsansvarig

som vill föra över uppgifter till tredje land med stöd av denna punkt Prop. 2017/18:171 måste alltid försäkra sig om att förutsättningarna för överföringen är uppfyllda. Möjligheten till nationell reglering med hänsyn till viktiga allmänintressen finns i stället i artikel 49.5. Enligt denna artikel krävs dock att det i den nationella rätten fastställs gränser för överföringen av specifika kategorier av personuppgifter till ett tredje land eller en internationell organisation. Medlemsstaterna ska också underrätta kommissionen om sådana bestämmelser.

Sveriges advokatsamfund anser att det i sig alltid är förenat med särskilda risker att lämna ut personuppgifter till annat land, inte minst till länder utanför EU och EES. En särskild problematik ligger i det att vare sig de svenska personuppgiftsansvariga myndigheterna eller de registrerade kan förutse hur personuppgifterna kommer att användas, eftersom överlämnandet inte kan förenas med villkor som strider mot tvingande bestämmelser i nationell rätt i dessa länder. Det är av väsentlig betydelse att de personuppgiftsansvariga myndigheterna gör en noggrann bedömning av riskerna att uppgifterna kan komma att behandlas för ändamål som inte är förenliga med dataskyddsförordningen och de föreslagna bestämmelserna.

Skälen för regeringens förslag: Enligt artikel 49.1 d i dataskyddsförordningen, som är direkt tillämplig, får en överföring till ett tredjeland göras när den är nödvändig av viktiga skäl som rör allmänintresset.

Allmänintresset ska enligt artikel 49.4 vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av. Av skäl 112 i dataskyddsförordningen framgår att internationella utbyten av uppgifter mellan socialförsäkringsmyndigheter är en uppgiftsöverföring som krävs och är nödvändig med hänsyn till viktiga allmänintressen.

Enligt 114 kap. 29 § socialförsäkringsbalken får överföring av personuppgifter till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater ske utan hinder av 33 § personuppgiftslagen. Överföring av personuppgifter på grund av avtal om social trygghet bedöms i förarbetena till 114 kap. 29 § socialförsäkringsbalken vara ett viktigt allmänt intresse enligt artikel 26 i dataskyddsdirektivet (prop. 2002/03:135 s. 112 f.).

Lagrådet ifrågasätter lagrådsremissens tillägg i paragrafen som lyder ”under förutsättning att villkoren i kapitel V i EU:s dataskyddsförordning är uppfyllda”. Något sådant tillägg föreslås inte i fråga om förslaget till ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa (avsnitt 7.16.1) som också gäller överföring av personuppgifter till tredjeland (jfr även förslaget till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention i lagrådsremissen den 11 januari 2018, ”Kreditupplysningslagen och dataskyddsförordningen”).

Regeringen, som instämmer i Lagrådets bedömning, föreslår att bestämmelsen utformas enligt den lydelse som Socialdataskyddsutredningen föreslår. Överföring av personuppgifter till tredjeland kommer framöver att regleras av kapitel V i dataskyddsförordningen. När dataskyddsförordningen börjar tillämpas är 114 kap. 29 § socialförsäkringsbalken inte längre nödvändig. Utan överföringen kan ske direkt med stöd av dataskyddsförordningen. Regeringen anser att bedömningen i prop. 2002/03:135 fortfarande gäller, och bestämmelsen fyller en funktion för att klargöra erkännandet av allmänintresset av att personuppgifter får

Prop. 2017/18:171 föras över till tredjeland på grund av åtaganden i avtal om social trygghet

som Sverige har ingått med andra stater. Regeringen bedömer att en sådan klargörande bestämmelse är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen och att den bör behållas. Eftersom personuppgiftslagen kommer att upphävas, bör dock hänvisningen till den lagen tas bort.

Hänvisningar till S7-5-8

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.9. Bestämmelsen om gallring får ändrad lydelse

Regeringens förslag: Bestämmelsen i 114 kap. 31 § socialförsäkringsbalken ändras så att formuleringen om historiska, statistiska eller vetenskapliga ändamål överensstämmer med den som används i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Pensionsmyndigheten anser att bestämmelsen om gallring inte behövs i och med att behandlingen regleras direkt i förordningen.

Skälen för regeringens förslag: Enligt 114 kap. 31 § socialförsäkringsbalken ska personuppgifter som behandlas automatiskt gallras när de inte längre är nödvändiga för de ändamål som anges i 114 kap. 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelser om gallring och bevarande behöver inte ändras i sak under de förutsättningar som anges i avsnitt 6.10. Detsamma gäller delegationsbestämmelser som ger rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för vissa ändamål. Bestämmelserna i 114 kap. 31 § socialförsäkringsbalken bör behållas. Bestämmelsen ska dock ändras så att formuleringar överensstämmer med dataskyddsförordningens lydelse.

Hänvisningar till S7-5-9

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.10. Information som ska lämnas på begäran

Regeringens förslag: Hänvisningen till personuppgiftslagen i 114 kap. 30 § socialförsäkringsbalken ändras till att avse artikel 15 i

EU:s dataskyddsförordning. Bestämmelsen om att information bara behövs lämnas gratis en gång per kalenderår gällande varje handling för sig tas bort.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Pensionsmyndigheten anför att 114 kap. 30 § socialförsäkringsbalken innehåller en begränsning av registrerades rätt till information. Bestämmelsen bör upphävas eftersom behovet av inskränkningen inte väger tyngre än de registrerades intresse av att rättigheten inte inskränks.

Skälen för regeringens förslag: I 114 kap. 30 § socialförsäkrings- Prop. 2017/18:171 balken finns det en bestämmelse som kompletterar 26 § personuppgiftslagen, som i sin tur anger vilken information den personuppgiftsansvarige ska lämna på begäran av den registrerade, dvs. den information som lämnas i ett s.k. registerutdrag. Enligt 26 § personuppgiftslagen ska information lämnas om vilka uppgifter om den sökande som behandlas.

Enligt 114 kap. 30 § socialförsäkringsbalken gäller denna skyldighet i ett första skede inte personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende, om den registrerade tagit del av handlingens innehåll. Eftersom den enskilde ofta i enlighet med förvaltningslagen har kommunicerats uppgifter som tillförts ett ärende från annan än honom eller henne själv, har den registrerade i de flesta fall tagit del av de personuppgifter som finns i handlingar som kommit in i ett ärende eller upprättats i ett ärende. Då behöver Försäkringskassan eller Pensionsmyndigheten endast lämna information om vilka sådana handlingar som finns i ärendet. Om den registrerade sedan begär att få information om personuppgifter i en sådan handling och anger vilken handling som avses, ska registerutdraget omfatta även dessa uppgifter, om inte annat följer av bestämmelser om sekretess.

I dataskyddsförordningen framgår skyldigheten att lämna information på begäran av den registrerade av artikel 15. Bestämmelsen i 114 kap. 30 § socialförsäkringsbalken medför en viss begränsning av rätten enligt artikel 15 i dataskyddsförordningen. Samtlig information kan inte fås i ett första steg utan det krävs att den registrerade först tar del av information om vilka handlingar som finns, för att sedan begära att även få del av innehållet i handlingarna. Begränsningen är dock inte särskilt ingripande och medför ingen rättsförlust, eftersom rätten att få del av samtliga personuppgifter kvarstår även om den förutsätter en större ansträngning från den registrerades sida.

Begränsningen får förutsättas ha stöd i personuppgiftslagen och dataskyddsdirektivet. Befintliga begränsningar av den registrerades rättigheter kan och bör behållas (se avsnitt 6.8.2).

För den händelse bestämmelsen även skulle innebära en utvidgning av skyldigheterna enligt dataskyddsförordningen, drabbar den utvidgningen bara myndigheter, varför dataskyddsförordningen inte hindrar den.

Bestämmelsen behöver dock omarbetas, eftersom personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. En hänvisning bör göras till artikel 15 i dataskyddsförordningen. Bestämmelsen om att information bara behövs lämnas gratis en gång per kalenderår gällande varje handling för sig tas bort, se artikel 12.5 i dataskyddsförordningen. Hänvisningen bör vara dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom artikel 15 i dataskyddsförordningen är direkt tillämplig.

Hänvisningar till S7-5-10

  • Prop. 2017/18:171: Avsnitt 10.1

7.5.11. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 114 kap. 33 § socialförsäkringsbalken som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 114 kap. 33 § socialförsäkringsbalken ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt 114 kap. eller föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.5.12. Bestämmelsen om överklagande upphävs

Regeringens förslag: Bestämmelsen om överklagande i 114 kap. 36 § socialförsäkringsbalken upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens. Utredningen föreslår att hänvisningen till personuppgiftslagens bestämmelser om överklagande ersätts med en hänvisning till dataskyddslagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 114 kap. 36 § socialförsäkringsbalken upplyses om att i fråga om överklagande av beslut om rättelse eller avslag på ansökan om information enligt 26 § personuppgiftslagen (registerutdrag) tillämpas bestämmelserna i den lagen. Vidare framgår av paragrafen att andra beslut enligt 114 kap. socialförsäkringsbalken inte får överklagas.

I fråga om överklagande av beslut enligt 114 kap. kommer dataskyddslagens bestämmelser att gälla (se avsnitt 6.12). Till skillnad från Socialdataskyddsutredningen anser regeringen att det inte behövs en särskild bestämmelse som upplyser om det.

7.5.13. Automatiserade beslut i socialförsäkringsbalken

Regeringens bedömning: Bestämmelserna i 112 kap.6 och 7 §§socialförsäkringsbalken bör inte ändras.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Remissinstanserna har inte haft några synpunkter på bedömningen.

Skälen för regeringens bedömning: I avsnitt 6.8.1 redogörs för Prop. 2017/18:171 innehållet i artikel 4.4 i dataskyddsförordningen om profilering och i artikel 22 om automatiserat individuellt beslutsfattande, inbegripet profilering.

Enligt 112 kap. 6 § socialförsäkringsbalken får Skatteverket fatta beslut om pensionsgrundande inkomst genom automatiserad behandling när skälen för beslutet får utelämnas enligt 20 § första stycket 1 förvaltningslagen (1986:223). Pensionsmyndigheten får enligt 7 § i samma kapitel fatta beslut om allmän ålderspension, efterlevandepension och efterlevandestöd genom automatiserad behandling, när skälen för beslutet får utelämnas enligt 20 § förvaltningslagen. Av 20 § förvaltningslagen följer att ett beslut varigenom en myndighet avgör ett ärende ska innehålla de skäl som har bestämt utgången, om ärendet avser myndighetsutövning mot någon enskild. Skälen får dock utelämnas helt eller delvis bl.a. om beslutet inte går någon part emot eller om det av någon annan anledning är uppenbart obehövligt att upplysa om skälen. Om skälen har utelämnats bör myndigheten, enligt andra stycket i samma paragraf, på begäran av den som är part om möjligt upplysa om skälen i efterhand. Förvaltningslagen (1986:223) kommer att upphävas den 1 juli 2018 då den nya förvaltningslagen (2017:900) träder i kraft. Enligt 32 § i den nya förvaltningslagen ska ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Någon generell möjlighet att göra undantag för gynnande beslut finns inte. I Ds 2017:42 föreslås att 112 kap. 6 § ändras på det sättet att Skatteverkets beslut om pensionsgrundande inkomst får fattas genom automatiserad behandling när en klargörande motivering för beslutet får utelämnas enligt 32 § första stycket förvaltningslagen. I samma Ds föreslås att 7 § i samma kapitel ändras så att beslut om allmän ålderspension får fattas genom automatiserad behandling av Pensionsmyndigheten när en klargörande motivering för beslutet får utelämnas enligt 32 § första stycket förvaltningslagen och att detsamma ska gälla i tillämpliga delar för beslut om efterlevandepension och efterlevandestöd.

Automatiserade beslut är enligt artikel 22 i dataskyddsförordningen som huvudregel inte tillåtna om de innefattar profilering (se regeringens bedömning i avsnitt 6.8.1). Utredningen har bedömt att de beslut som Skatteverket och Pensionsmyndigheten kan fatta på automatiserad väg enligt socialförsäkringsbalken inte inkluderar profilering i dataskyddsförordningens mening, och att bestämmelserna i socialförsäkringsbalken därför inte behöver ändras.

Automatiserade beslut om pensionsgrundande inkomst, om ålderspension, efterlevandepension och efterlevandestöd måste enligt regeringens mening anses innebära automatisk behandling av personuppgifter som består i att analysera eller förutsäga en persons ekonomiska situation. Därmed omfattas beslutsfattandet av definitionen av profilering i artikel 4.4 dataskyddsförordningen.

Regeringen bedömer därför till skillnad från utredningen att beslutsfattande enligt 112 kap.6 och 7 §§socialförsäkringsbalken omfattas av huvudregeln i artikel 22.1 som innebär att en registrerad har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering. För att sådana automatiserade beslut ändå ska

Prop. 2017/18:171 vara tillåtna krävs att något av villkoren i artikel 22.2 är uppfyllt. Enligt

artikel 22.2 b kan beslut grundas på automatiserad behandling, inbegripet profilering, om beslutet tillåts enligt unionsrätten eller nationell rätt som den personuppgiftsansvarige omfattas av, och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Bestämmelserna i 112 kap. 6 och 7 §§ som tillåter automatiserade beslut kan och bör således behållas enligt dataskyddsförordningen. Det krävs dock att den nationella rätten fastställer lämpliga skyddsåtgärder (se avsnitt 6.8.1). Sådana skyddsåtgärder får anses finnas i tillräcklig omfattning dels genom den hänvisning till förvaltningslagen som begränsar möjligheterna att fatta beslut genom automatiserad behandling, dels genom bestämmelserna om ändring, omprövning och överklagande i 113 kap. socialförsäkringsbalken, och dels genom de allmänna bestämmelserna i förvaltningslagen om den enskildes rättigheter.

7.6. Lagen (2010:111) om införande av socialförsäkringsbalken

Regeringens förslag: Bestämmelserna i 9 kap. 22 och 23 §§ lagen om införande av socialförsäkringsbalken ändras så att det framgår att 114 kap. 33 § socialförsäkringsbalken har upphävts och att de upphävda bestämmelserna om skadestånd ska tillämpas om den omständighet som ett yrkande om skadestånd grundas på har inträffat före den 25 maj 2018 men efter utgången av november 2003. Bestämmelsen om att de dessförinnan gällande bestämmelserna ska tillämpas i annat fall tas bort.

Socialdataskyddsutredningens förslag: Överensstämmer delvis med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 9 kap. 22 § lagen om införande av socialförsäkringsbalkens ska bestämmelserna i 114 kap. 33 § socialförsäkringsbalken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen. Enligt 9 kap. 23 § lagen om införande av socialförsäkringsbalken gäller detta endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna. Bestämmelsen i 114 kap. 33 § socialförsäkringsbalken är i princip identisk med bestämmelsen om skadestånd i 30 § lagen om behandling av personuppgifter inom socialförsäkringens administration. Båda bestämmelserna hänvisar till personuppgiftslagens bestämmelse om skadestånd.

Regeringen föreslår i propositionen Ny dataskyddslag, (prop. 2017/08:105) att personuppgiftslagen, och därmed även dess bestämmel-

se om skadestånd, upphävs. Regeringen föreslår i avsnitt 7.5.11 att Prop. 2017/18:171114 kap. 33 § socialförsäkringsbalken, som hänvisar till personuppgiftslagens bestämmelser om skadestånd och rättelse, också upphävs.

I propositionen om en ny dataskyddslag (prop. 2017/18:105 s. 176) anför regeringen att det följer av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593) och att någon särskild övergångsbestämmelse om detta inte behövs.

Vid upphävandet av lagen om behandling av personuppgifter inom socialförsäkringens administration och införandet av socialförsäkringsbalken föreskrevs att de nya bestämmelserna om skadestånd i socialförsäkringsbalken skulle gälla även för skadefall som inträffat före ikraftträdandet. Detta avviker från huvudregeln om att äldre lag ska gälla för skadefall som inträffat före ikraftträdandet av en ny lag med skadeståndsbestämmelser. För att detta ska fortsätta att gälla föreslår regeringen i likhet med Socialdataskyddsutredningen att bestämmelserna i 9 kap. 22 och 23 §§ lagen om införande av socialförsäkringsbalken behålls i sak, men ändras så att det framgår att 114 kap. 33 § socialförsäkringsbalken har upphävts och att den bestämmelsen bara ska tillämpas på skadefall som inträffat före dataskyddsförordningens ikraftträdande.

Den mening i 9 kap. 23 § lagen om införande av socialförsäkringsbalken som föreskriver att tidigare gällande bestämmelser ska tillämpas för fall som inträffade före november 2003 behövs inte eftersom det följer redan av de allmänna rättsgrundsatser som redovisats här. Meningen kan därför tas bort från paragrafen. Även för skadefall som inträffar efter dataskyddsförordningens ikraftträdande ska huvudregeln gälla, vilket inte kräver någon särskild övergångsbestämmelse (se avsnitt 8.2).

7.7. Lagen (1996:1156) om receptregister

7.7.1. Förhållandet till annan reglering

Regeringens förslag: I 3 § lagen om receptregister ska det finnas en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om receptregister eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 3 § lagen om receptregister om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-7-1

  • Prop. 2017/18:171: Avsnitt 10.2

7.7.2. Känsliga personuppgifter

Regeringens förslag: Lagen om receptregister kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Socialdataskyddsutredningen lämnade inget förslag om en sådan bestämmelse.

Remissinstanserna: E-hälsomyndigheten anser att förandet av receptregistret kan anses ha en lika stark koppling till bedrivande av hälso- och sjukvård som läkemedelsförteckningen och att en ny bestämmelse om behandling av känsliga personuppgifter bör införas även i lagen om receptregister.

Skälen för regeringens förslag: E-hälsomyndigheten noterar att

Socialdataskyddutredningen bl.a. föreslår att nya bestämmelser om behandling av känsliga personuppgifter införs i lagen om läkemedelsförteckning. Bestämmelsen hänvisar till artikel 9.3 i dataskyddsförordningen som reglerar att känsliga personuppgifter som får behandlas för de ändamål som regleras i artikel 9.2 h dataskyddsförordningen endast av eller under ansvar av den yrkesutövare som omfattas av tystnadsplikt. Motsvarande bestämmelse föreslås inte som tillägg i lagen om receptregister. Skälet till detta synes vara det utredningen framför att det rättsliga stödet för behandling av känsliga personuppgifter i receptregistret är det undantag från förbudet som finns i artikel 9.2 g dataskyddsförordningen. Utredningens bedömning är att förandet av receptregistret ”i vart fall anses nödvändigt av hänsyn till ett viktigt allmänt intresse” (SOU 2017:66 avsnitt 11.1.7, s. 471). Vidare framgår det av att skälet till den bedömningen är att utredningen anser att de behandlingar som sker med stöd av lagen om receptregister ”inte har lika stark koppling till bedrivandet av hälso- och sjukvård” som de som sker med stöd av lagen om läkemedelsförteckningen (jfr SOU 2017:66 avsnitt 11.3.7, s. 482–483). E-hälsomyndigheten anser att motiveringen till detta synes dock hänföras från tiden då den aktuella lagen infördes då ändamålet bl.a. var att utgöra underlag för tillämpningen av bestämmelserna om läkemedelsförmåner, men efter lagens tillkomst har ändamålen förändrats och utvecklats. För närvarande kan de huvudsakliga ändamålen bättre beskrivas som: registrering och expediering av e-recept, expediering av pappersrecept samt registrering av underlag för tillämpningen av bestämmelserna om läkemedelsförmåner. Med beaktande av de ändamål som finns i 6 § lagen om receptregister i dag anser E-hälsomyndigheten att förandet av receptregistret kan anses ha en lika stark koppling till bedrivande av hälso- och sjukvård som läkemedelsförteckningen och att en ny bestämmelse om behandling av känsliga personuppgifter bör införas även i lagen om receptregister.

Mot bakgrund av det som E-hälsomyndigheten anför anser regeringen att det i lagen om receptregister bör införas en kompletterande bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförord-

ningen på att känsliga personuppgifter endast får behandlas av eller Prop. 2017/18:171 under ansvar av den som omfattas av tystnadsplikt, se även avsnitt 6.6.4.

Personalen vid E-hälsomyndigheten omfattas av bestämmelser om tystnadsplikt i bl.a. 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).

Hänvisningar till S7-7-2

  • Prop. 2017/18:171: Avsnitt 10.2

7.7.3. Den enskildes inställning till behandling av personuppgifter

Regeringens bedömning: Bestämmelsen i 4 § lagen om receptregister om den enskildes inställning till behandlingen av personuppgifter kan och bör behållas.

Socialdataskyddsutredningens bedömning: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Datainspektionen anser att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning.

Datainspektionen saknar emellertid sådana särskilda överväganden beträffande 4 § andra stycket lagen om receptregister. Någon kommentar gällande privata vårdgivare görs inte.

Skälen för regeringens bedömning

Rätten att invända mot behandling av personuppgifter

Behandling av personuppgifter som är tillåten enligt lagen om receptregister får enligt 4 § första stycket lagen om receptregister utföras även om den enskilde motsätter sig behandlingen.

Rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen gäller endast behandling som grundar sig på artikel 6.1 e eller f (allmänt intresse, myndighetsutövning eller intresseavvägning) i dataskyddsförordningen. Den behandling som sker enligt lagen om receptregister grundar sig på en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen (jfr Socialdataskyddsutredningens bedömning såvitt avser lagen om läkemedelsförteckning SOU 2017:66 avsnitt 11.3.5, s. 479). Vid sådan behandling ger dataskyddsförordningen inte den registrerade någon rätt att invända. Det är förenligt med skäl 8 i dataskyddsförordningen att behålla bestämmelsen i 4 § lagen om receptregister, trots att det redan följer av dataskyddsförordningens reglering att den registrerade inte har någon rätt att invända mot behandlingen. Bestämmelsen bör behållas, eftersom den skapar tydlighet och igenkänning hos tillämparna.

Prop. 2017/18:171 Samtycke som grund för behandlingen

Behandling av personuppgifter som inte är tillåten enligt lagen om receptregister får, enligt 4 § andra stycket, ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.

Datainspektionen anser att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning.

Datainspektionen saknar emellertid sådana särskilda överväganden beträffande 4 § andra stycket lagen om receptregister. Någon kommentar gällande privata vårdgivare görs inte.

I enlighet med vad som anges i avsnitt 6.5.2 förekommer det att myndigheter och enskilda tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. En sådan regel finns i 4 § andra stycket lagen om receptregister. Enligt den bedömning som redovisas i samma avsnitt kan sådana bestämmelser behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 i dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Regeringen delar därför inte Datainspektionens bedömning att ytterligare analys är nödvändig.

7.7.4. Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagens bestämmelse om finalitetsprincipen i 7 § lagen om receptregister tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: Enligt 7 § lagen om receptregister gäller finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen vid behandling som sker enligt lagen om receptregister.

Det innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att behandling av personuppgifter för historiska, statistiska eller vetenskapliga

ändamål inte ska anses som oförenlig med de ändamål för vilka upp- Prop. 2017/18:171 gifterna samlades in.

I enlighet med vad anges i avsnitt 6.5.3 kan registerförfattningar i förtydligande syfte även fortsättningsvis innehålla bestämmelser som innebär att behandling av personuppgifter för andra ändamål som inte strider mot finalitetsprincipen är tillåten. Bestämmelsen bör på grund av personuppgiftslagens upphörande utformas i enlighet med vad som anges i det avsnittet.

Hänvisningar till S7-7-4

  • Prop. 2017/18:171: Avsnitt 10.2

7.7.5. Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 20 § lagen om receptregister kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 § och rätten till skadestånd enligt 24 § personuppgiftslagen samt bevarande av uppgifter.

Hänvisningen till bestämmelsen om skadestånd i lagen om receptregister ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Därmed behålls att information ska innehålla vilka uppgifter registret får innehålla, de tystnadsplikts- och säkerhetsbestämmelser som gäller för registret, de begränsningar i fråga om sökbegrepp som gäller för registret samt att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: I 20 § lagen om receptregister finns det en bestämmelse som anger vilken information den personuppgiftsansvarige ska lämna till den registrerade. Bestämmelsen utgör en precisering av personuppgiftslagens bestämmelser om information.

Informationsskyldigheten i dataskyddsförordningen omfattar flera av de upplysningar som informationen enligt lagen om receptregister ska innehålla.

I 20 § lagen om receptregister anges dock även vissa upplysningar som inte ingår i informationsskyldigheten enligt dataskyddsförordningen, nämligen upplysning om de tystnadsplikt- och säkerhetsbestämmelser som gäller för registret, rätten till skadestånd samt de begränsningar som gäller i fråga om sökbegrepp.

Prop. 2017/18:171 Det finns också vissa upplysningar som omfattas endast av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilka uppgifter registret får innehålla och att registreringen, med undantag för vissa ändamål, inte är frivillig. Enligt dataskyddsförordningen ska informationen dessutom omfatta vissa upplysningar som inte framgår av lagen om receptregister.

Bestämmelserna i lagen om receptregister som innebär att mer information än vad som krävs enligt dataskyddsförordningens reglering ska lämnas kan i enlighet med bedömningen i avsnitt 6.8.1, behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. Därmed behålls att information ska innehålla upplysningar om vilka uppgifter registret får innehålla, de tystnadsplikts- och säkerhetsbestämmelser som gäller för registret, de begränsningar i fråga om sökbegrepp som gäller för registret samt att registreringen inte är frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

Det kan inte anses innebära några särskilda svårigheter för den personuppgiftsansvarige att uppfylla de nya kraven på information till den registrerade som föreskrivs i dataskyddsförordningen. Det finns därför enligt regeringens bedömning i avsnitt 6.8.2 inte skäl att överväga en begränsning av den registrerades rätt till information.

Den personuppgiftsansvarige bör lämna såväl den information som följer av dataskyddsförordningen som den information som ska lämnas enligt lagen om receptregister. Bestämmelsen i 20 § lagen om receptregister bör därför komplettera och hänvisa till reglerna om information i dataskyddsförordningen.

Hänvisningen till bestämmelsen om skadestånd i lagen om receptregister, som i avsnitt 7.7.6 föreslås upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen.

Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Därmed tas bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 § och rätten till skadestånd enligt 24 § personuppgiftslagen samt bevarande av uppgifter.

Även det som anges i 20 § första stycket om att den som är personuppgiftsansvarig ska se till att den registrerade får information om behandlingen av personuppgifter kan tas bort, eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige ska lämna viss ytterligare information utöver vad som framgår av dataskyddsförordningen.

Hänvisningar till S7-7-5

  • Prop. 2017/18:171: Avsnitt 10.2

7.7.6. Bestämmelsen om rättelse och skadestånd

upphävs

Regeringens förslag: Bestämmelsen i 24 § lagen om receptregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 24 § lagen om receptregister hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (se avsnitt 6.8.1 och 6.11.1).

7.8. Lagen (2005:258) om läkemedelsförteckning

7.8.1. Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 2 § lagen om läkemedelsförteckning ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om läkemedelsförteckning eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-8-1

  • Prop. 2017/18:171: Avsnitt 10.6

7.8.2. Känsliga personuppgifter

Regeringens förslag: Lagen om läkemedelsförteckning kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i EU:s dataskyddsförordning på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 4 § lagen om läkemedelsförteckning får anses omfatta personuppgifter som rör hälsa, dvs. känsliga personuppgifter, eftersom det oftast är sjuka personer som ordineras och förvärvar förskrivna läkemedel.

För att känsliga personuppgifter ska få behandlas i läkemedelsförteckningen krävs det att förandet av förteckningen omfattas av undantaget i artikel 9.2 h i dataskyddsförordningen eller något annat undantag. Vad som omfattas av undantaget från förbudet att behandla känsliga personuppgifter vid hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen framgår av avsnitt 6.6.4. Förandet av läkemedelsförteckningen ryms enligt regeringens mening inom undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Regleringen är således förenlig med dataskyddsförordningen.

Eftersom känsliga personuppgifter får behandlas inom tillämpningsområdet för lagen om läkemedelsförteckning under samma förutsättningar som andra personuppgifter, påverkar det inte regleringen i lagen att det, som anges i avsnitt 6.6.6, har tillkommit nya kategorier av känsliga personuppgifter.

Som anges i avsnitt 6.6.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i lagen om läkemedelsförteckning. Personalen vid E-hälsomyndigheten omfattas av bestämmelser om tystnadsplikt i bl.a. 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400).

Hänvisningar till S7-8-2

  • Prop. 2017/18:171: Avsnitt 10.6

7.8.3. Bestämmelsen om återkallelse av samtycke upphävs

Regeringens förslag: Bestämmelsen om återkallelse av samtycke i 8 § lagen om läkemedelsförteckning ska upphävas.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Den registrerade har enligt 8 § lagen om läkemedelsförteckning rätt att när som helst återkalla ett lämnat samtycke. Bestämmelsen överensstämmer med vad som anges i 12 § första stycket personuppgiftslagen. Skälet till att detta anges uttryckligen i lagen om läkemedelsförteckning är att personuppgiftslagens bestämmelse till sin ordalydelse endast gäller behandling av personuppgifter enligt den lagen. För att bestämmelsen ska vara tillämplig även för personuppgifter som behandlats enligt lagen om läkemedelsförteckning, krävs därför att det anges i den lagen.

Rätten att återkalla ett lämnat samtycke följer av artikel 7.3 i dataskyddsförordningen. Eftersom den bestämmelsen är direkt tillämplig, behöver bestämmelsen inte längre återges i lagen om läkemedelsförteckning för att den ska gälla inom lagens tillämpningsområde. Bestämmelsen i 8 § lagen om läkemedelsförteckning bör därför upphävas och inte ersättas av en hänvisning till dataskyddsförordningen.

7.8.4. Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 10 § lagen om läkemedelsförteckning kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med förteckningen, rätten till rättelse av oriktiga eller missvisande uppgifter samt vad som gäller i fråga om bevarande och gallring.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Därmed behålls information om vilken typ av uppgifter som ingår i förteckningen, de tystnadsplikts- och säkerhetsbestämmelser som gäller för förteckningen, rätten att ta del av uppgifter enligt 11 § (rätt att när som helst och så fort som möjligt få viss information), rätten till skadestånd vid behandling av personuppgifter i strid med denna lag, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt att registreringen inte är frivillig.

Socialdataskyddsutredningens förslag: Överensstämmer i allt väsentligt med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen vad gäller bl.a. information om rätten till skadestånd.

Remissinstanserna: Dataskydd.net anser att förslaget i 10 § 1 stycket 5 är en upprepning av rättigheter enskilda redan har i och med dataskyddsförordningen artikel 13.2 f. Sökbegränsningen måste ju tekniskt implementeras, varför den enligt föreningen blir ett automatiskt beslutsfattande, och för direktåtkomst gäller samma resonemang.

Skälen för regeringens förslag och bedömning: I 10 § lagen om läkemedelsförteckning finns det en bestämmelse som anger vilken information den personuppgiftsansvarige ska lämna till den registrerade.

Bestämmelsen preciserar bestämmelserna om information i personuppgiftslagen. I övrigt gäller personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i läkemedelsförteckningen.

Dataskyddsförordningens bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade har redogjorts för i avsnitt 6.8.1. Informationsskyldigheten enligt dataskyddsförordningen innefattar flera av de upplysningar som anges i 10 § lagen om läkemedelsregister.

Bestämmelsen i lagen om läkemedelsförteckning innebär dock krav på att lämna vissa upplysningar som inte omfattas av skyldigheten i dataskyddsförordningen. Det rör sig om upplysning om de tystnadspliktsoch säkerhetsbestämmelser som gäller för förteckningen, rätten att ta del av uppgifter enligt 11 § (rätt att när som helst och så fort som möjligt få viss information, se vidare avsnitt 7.8.5), rätten till skadestånd vid behandling av personuppgifter i strid med lagen, vad som gäller i fråga om

Prop. 2017/18:171 sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för

automatiserad behandling som kan behållas.

Det finns också vissa upplysningar som bara omfattas av antingen artikel 13, som gäller när uppgifterna har samlats in från den registrerade, eller artikel 14 i dataskyddsförordningen, som gäller när uppgifterna har samlats in från någon annan än den registrerade, nämligen vilken typ av uppgifter som ingår i förteckningen och att registreringen inte är frivillig som kan behållas.

Enligt dataskyddsförordningens reglering ska den personuppgiftsansvarige även lämna viss information som inte anges i lagen om läkemedelsförteckning.

De bestämmelser i lagen om läkemedelsförteckning som innebär att den personuppgiftsansvarige ska lämna ytterligare information än vad som anges i dataskyddsförordningen kan, i enlighet med regeringens bedömning i avsnitt 6.8.1 och enligt ovan i detta avsnitt kan därmed behållas.

Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgiftsansvarige. Det finns därför enligt regeringens bedömning i avsnitt 6.8.2 inte skäl att överväga en begränsning av den registrerades rätt till information.

Den personuppgiftsansvarige bör därför lämna både den information som följer av dataskyddsförordningen och lagen om läkemedelsförteckning. Bestämmelsen i 10 § lagen om läkemedelsförteckning bör därför, på det sätt som anges i avsnitt 6.8.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. Vad gäller den information som ska lämnas om rätten till skadestånd anser regeringen att bestämmelsen bör utformas på samma sätt som övriga bestämmelser av detta slag som föreslås i denna proposition, t.ex. den föreslagna 20 § första stycket 3 lagen om receptregister.

De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Därmed tas bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med förteckningen, rätten till rättelse av oriktiga eller missvisande uppgifter samt vad som gäller i fråga om bevarande och gallring.

Även det som anges i 10 § om att den personuppgiftsansvarige ska se till att den registrerade får information om läkemedelsförteckningen kan tas bort eftersom detta följer av dataskyddsförordningen och den föreslagna formuleringen om att den personuppgiftsansvarige ska lämna viss ytterligare information utöver vad som framgår dataskyddsförordningen.

Regeringen delar inte Dataskydd.nets bedömning att sökbegränsningar och direktåtkomst blir automatiskt beslutsfattande genom teknisk implementering, och att den föreslagna 10 § första stycket 5 därför skulle ingå i den personuppgiftsansvariges informationsskyldighet enligt artikel 13.2 dataskyddsförordningen.

Hänvisningar till S7-8-4

  • Prop. 2017/18:171: Avsnitt 10.6

7.8.5. Information som ska lämnas på begäran

Regeringens förslag: Hänvisningen till personuppgiftslagens bestämmelse om information som ska lämnas på begäran av den registrerade i 11 § lagen om läkemedelsförteckning ska ersättas av en hänvisning till motsvarande bestämmelse i EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Den registrerade har enligt 11 § lagen om läkemedelsförteckning rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgiftslagen. I förarbetena (prop. 2004/05:70 s. 36 f.) anförs att det är inte lämpligt att begränsa den personuppgiftsansvariges uppgiftsskyldighet så att den registrerade endast har rätt att få ett registerutdrag en gång per kalenderår (som anges i personuppgiftslagen).

Dataskyddsförordningen innehåller inte någon bestämmelse om att registerutdrag endast ska lämnas en gång per år. Däremot anges i skäl 63 i dataskyddsförordningen att den registrerade ska ha rätt till tillgång till personuppgifter som har samlats in om denne med rimliga intervall. Frågan är om dataskyddsförordningens reglering är tillräcklig för att tillgodose det behov av tillgång till uppgifter som den registrerade bedömts ha. Det är i och för sig rimligt att anta att bedömningen av vad som är ett rimligt intervall enligt lagen om läkemedelsförteckning, mot bakgrund av uttalandena i förarbetena, skulle resultera i att registerutdrag lämnas ut oftare än enligt andra författningar. För att inte riskera att den registrerades rätt till tillgång försämras gör dock Socialdataskyddsutredningen den bedömningen att bestämmelsen i 11 § bör vara kvar. Regeringen instämmer i bedömningen.

Bestämmelsen i 11 § innebär en utvidgning av den registrerades rätt till tillgång enligt dataskyddsförordningen. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen (avsnitt 6.1). Bestämmelsen kan därför inte anses strida mot dataskyddsförordningen.

Bestämmelsen behöver dock omarbetas, eftersom personuppgiftslagen kommer att upphöra att gälla. Med undantag för hur ofta registerutdrag ska lämnas bör dataskyddsförordningens reglering av tillgång till information i artikel 15 gälla vid tillämpningen av lagen om läkemedelsförteckning. Detta eftersom det inte heller när det gäller dessa bestämmelser har framkommit några särskilda svårigheter för den personuppgiftsansvarige att uppfylla de nya kraven som anges där. I stället för att hänvisa till personuppgiftslagens bestämmelse om registerutdrag bör 11 § lagen om läkemedelsförteckning därför hänvisa till artikel 15 i dataskyddsförordningen. Hänvisningen bör vara dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom artikel 15 är direkt tillämplig.

Hänvisningar till S7-8-5

  • Prop. 2017/18:171: Avsnitt 10.6

7.8.6. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 13 § lagen om läkemedelsförteckning som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 13 § lagen om läkemedelsförteckning finns en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.9. Lagen (1998:543) om hälsodataregister

7.9.1. Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 2 § lagen om hälsodataregister ska innehålla en upplysning om att författningen kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om hälsodataregister eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-9-1

  • Prop. 2017/18:171: Avsnitt 10.3

7.9.2. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelserna i 11 § lagen om hälsodataregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 11 § lagen om hälsodataregister Prop. 2017/18:171 finns en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.10. Lagen (2012:453) om register över nationella vaccinationsprogram

7.10.1. Förhållandet till annan reglering

Regeringens förslag: Bestämmelsen i 3 § lagen om register över nationella vaccinationsprogram ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen gäller, om inte annat följer av lagen om register över nationella vaccinationsprogram eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 3 § lagen om register över nationella vaccinationsprogram om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-10-1

  • Prop. 2017/18:171: Avsnitt 10.16

7.10.2. Ändrad hänvisning i fråga om finalitetsprincipen

Regeringens förslag: Hänvisningen till personuppgiftslagens bestämmelse om finalitetsprincipen i 6 § andra stycket andra meningen lagen om register över nationella vaccinationsprogram tas bort. I stället införs en bestämmelse där det anges att personuppgifter som behandlas får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår en annan formulering av bestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag. Övriga synpunkter, se avsnitt 6.5.3.

Skälen för regeringens förslag: I 6 § andra stycket lagen om register över nationella vaccinationsprogram anges också att 9 § första stycket d och andra stycket personuppgiftslagen (finalitetsprincipen) gäller. Hänvisningen syftar till att klargöra att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Hänvisningen innebär

Prop. 2017/18:171 vidare att behandling av personuppgifter för historiska, statistiska eller

vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Eftersom personuppgiftslagen kommer att upphävas, måste hänvisningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 6.5.3.

Hänvisningar till S7-10-2

  • Prop. 2017/18:171: Avsnitt 10.16

7.10.3. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 12 § lagen om register över nationella vaccinationsprogram, som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd, upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 12 § lagen om register över nationella vaccinationsprogram ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt lagen om register över nationella vaccinationsprogram eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.10.4. Information som ska lämnas självmant

Regeringens förslag: Bestämmelserna i 13 § lagen om register över nationella vaccinationsprogram kompletteras med en upplysning om att information även ska lämnas enligt EU:s dataskyddsförordning.

Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen tas bort. Därmed tas det bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter, rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med samt vad som gäller i fråga om bevarande.

Hänvisningen till bestämmelsen om skadestånd i lagen om register över nationella vaccinationsprogram ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Regeringens bedömning: Krav som innebär att fler upplysningar ska lämnas än vad som följer av dataskyddsförordningen behålls.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens. Utredningen föreslår en annan utformning av författningsbestämmelsen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag och bedömning: Av 13 § lagen om Prop. 2017/18:171 register över nationella vaccinationsprogram framgår vilken information

Folkhälsomyndigheten ska lämna till den enskilde. Bestämmelsen preciserar bestämmelserna om information i personuppgiftslagen. I övrigt gäller personuppgiftslagens bestämmelser i 23–27 §§ även vid behandling av personuppgifter i registret över hälso- och sjukvårdspersonal. I avsnitt 6.8.1 redogörs för dataskyddsförordningens bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade.

Informationsskyldigheten enligt dataskyddsförordningen innefattar flera av de upplysningar som anges i 13 § lagen om register över nationella vaccinationsprogram.

Det finns dock vissa upplysningar som inte omfattas av skyldigheten att lämna information enligt dataskyddsförordningen. Det rör sig om upplysningar om uppgiftsskyldighet som kan följa av lag eller förordning, de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd vid behandling av personuppgifter i strid med denna lag och vad som gäller i fråga om sökbegrepp. Att den registrerade ska få upplysning om att registreringen inte är frivillig framgår enbart av artikel 13 i dataskyddsförordningen, dvs. det gäller endast när uppgifterna samlas in från den registrerade. Enligt dataskyddsförordningen ska den personuppgiftsansvarige även lämna viss information som inte anges i lagen om register över nationella vaccinationsprogram.

Regeringen bedömer i avsnitt 6.8.1 att bestämmelser i registerförfattningar som anger att information till registrerade ska lämnas utöver vad som följer av dataskyddsförordningen kan och bör behållas.

Att uppfylla dataskyddsförordningens nya krav på information som ska lämnas kan inte anses särskilt betungande för den personuppgiftsansvarige. Det finns därför enligt bedömningen i avsnitt 6.8.2 inte skäl att överväga en begränsning av den registrerades rätt till information.

Den personuppgiftsansvarige bör följaktligen lämna både den information som följer av dataskyddsförordningen och av lagen om register över nationella vaccinationsprogram. Bestämmelsen i 13 § lagen om register över nationella vaccinationsprogram bör, på det sätt som anges i avsnitt 6.8.1, komplettera och hänvisa till reglerna om information i dataskyddsförordningen. Hänvisningen till bestämmelsen om skadestånd, som i avsnitt 7.10.3 föreslås upphävas, bör ersättas med en hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen. Hänvisningen till dataskyddsförordningen bör vara av dynamisk, dvs. avse vid varje tid gällande lydelse av bestämmelsen, eftersom dataskyddsförordningen är direkt tillämplig. De krav som innebär att informationen ska innehålla sådana upplysningar som även följer av dataskyddsförordningens bestämmelser om information bör tas bort. Därmed kan tas bort att informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålen med behandlingen, rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen, rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter, rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med samt vad som gäller i fråga om bevarande.

Hänvisningar till S7-10-4

  • Prop. 2017/18:171: Avsnitt 10.16

7.11. Lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

7.11.1. Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 1 kap. 4 § lagen om biobanker i hälso- och sjukvården m.m. ska innehålla en upplysning om att författningen kompletterar EU:s dataskyddsförordning. Det ska också anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om biobanker i hälsooch sjukvården m.m. eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Socialdataskyddsutredningen lämnade inget förslag om att lagen kompletterar dataskyddsförordningen och att dataskyddslagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats i anslutning till den lagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Justitiekanslern anser att även lagen om biobanker i hälso- och sjukvården m.m. reglerar viss personuppgiftsbehandling som omfattas av dataskyddsförordningens tillämpningsområde och överträdelser av reglerna i den lagen kan medföra skadeståndsansvar. Det bör därför framgå att lagen, vid behandling av personuppgifter, kompletterar dataskyddsförordningen.

Skälen för regeringens förslag: Regeringen delar den uppfattning som Justitiekanslern framför och föreslår därför att det i lagen om biobanker i hälso- och sjukvården m.m. anges att den lagen kompletterar dataskyddsförordningen, se avsnitt 6.3. Det bör också i lagen anges att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats med stöd av den, se även avsnitt 7.11.4 och 7.11.5. Regeringen anser att det är lämpligt att bestämmelserna placeras i 1 kap. 4 §.

I 1 kap. 4 § anges att bestämmelser i annan lag vilka avviker från bestämmelserna i denna lag ska tillämpas med det undantaget att bestämmelserna i 5 kap. om PKU-registret ska ha företräde framför bestämmelser i annan lag. I förarbetena (prop. 2001/02:44 s. 34 f. och 72 f.) till lagen anges bl.a. följande. Av paragrafen framgår att lagen är subsidiär i förhållande till andra författningar. Detta gäller inte bestämmelserna i de delar av kapitel 5 som behandlar register över personuppgifter. De register med personuppgifter om dem som lämnat prover till en biobank och som förvaras i anslutning till biobanken inom den offentliga vården är allmänna handlingar enligt 2 kap. tryckfrihetsförordningen. De är därmed underkastade principerna om offentlighet och sekretess samt bestämmelserna i arkivlagen (1990:782). Inom enskild vård utgör uppgifterna enligt patientjournallagen (1985:562) och lagen (1998:531) om yrkesverksamhet inom hälso- och sjukvårdens område enskilda hand-

lingar med särskilda föreskrifter om tystnadsplikt och om villkoren för att lämna ut journalhandlingar. Personuppgiftslagen (1998:204) och lagen (1998:544) om vårdregister är tillämpliga för dessa personuppgifter, vare sig de finns i offentlig eller enskild vård. Med den definition av en biobank som föreslås kommer således personuppgifterna i de register med provgivarna som förvaras i anslutning till biobanken inte att utgöra en del av biobanken. Av 1 kap. 4 § biobankslagen framgår bl.a. att om det i en annan lag finns bestämmelser som avviker från vad som föreskrivs i lagen om biobanker i hälso- och sjukvården m.m. ska de bestämmelserna gälla. Det innebär bl.a. att när vävnadsprover tas och samlas in med stöd av smittskyddslagen (1988:1472) och föreskrifter som utfärdats med stöd av den lagen får det ske oberoende av den enskildes samtycke. Även för klinisk prövning av läkemedel finns föreskrifter om samtycke m.m. i läkemedelslagen (1992:859) och föreskrifter som utfärdats med stöd av den lagen. För tydlighetens skull ska också påpekas att när vävnadsprover tas och samlas in för transplantation eller annat medicinskt ändamål enligt lagen (1995:831) om transplantation m.m. gäller föreskrifterna om samtycke m.m. i den lagen.

Patientjournallagen och lagen om vårdregister har upphört att gälla när patientdatalagen (2008:355) trädde i kraft den 1 juli 2008. Lagen om yrkesverksamhet på hälso- och sjukvårdens område har upphört att gälla när patientsäkerhetslagen (2010:659) den 1 januari 2011 trädde i kraft. Smittskyddslagen (2004:168) har ersatt 1988-års smittskyddslag och läkemedelslagen (2015:315) har ersatt 1992-års lag. Alla lagar som anges i det ovan återgivna förarbetsuttalandena förutom lagen om transplantation m.m. har ersatts av nya lagar men som innehållsligt reglerar samma eller liknande förhållanden. Patientdatalagen är en registerförfattning och övriga lagar bedöms mestadels reglera verksamheter inom hälso- och sjukvården.

Mot bakgrund av ovannämnda förarbetsuttalanden bedömer regeringen att innehållet i nuvarande lydelse i 1 kap. 4 § lagen om biobanker i hälsooch sjukvården m.m. bör finnas kvar. Lagrådet anser att paragrafen får en mer logisk uppbyggnad om första stycket flyttas för att i stället utgöra sista stycket. Regeringen instämmer i denna bedömning. Rubriken före nämnda paragraf bör lyda ”Förhållandet till annan dataskyddsreglering”.

Vilka övriga anpassningar som bör göras i lagen om biobanker i hälsooch sjukvården m.m. för att anpassa bestämmelserna till dataskyddsförordningen redovisas i avsnitten 7.11.2–5.

Hänvisningar till S7-11-1

  • Prop. 2017/18:171: Avsnitt 10.5

7.11.2. Hänvisning till personuppgiftslagen i bestämmelsen om utlämnande av journalhandling upphävs

Regeringens förslag: Hänvisningen i 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. till personuppgiftslagen upphävs

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Socialdataskyddsutredningen föreslår att 4 kap. 4 a §

Prop. 2017/18:171 ändras så att det anges att i fråga om känsliga personuppgifter finns

föreskrifter i dataskyddsförordningen och forskningsdatalagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. anges i en andra mening, att det i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen.

Det som avses med hänvisningen är enligt förarbetsuttalanden att om känsliga personuppgifter ska lämnas ut krävs det enligt 15 § personuppgiftslagen att den registrerade har lämnat sitt uttryckliga samtycke eller att behandlingen har godkänts av en forskningsetisk kommitté enligt 19 § andra stycket personuppgiftslagen (prop. 2001/02:44 s. 51 och 87). I den ursprungliga lydelsen av 19 § nämnda lag reglerades undantag från förbudet att behandla känsliga personuppgifter för både forsknings- och statistikändamål (se lydelse innan ändringen SFS 2003:466). Syftet med hänvisningen till personuppgiftslagen är att det samtycke som avses i paragrafens första mening ska vara ”uttryckligt”, om utlämnandet innebär att personuppgifter behandlas enligt personuppgiftslagen och det inte finns ett forskningsetiskt godkännande. Detta har avsetts gälla trots att personuppgiftslagen är subsidiär i förhållande till uppgiftsskyldigheten enligt paragrafen.

Dataskyddsförordningen är däremot tvingande. Om ett utlämnande av känsliga personuppgifter enligt dataskyddsförordningen bara får ske med samtycke, ska det samtycket enligt artikel 9.2 a i dataskyddsförordningen vara uttryckligt.

I 4 kap. 4 a § lagen om biobanker i hälso- och sjukvården m.m. föreslår Socialdataskyddsutredningen också att en hänvisning införs till forskningsdatalagen som Forskningsdatautredningen föreslår i sitt delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). Forskningsdatautredningen föreslår en bestämmelse liknande den som finns i 19 § första stycket personuppgiftslagen. Förslaget bereds inom Regeringskansliet och hanteras inte i denna proposition.

Eftersom personuppgiftslagen kommer att upphöra att gälla i samband med att dataskyddsförordningen börjar tillämpas kan inte hänvisningen till den lagen vara kvar. Lagen om biobanker i hälso- och sjukvården m.m. kompletterar dataskyddsförordningen och att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om biobanker i hälso- och sjukvården m.m. eller föreskrifter som har meddelats med stöd av den, se föregående avsnitt 7.11.1. Av annan lagstiftning följer att det i vissa fall finns krav som är av betydelse för den personliga integriteten t.ex. lagen (2003:460) om etikprövning av forskning som avser människor som innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den lagen innehåller bestämmelser om att godkännande vid etikprövning krävs för forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och om samtycke till sådan forskning.

Det finns inte anledning att som Socialdataskyddsutredningen föreslår att ändra 4 kap. 4 a § så att det anges att i fråga om känsliga personuppgifter finns föreskrifter i dataskyddsförordningen och i forskningsdata-

lagen. Hänvisningen i paragrafen till personuppgiftslagen ska därför i Prop. 2017/18:171 stället upphävas.

Hänvisningar till S7-11-2

  • Prop. 2017/18:171: Avsnitt 10.5

7.11.3. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 6 kap. 2 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 6 kap. 2 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. innehåller en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

Hänvisningar till S7-11-3

  • Prop. 2017/18:171: Avsnitt 10.5

7.11.4. Hänvisning till personuppgiftslagen i bestämmelsen om tillsyn ändras

Regeringens förslag: Hänvisningen till tillsynsmyndigheten enligt personuppgiftslagen i 6 kap. 3 § första stycket lagen om biobanker i hälso- och sjukvården m.m. ersätts med en hänvisning till EU:s dataskyddsförordning.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens. Utredningen föreslår att hänvisningen till tillsynsmyndigheten enligt personuppgiftslagen ersätts med hänvisning till dataskyddslagen.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: I 6 kap. 3 § första stycket andra meningen lagen om biobanker i hälso- och sjukvården m.m. anges att den myndighet som är tillsynsmyndighet enligt personuppgiftslagen utövar tillsyn över behandlingen av personuppgifter. Eftersom personuppgiftslagen kommer att upphävas när dataskyddsförordningen börjar tillämpas, behöver hänvisningen tas bort. Till skillnad från Socialdataskyddsutredningen anser regeringen att hänvisningen i stället ska göras till den myndighet som är tillsynsmyndighet enligt dataskyddsförordningen.

Hänvisningar till S7-11-4

  • Prop. 2017/18:171: Avsnitt 10.5

7.11.5. Bestämmelsen om överklagande upphävs

Regeringens förslag: Bestämmelsen om överklagande av beslut om rättelse och avslag på ansökan om information i 6 kap. 7 § tredje stycket lagen om biobanker i hälso- och sjukvården m.m. upphävs.

Regeringens bedömning: Det behövs ingen bestämmelse i lagen som hänvisar till dataskyddslagens bestämmelser om överklagande.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningen föreslår att det i en ny paragraf hänvisas till dataskyddslagens bestämmelser om överklagande.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: I 6 kap. 7 § lagen om biobanker i hälso- och sjukvården finns det bestämmelser om överklagande. Bestämmelsen i första stycket avser inte beslut som har samband med behandling av personuppgifter och kommer därför inte att beröras. Av bestämmelsens andra stycke framgår att beslut av Inspektionen för vård och omsorg får överklagas till allmän förvaltningsdomstol.

Inspektionen kan komma att fatta beslut som avser behandling av personuppgifter. En annan myndighets beslut om rättelse och avslag på ansökan om information enligt 26 § personuppgiftslagen får enligt tredje stycket också överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs enligt fjärde stycket vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän förvaltningsdomstol meddelar enligt lagen om biobanker i hälso- och sjukvården ska enligt femte stycket gälla omedelbart om inte annat anges i beslutet.

Som anges i avsnitt 6.12 bör de föreslagna överklagandebestämmelserna i dataskyddslagen gälla även inom registerförfattningarnas tillämpningsområde. Dataskyddslagens bestämmelser om överklagande bör gälla även för de beslut om behandling av personuppgifter som meddelas av Inspektionen för vård och omsorg som i dag omfattas av bestämmelsen i andra stycket. En sådan ordning innebär inte någon materiell ändring, eftersom även de föreslagna bestämmelserna i dataskyddslagen innebär att besluten ska överklagas till allmän förvaltningsdomstol och att det krävs prövningstillstånd vid överklagande till kammarrätten. Bestämmelsen i tredje stycket bör därför, i enlighet med regeringens bedömning i avsnitt 6.12, tas bort. Till skillnad från Socialdataskyddsutredningen anser regeringen att det inte behövs en särskild bestämmelse som upplyser om dataskyddslagens bestämmelser om överklagande.

Bestämmelsen i nuvarande femte stycket, som innebär att beslut som Inspektionen för vård och omsorg meddelar enligt biobankslagen ska gälla omedelbart, synes enligt Socialdataskyddsutredningens bedömning inte omfatta beslut om behandling av personuppgifter. De beslut om behandling av personuppgifter som Inspektionen för vård och omsorg meddelar och som kan överklagas i dag torde vara fattade enligt personuppgiftslagens bestämmelser. Bestämmelsen i femte stycket kan därför vara kvar oförändrad. Regeringen instämmer i denna bedömning. Övriga

bestämmelser om överklagande påverkas inte av dataskyddsförordningen Prop. 2017/18:171 och kan därför behållas.

Hänvisningar till S7-11-5

  • Prop. 2017/18:171: Avsnitt 10.5

7.12. Lagen (2006:351) om genetisk integritet m.m.

7.12.1. Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 1 kap. 4 § lagen om genetisk integritet m.m. ska innehålla en upplysning om att lagen kompletterar

EU:s dataskyddsförordning när det gäller behandling av personuppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om genetisk integritet m.m. eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-12-1

  • Prop. 2017/18:171: Avsnitt 10.7

7.13. Lagen (2006:496) om blodsäkerhet

7.13.1. Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 5 § lagen om blodsäkerhet ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning när det gäller behandling av personuppgifter.

Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om blodsäkerhet eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-13-1

  • Prop. 2017/18:171: Avsnitt 10.8

7.13.2. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 21 § lagen om blodsäkerhet som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 21 § lagen om blodsäkerhet hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.14. Lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

7.14.1. Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning när det gäller behandling av personuppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-14-1

  • Prop. 2017/18:171: Avsnitt 10.10

7.14.2. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 26 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med Prop. 2017/18:171 regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 26 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.15. Lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

7.15.1. Förhållandet till annan dataskyddsreglering

Regeringens förslag: Bestämmelsen i 4 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning när det gäller behandling av personuppgifter. Det ska också upplysas om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller föreskrifter som har meddelats i anslutning till den lagen.

Socialdataskyddsutredningens förslag: Överensstämmer huvudsakligen med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen om förhållandet till annan lagstiftning bör utformas på det sätt som framgår av övervägandena i avsnitt 6.3.

Hänvisningar till S7-15-1

  • Prop. 2017/18:171: Avsnitt 10.15

7.15.2. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 8 § lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

7.16. Lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

7.16.1. Hänvisningar till personuppgiftslagen i en paragraf ändras

Regeringens förslag: Hänvisningen till personuppgiftslagen i 12 § andra stycket första meningen lagen om internationella hot mot människors hälsa ändras till att avse EU:s dataskyddsförordning och dataskyddslagen.

Bestämmelsen i 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa behålls i sak men hänvisningen till 33 § personuppgiftslagen tas bort.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Datainspektionen ifrågasätter Socialdataskyddsutredningens bedömning att bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland inte behöver ändras om det finns stöd för överföringen i dataskyddsförordningen eftersom det får anses vara en sådan mer specifik, eller särskild, bestämmelse som enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt. I vilka fall det är möjligt med nationell reglering avseende tredjelandsöverföring framgår av kapitel V i dataskyddsförordningen. Enligt Datainspektionens bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell rätt generellt tillåta överföring till tredjeland, men möjligheten till nationell reglering med hänsyn till viktiga allmänintressen finns i stället i artikel 49.5, det krävs dock att det i den nationella rätten fastställs gränser för överföringen av specifika kategorier av personuppgifter till ett tredje land eller en internationell organisation samt att medlemsstaterna underrättar kommissionen om sådana bestämmelser.

Sveriges advokatsamfund anser att det är i sig alltid förenat med särskilda risker att lämna ut personuppgifter till annat land, inte minst till länder utanför EU och EES. En särskild problematik ligger i det att vare sig de svenska personuppgiftsansvariga myndigheterna eller de registrerade kan förutse hur personuppgifterna kommer att användas, eftersom överlämnandet inte kan förenas med villkor som strider mot tvingande bestämmelser i nationell rätt i dessa länder. Det är av väsentlig betydelse att de personuppgiftsansvariga myndigheterna gör en noggrann bedömning av riskerna att uppgifterna kan komma att behandlas för ändamål som inte är förenliga med dataskyddsförordningen och de föreslagna bestämmelserna.

Skälen för regeringens förslag: Lagen (2006:1570) om skydd mot internationella hot mot människors hälsa innehåller bestämmelser för genomförandet av Världshälsoorganisationens internationella hälsoreglemente som antogs i Genève den 23 maj 2005 (hälsoreglementet). Lagen syftar till att skydda mot internationella hot mot människors hälsa.

Enligt 12 § andra stycket andra meningen lagen om skydd mot inter- Prop. 2017/18:171 nationella hot mot människors hälsa får Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting oavsett bestämmelserna i 33 § personuppgiftslagen överföra personuppgifter till Världshälsoorganisationen och tredje land för att fullgöra sin uppgiftsskyldighet enligt lagen.

I förarbetena till lagen har anförts bl.a. följande (prop. 2005/06:215 s. 44 f.). Enligt 33 § första stycket personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Detsamma gäller beträffande överföring av personuppgifter för behandling i tredje land. Med tredje land menas stat som inte ingår i Europeiska unionen eller är ansluten till europeiska ekonomiska samarbetsområdet. I 34 § har ett antal generella undantag från överföringsförbudet upptagits och enligt 35 § får regeringen meddela ytterligare föreskrifter om undantag från förbudet, bl.a. om det är behövligt med hänsyn till viktiga allmänna intressen. Av artikel 26 i dataskyddsdirektivet följer bl.a. att medlemsstaterna ska föreskriva att överföring av personuppgifter till ett tredje land som inte har en s.k. adekvat skyddsnivå får ske om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. I den mån den nationella kontaktpunktens och andra berörda myndigheters informationsplikt innefattar en skyldighet att behandla personuppgifter för överföring till andra stater än sådana som ingår i EU, är anslutna till EES eller har ratificerat dataskyddskonventionen, eller en skyldighet att överföra sådana uppgifter till WHO, bör detta vara tillåtet med hänsyn till att ändamålet med behandlingen får anses röra ett viktigt allmänt intresse. Regeringen anser att detta bör komma till uttryck i en särskild bestämmelse i den föreslagna lagen. Av bestämmelsen bör framgå att den nationella kontaktpunkten och andra berörda myndigheter får, för att fullgöra sin uppgiftsskyldighet enligt den föreslagna lagen, överföra personuppgifter till WHO och tredje land utan hinder av 33 § personuppgiftslagen.

Överföring av personuppgifter till tredjeländer och internationella organisationer regleras i kapitel V i dataskyddsförordningen. Det innebär att en överföring av personuppgifter till tredjeland kommer att kunna ske under de förutsättningar som anges där. I artikel 44 anges att överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i förordningen, uppfyller villkoren i kapitlet, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i kapitlet ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom förordningen inte undergrävs.

Om det inte finns något beslut om adekvat skyddsnivå (artikel 45) eller vidtagna lämpliga skyddsåtgärder (artikel 46), kommer en överföring till tredjeland att vara möjlig endast om något av villkoren i artikel 49.1 a–g är uppfyllt. I artikel 49.1 d anges som ett sådant villkor att överföringen är nödvändigt av ett viktigt skäl som rör allmänintresset. Av artikel 49.4

Prop. 2017/18:171 följer att allmänintresset ska vara erkänt i unionsrätten eller i den

nationella rätt som den som är personuppgiftsansvarig omfattas av.

Datainspektionen ifrågasätter Socialdataskyddsutredningens bedömning att bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland inte behöver ändras om det finns stöd för överföringen i dataskyddsförordningen eftersom det får anses vara en sådan mer specifik, eller särskild, bestämmelse som enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt. I vilka fall det är möjligt med nationell reglering avseende tredjelandsöverföring framgår av kapitel V i dataskyddsförordningen. Enligt Datainspektionens bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell rätt generellt tillåta överföring till tredjeland, men möjligheten till nationell reglering med hänsyn till viktiga allmänintressen finns i stället i artikel 49.5, dock att det i den nationella rätten krävs att det fastställs gränser för överföringen av specifika kategorier av personuppgifter till ett tredje land eller en internationell organisation samt att medlemsstaterna underrättar kommissionen om sådana bestämmelser.

Regeringen bedömer att med stöd av artikel 49.1 d i dataskyddsförordningen, som är direkt tillämplig, får en överföring till ett tredjeland göras när den är nödvändig av viktiga skäl som rör allmänintresset. Internationella utbyten av uppgifter mellan hälsovårdsmyndigheter, t.ex. vid kontaktspårning för smittsamma sjukdomar, är enligt skäl 112 i dataskyddsförordningen en uppgiftsöverföring som krävs och är nödvändig med hänsyn till viktiga allmänintressen. Kravet enligt artikel 49.4 i dataskyddsförordningen på att allmänintresset är erkänt i unionsrätten eller i nationell rätt bedöms uppfyllt bl.a. genom att internationell överföring av personuppgifter mellan hälsovårdsmyndigheter i syfte att arbeta mot smittspridning omnämns i nämnda skäl i dataskyddsförordningen. I Europarådets sociala stadga är det dessutom ett mål att så långt som möjligt förebygga uppkomsten av epidemier, folksjukdomar och andra sjukdomar samt olycksfall.

Personuppgifter kan även enligt dataskyddsförordningen föras över till Världshälsoorganisationen och tredjeland för fullgörande av uppgiftsskyldigheten enligt lagen om skydd mot internationella hot mot människors hälsa.

Överföringen får i sådana fall ske direkt med stöd av dataskyddsförordningen. Regeringen instämmer dock i Socialdataskyddsutredningens bedömning att en bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har en klargörande verkan och får anses vara en sådan mer specifik, eller särskild, bestämmelse som enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse eller som led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e), se avsnitt 9.14 i SOU 2017:66 s. 260. Regeringen instämmer inte i Datainspektionens bedömning att de fall där det är möjligt med nationell reglering avseende tredjelandsöverföring endast framgår av kapitel V i dataskyddsförordningen. Artikel 49.5 som Datainspektionen hänvisar till innebär endast en möjlighet till nationell reglering i vissa fall för att fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation.

En bestämmelse i en registerförfattning som anger när överföring av Prop. 2017/18:171 personuppgifter till tredjeland är tillåten behöver inte ändras under förutsättning av att den inte i övrigt strider mot dataskyddsförordningen. Bestämmelsen i 12 § andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa kan därmed behållas i sak, men hänvisningen till 33 § personuppgiftslagen bör tas bort eftersom sistnämnda lag kommer att upphävas. Eftersom 12 § andra stycket lagen om internationella hot mot människors hälsa handlar om behandling av personuppgifter i en lag som i övrigt reglerar andra förhållanden, är det lämpligt att upplysa om att bestämmelser om skydd mot kränkning av den enskildes personliga integritet genom behandling av personuppgifter finns i EU:s dataskyddsförordning och dataskyddslagen.

7.17. Alkohollagen (2010:1622)

Hänvisningar till S7-17

  • Prop. 2017/18:171: Avsnitt 10.14

7.17.1. Bestämmelsen om rättelse och skadestånd upphävs

Regeringens förslag: Bestämmelsen i 13 kap. 5 § alkohollagen som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd upphävs.

Socialdataskyddsutredningens förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Enligt 13 kap. 5 § alkohollagen ska personuppgiftslagens bestämmelser om rättelse och skadestånd gälla vid behandling av personuppgifter enligt alkohollagen. Bestämmelsen bör upphävas (avsnitt 6.8.1 och 6.11.1).

8. Ikraftträdande- och övergångsbestämmelser

8.1. Ikraftträdande

Regeringens förslag: Författningsändringarna till följd av EU:s dataskyddsförordning ska träda i kraft den 25 maj 2018.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens. Utredningen föreslår ikraftträdande som påverkas av andra utredningsförslag om en brottsdatalag respektive en forskningsdatalag.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens förslag.

Skälen för regeringens förslag: Dataskyddsförordningen träder enligt artikel 99.1 i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016.

Enligt artikel 99.2 i dataskyddsförordningen ska den börja tillämpas den 25 maj 2018. De författningsändringar som föranleds av att dataskyddsförordningen ska börja tillämpas bör träda i kraft vid samma tidpunkt. Registerförfattningarna inom Socialdepartementets verksamhetsområde gäller i dag utöver personuppgiftslagen. Socialdataskyddsutredningens förslag utgår från att den författningstekniken behålls. Registerförfattningarna föreslås således gälla utöver den föreslagna dataskyddslagen, se bl.a. avsnitt 6.3. Det innebär att bestämmelserna i den föreslagna dataskyddslagen ska tillämpas om inget annat framgår av registerförfattningarna. Den valda författningstekniken bygger på att vissa bestämmelser i den generella nationella regleringen tillämpas vid sidan av registerförfattningarna. Registerförfattningarna innehåller därför inte alla bestämmelser som är nödvändiga. Regeringen föreslår i propositionen Ny dataskyddslag, prop. 2017/18:105, bl.a. att lagen med kompletterande bestämmelser ska träda i kraft den 25 maj 2018.

Det föreslås ändringar i patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten som berörs av ett annat lagstiftningsärende om en brottsdatalag. Brottsdatalagen beräknas träda i kraft den 1 augusti 2018. Mot bakgrund av att ändringarna i patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten utformas så att lagarna inte gäller vid sådan behandling som avses i artikel 2.2 d i EU:s dataskyddsförordning finns det inte anledning att föreslå ett annat ikraftträdande än från och med det datum som förordningen ska börja tillämpas, dvs. den 25 maj 2018, se avsnitt 7.1.1 och 7.4.1.

Till följd av övergångsbestämmelserna till den föreslagna dataskyddslagen kommer personuppgiftslagen att gälla för sådan personuppgiftsbehandling som undantas från patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten, fram till dess den föreslagna brottsdatalagen träder i kraft. Detta får karaktären av en lagteknisk reglering som endast kommer att ha betydelse under en kortare övergångsperiod.

8.2. Övergångsbestämmelser

Regeringens bedömning: Det behövs inte några särskilda övergångsbestämmelser.

Socialdataskyddsutredningens förslag: Överensstämmer inte med regeringens förslag. Utredningen föreslår att äldre föreskrifter fortfarande ska gälla för överklagande av beslut som har meddelats före ikraftträdandet och att äldre föreskrifter om skadestånd ska fortfarande gälla om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

Remissinstanserna: Flertalet remissinstanser godtar eller invänder inte mot Socialdataskyddsutredningens bedömning.

Skälen för regeringens bedömning

Regleringen i dataskyddsförordningen

Dataskyddsförordningen ska som anges ovan börja tillämpas först två år efter det att den har trätt i kraft. I övrigt innehåller dataskyddsförordningen inte några övergångsbestämmelser. I skäl 171 i dataskyddsförordningen anges att behandling som redan pågår den dag då dataskyddsförordningen börjar tillämpas bör bringas i överensstämmelse med dataskyddsförordningen inom en period av två år från ikraftträdandetidpunkten. De personuppgiftsansvariga förutsätts ha anpassat sin behandling av personuppgifter till regleringen i dataskyddsförordningen vid den tidpunkt när den ska börja tillämpas. Enligt Socialdataskyddsutredningens bedömning kan skäl 171 i dataskyddsförordningen dock inte anses hindra övergångsbestämmelser avseende behandling av personuppgifter som utförts före det att dataskyddsförordningen börjar tillämpas.

Överklagande av myndighetsbeslut

Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas, i fråga om både förfarandet och prövningen i sak. Detta gäller även om ett överklagat beslut har fattats före ikraftträdandet. Principen är inte undantagslös och det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd. Socialdataskyddsutredningens framför att det är lämpligt att de beslut om behandling av personuppgifter som fattas av en personuppgiftsansvarig myndighet överklagas enligt de regler som gällde när beslutet fattades. I några av de författningar som ingått i utredningens översyn finns bestämmelser om överklagande av beslut om behandling av personuppgifter som fattats av en personuppgiftsansvarig myndighet.

Överklagandebestämmelserna i lagen om behandling av personuppgifter inom socialtjänsten och lagen om biobanker i hälso- och sjukvården m.m. infördes innan det fanns överklagandebestämmelser i personuppgiftslagen och anger därför vilka beslut som får överklagas.

I patientdatalagen och socialförsäkringsbalken finns bestämmelser som upplyser om att personuppgiftslagens överklagandebestämmelser ska tillämpas. Upplysningsbestämmelserna kompletteras av bestämmelser som innebär att andra beslut inte får överklagas.

I avsnitt 7.1.11 (patientdatalagen), 7.4.5 (lagen om behandling av personuppgifter inom socialtjänsten, 7.5.12 (socialförsäkringsbalken) och 7.11.5 (lagen om biobanker i hälso- och sjukvården m.m.) föreslås att överklagandebestämmelserna ska upphävas. Socialdataskyddsutredningen föreslår av tydlighetsskäl bestämmelser som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av personuppgifter i dataskyddslagen. För att det ska bli tydligt att de äldre föreskrifterna om överklagande ska tillämpas vid överklagande av beslut som har meddelats före ikraftträdandet bedömer Socialdataskyddsutredningens att övergångsbestämmelser bör införas om att äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

Prop. 2017/18:171 Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105) att genom den nya lagen med kompletterande bestämmelser till EU:s dataskyddsförordning ska personuppgiftslagen upphävas. I övergångsbestämmelser anges bl.a. följande. Den upphävda lagen gäller fortfarande i den utsträckning som det i en annan lag eller en annan förordning finns bestämmelser som innehåller hänvisningar till den lagen. Den upphävda lagen gäller därmed fortfarande för t.ex. överklagande av beslut som har meddelats med stöd av den lagen. Mot denna bakgrund anser regeringen att Socialdataskyddsutredningens förslag till övergångsbestämmelser om att äldre föreskrifter fortfarande ska gälla för överklagande av beslut som har meddelats före ikraftträdandet inte bör genomföras.

Skadestånd

Det anses följa av allmänna rättsgrundsatser att de skadeståndsbestämmelser som gäller vid tidpunkten för skadefallet är tillämpliga. Detta behöver inte regleras i särskilda övergångsbestämmelser. Bestämmelsen om skadestånd i 48 § personuppgiftslagen har genom särskilda bestämmelser i registerförfattningarna gjorts tillämplig även vid behandling av personuppgifter enligt registerförfattningarna. Dessa bestämmelser i registerförfattningarna kommer att upphävas i samband med att personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. Skadeståndsbestämmelsen i personuppgiftslagen bör dock fortfarande gälla om den omständighet som yrkandet hänför sig till har inträffat före det att bestämmelsen upphävs.

Regeringen föreslår i propositionen Ny dataskyddslag att rätten till skadestånd enligt dataskyddsförordningen gäller även vid skada som uppstått på grund av överträdelser av dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Eftersom det följer av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593) anser regeringen att någon särskild övergångsbestämmelse om detta inte behövs.

Mot denna bakgrund anser regeringen att Socialdataskyddsutredningens förslag till övergångsbestämmelser om att äldre föreskrifter om skadestånd gäller fortfarande om den omständigheten som yrkandet hänför sig till har inträffat före ikraftträdandet inte bör genomföras.

Övriga övergångsbestämmelser

I avsnitt 7.6 föreslår regeringen en ändring i en befintlig övergångsbestämmelse i lagen om införande av socialförsäkringsbalken. Övervägandena framgår av det avsnittet.

I övrigt bedöms det inte finns något behov av övergångsbestämmelser med anledning av de förslag som lämnas.

9

Konsekvenser

9.1.1. Allmänna konsekvenser

Dataskyddsförordningen innehåller till stor del samma eller i vart fall liknande bestämmelser som dataskyddsdirektivet och personuppgiftslagen. Dataskyddsförordningen är dock direkt tillämplig och gäller – till skillnad från personuppgiftslagen som är subsidiär – oavsett vad som regleras i en nationell registerförfattning. Bestämmelser i nationell lagstiftning är därför tillåtna endast om det finns särskilt stöd för sådana bestämmelser i dataskyddsförordningen. En översyn och anpassning av nationell lagstiftning på området är således nödvändig för att den inte ska strida mot den direkt tillämpliga EU-förordningen.

Utgångspunkten för detta lagstiftningsärende är att behandling av personuppgifter som i dag är laglig ska kunna fortsätta även efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018.

Det är inte några ofullkomligheter i lagstiftningen, eller ifrågasatta integritetskränkningar, som har föranlett detta lagstiftningsärende utan enbart den kommande nya EU-regleringen av behandling av personuppgifter. De förslag till författningsändringar som lämnas i denna proposition avser att så långt det är möjligt bibehålla, dvs. varken inskränka eller utöka, befintliga möjligheter att behandla personuppgifter.

Socialdataskyddsutredningen har gått igenom samtliga bestämmelser som innehåller reglering av behandling av personuppgifter inom Socialdepartementets verksamhetsområde och föreslår ett antal författningsändringar som har till syfte att anpassa den svenska lagstiftningen till dataskyddsförordningen. Av Socialdataskyddsutredningens överväganden framgår vilka möjligheter som bedöms finnas till nationell lagstiftning på området och vilka ändringar som bedöms vara nödvändiga för att regleringen ska överensstämma med dataskyddsförordningen. Socialdataskyddsutredningens har genomgående bedömt det vara möjligt att behålla bestämmelser vars syfte är att ge en mer preciserad eller avvikande reglering i förhållande till den generella regleringen.

I övrigt föreslås ändringar av lagteknisk karaktär eller i upplysande syfte. De flesta av förslagen görs till följd av att dataskyddsförordningen ska börja tillämpas och att personuppgiftslagen upphävs. Det gäller t.ex. förslag att upphäva hänvisningar till personuppgiftslagen och bestämmelser avseende sådant som regleras direkt i dataskyddsförordningen eller i den föreslagna dataskyddslagen. Dessa förslag, och de förslag som anger författningarnas förhållande till dataskyddsförordningen och dataskyddslagen, bidrar till att minska eventuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra.

Behandling av personuppgifter som utförs av behörig myndighet för bl.a. syftet verkställighet av påföljder och som i dag omfattas av patientdatalagen respektive lagen om behandling av personuppgifter inom socialtjänsten, kommer till följd av ändringarna i patientdatalagen, se avsnitt 7.1.1, och lagen om behandling av personuppgifter inom socialtjänsten, se avsnitt 7.4.1, inte längre omfattas av nämnda lagar utan i stället av den brottsdatalag som föreslås i lagrådsremissen Brottsdatalag.

10. Författningskommentar

I avsnitt 7 har registerlagarna och behovet av ändringar i dessa redovisats. Motiven för och kommentarer till föreslagna författningsändringar, ofta i form av hänvisningar till specifika avsnitt i de för flera författningar generella övervägandena framgår där. Eftersom lagändringarna i huvudsak är av mer författningsteknisk och redaktionell karaktär, är det inte motiverat att i någon större detaljeringsgrad kommentera dessa. Förslag och bedömningar till bestämmelserna om ikraftträdande och övergångsbestämmelserna finns framförallt i avsnitt 8.1–2.

10.1. Förslaget till lag om ändring i socialförsäkringsbalken

114 kap. 1 §

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om – förhållandet till annan reglering i 6 §, – personuppgiftsansvar i 6 a §, – ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§, – tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§, – överföring av personuppgifter till tredjeland i 29 §, – information i 30 §, – gallring i 31 §, – avgifter i 32 §, – kontrollverksamhet i 34 §, och – tystnadsplikt i 35 §.

Paragrafen ändras till följd av vissa ändringar i kapitlets paragrafer.

2 §

Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som gäller förmåner enligt denna balk, samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten. Med socialförsäkringens administration avses i detta kapitel administration hos dessa myndigheter.

Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 7–16, 27, 28 och 31 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.