Prop. 2017/18:298

Behandling av personuppgifter för forskningsändamål

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 6 september 2018

Stefan Löfven

Helene Hellmark Knutsson (Utbildningsdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås vissa ändringar i svensk rätt med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Det föreslås ändringar i – lagen (1999:353) om rättspsykiatriskt forskningsregister, – lagen (2003:460) om etikprövning av forskning som avser människor, – offentlighets- och sekretesslagen (2009:400), – lagen (2013:794) om vissa register för forskning om vad arv och miljö – betyder för människors hälsa, och – lagen (2018:218) med kompletterande bestämmelser till EU:s data-

skyddsförordning. Anpassningarna i dessa lagar syftar till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller privata forskningsutförare.

Lagändringarna föreslås träda i kraft den 1 januari 2019.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister,

2. lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor,

3. lag om ändring i offentlighets- och sekretesslagen (2009:400),

4. lag om ändring i lagen (2013:794 om vissa register för forskning om vad arv och miljö betyder för människors hälsa,

5. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Förhållandet till person-

uppgiftslagen

Föreslagen lydelse

Förhållandet till annan data-

skyddsreglering

2 §

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen.

När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade.

Informationen skall innehålla upplysningar om

1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen,

2. ändamålen med behandlingen,

3. vilken typ av uppgifter behandlingen avser,

4. mottagarna av uppgifterna,

5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

6. bestämmelserna i personupp-giftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt

7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Utöver vad som framgår av artikel 14 i EU:s dataskyddsförordning ska informationen innehålla upplysningar om

1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, och

3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Denna lag träder i kraft den 1 januari 2019.

2.2. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

3 §2Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller

1 Senaste lydelse 2008:192. 2 Senaste lydelse 2008:192.

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Denna lag träder i kraft den 1 januari 2019.

2.3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

21 kap.

7 §1

Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med

1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen,

2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller

3. 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2018:220.

2.4. Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse

Förhållandet till personupp-

giftslagen

Föreslagen lydelse

Förhållandet till annan data-

skyddsreglering

3 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har

meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling kan ske enligt 5–7 §§ och vilka uppgifter som får registreras enligt 9 §,

2. vilka uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt 15 § denna lag och 26 § person-uppgiftslagen (1998:204),

8. vilken myndighet som har tillsyn över att denna lag följs,

9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade.

4. rätten till information enligt 15 § denna lag,

5. vilken myndighet som har tillsyn över att denna lag följs, och

6. rätten till skadestånd.

Denna lag träder i kraft den 1 januari 2019.

2.5. Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att det i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

Forskning

3 §

Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Denna lag träder i kraft den 1 januari 2019.

3. Ärendet och dess beredning

I april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som har börjat tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1 med beslutade rättelser i bilaga 2.

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare, som bl.a. fick i uppdrag att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. I den nya utredningens uppdrag ingick också att föreslå nödvändiga anpassningar till dataskyddsförordningen av vissa registerspecifika författningar på forskningsområdet (dir. 2016:65). Utredningen, som antog namnet Forskningsdatautredningen, presenterade i juni 2017 delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). En sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Utredningens betänkande har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (dnr U2017/02644/F).

Regeringskansliet (Utbildningsdepartementet) tog därefter fram en promemoria som kompletterar delbetänkandet. I promemorian lämnas förslag avseende tillämpningsområdet för den forskningsdatalag som Forskningsdatautredningen har föreslagit. Promemorian har remitterats. Promemorian och remissvaren finns tillgängliga i Utbildningsdepartementet (dnr U2017/04494/F).

Ett utkast till lagrådsremiss togs därefter fram inom Regeringskansliet (Utbildningsdepartementet). I utkastet gjordes bedömningen att den av Forskningsdatautredningen föreslagna forskningsdatalagen inte ska genomföras utan att endast nödvändiga anpassningar av befintliga lagar till dataskyddsförordningen ska genomföras för närvarande. De lagändringar som föreslogs i utkastet baserades med ett undantag och med små justeringar på Forskningsdatautredningens förslag i delbetänkandet. Ett förslag till ändring i offentlighets- och sekretesslagen (2009:400) fanns inte med i delbetänkandet. Detta förslag är en nödvändig följdändring för att ingen ändring i sak ska uppstå till följd av att personuppgiftslagen (1998:204) upphört att gälla i samband med att dataskyddsförordningen börjat tillämpas. Utkastet till lagrådsremiss remitterades den 4 april till den 4 maj 2018. Utkastets lagförslag finns i bilaga 6 och en förteckning över remissinstanserna finns i bilaga 7. Remissvaren finns tillgängliga i Utbildningsdepartementet (dnr U2018/01639/F).

De förslag som regeringen lagt fram i lagrådsremissen överensstämmer i sak med utkastet till lagrådsremiss. Regeringens avsikt är alltjämt att föreslå nödvändiga anpassningar till dataskyddsförordningen. Fortsatt arbete med de aktuella författningarna kommer bl.a. att ske i samband med beredningen av förslagen i betänkandet Etikprövning – en översyn av

reglerna om forskning och hälso- och sjukvård (SOU 2017:104) och Forskningsdatautredningens slutbetänkande Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36).

Lagrådet

Regeringen beslutade den 28 juni 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9.

Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissens lagförslag har en hänvisning i 14 § lagen (2013:794) om vissa register om vad arv och miljö betyder för människors hälsa till dataskyddsförordningen tagits bort.

4. Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter

4.1. Dataskyddsdirektivet har ersatts av en dataskyddsförordning

Fram till den 25 maj 2018 har offentliga och privata forskningsutförare behandlat personuppgifter i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Från och med denna dag gäller i stället Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig i EU:s medlemsstater.

Dataskyddsförordningen föregicks av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Det direktivet hade i Sverige genomförts genom PUL. Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknad lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vidare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dataskyddsdirektivet har inte förhindrat bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av EU. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Dataskyddsförordningen syftar till att säkerställa en enhetlig skyddsnivå över hela unionen så att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden undviks. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer,

ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).

Som framgått upphörde dataskyddsdirektivet att gälla från och med den 25 maj 2018 (artiklarna 99.2 och 94.1 i dataskyddsförordningen). Samma datum upphävdes PUL och en ny lag som innehåller bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär trädde i kraft, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen benämns i det följande dataskyddslagen.

Det förekommer hänvisningar till PUL i ett stort antal författningar som reglerar personuppgiftsbehandling inom olika områden. I propositionen Ny dataskyddslag 2017/18:105, har regeringen konstaterat att arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat och att allt detta arbete inte kommer att vara helt avslutat den 25 maj 2018. Eftersom det således kommer att finnas ett antal författningar med hänvisningar till PUL som ännu inte har hunnit ändras när PUL upphör att gälla har det införts en övergångsbestämmelse till dataskyddslagen som anger att den upphävda lagen, PUL, fortfarande ska gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. På forskningsområdet finns sådana hänvisningar i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. I fall som omfattas av dessa lagar fortsätter alltså PUL att gälla i den utsträckning lagarna hänvisar till PUL fram till dess att en ändring i lagarna träder i kraft.

Det numera upphävda dataskyddsdirektivet grundade sig på Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Förhandlingarna om en modernisering av dataskyddskonventionen har nyligen avslutats. Ändringsprotokollet till konventionen som förhandlingarna resulterat i har ännu inte trätt i kraft. Ändringarna har skett med beaktande av regleringen i den nya dataskyddsförordningen, som antogs under tiden förhandlingarna om dataskyddskonventionen pågick.

Dataskyddsdirektivet hade ett begränsat tillämpningsområde. Det var inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. PUL gjordes dock, till skillnad från direktivet, generellt tillämplig och var därför tillämplig även utanför EU-rättens område. Skälet för detta var att den svenska dataskyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa undantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL,

ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksamhet som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f). PUL skulle dock inte tillämpas om avvikande bestämmelser fanns i annan lag eller förordning, dvs. PUL var subsidiär i förhållande till annan författningsreglering.

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett begränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

4.2. Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Möjligheten till kompletterande nationella bestämmelser gäller framför allt behandling av personuppgifter inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). När det gäller behandling av personuppgifter för forskningsändamål både förutsätter och möjliggör förordningen en kompletterande nationell reglering (artiklarna 9.2 j och 89). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).

4.3. Dataskyddsförordningen kompletteras av en ny svensk övergripande lag och förordning om dataskydd

Som nämnts i avsnitt 4.1 trädde den nya övergripande lagen om dataskydd, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), i kraft den 25 maj 2018. Genom lagen upphävdes PUL men det finns som nämnts övergångsbestämmelser för vissa fall då PUL fortfarande ska gälla. Genom namnet på lagen betonas att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen.

På motsvarande sätt som PUL hade ett vidare tillämpningsområde än dataskyddsdirektivet, finns det en bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Dataskyddslagen innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 §), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på motsvarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område.

4.4. Dataskyddsförordningen behöver även kompletteras med svenska bestämmelser på forskningsområdet

För att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål behöver dataskyddsförordningen och dataskyddslagen kompletteras. De frågor som regeringen ser behov av att reglera, eller i vilka riksdagen bör informeras om regeringens bedömning, är främst förekomsten av rättslig grund för att olika forskningsaktörer ska kunna behandla personuppgifter för forskningsändamål (avsnitt 7), skyddsåtgärder vid all behandling av personuppgifter för forskningsändamål (avsnitt 9), behandling av s.k. känsliga personuppgifter för forskningsändamål (avsnitt 10), behandling av personuppgifter som rör lagöverträdelser för forskningsändamål (avsnitt 11) och undantag från artiklar i dataskyddsförordningen som reglerar den registrerades rättigheter (avsnitt 13). Vidare behöver anpassningar göras i lagen (2003:460) om etikprövning av forskning som avser människor, vissa registerförfattningar på forskningsområdet och i offentlighets- och sekretesslagen (2009:400), se avsnitt 14– 16.

Då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll ges nedan först en kortfattad redogörelse för vad som gällt hittills enligt dataskyddsdirektivet och PUL (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

4.5. Vad har gällt hittills enligt dataskyddsdirektivet och personuppgiftslagen?

Dataskyddsdirektivet

Dataskyddsdirektivet syftade till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Det syftade även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna fick inom den ram som gavs i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma.

Huvuddragen i direktivet var följande. Direktivet gällde för sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avsågs varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artiklarna 2 b och 3.1 i dataskyddsdirektivet).

Direktivet var inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Direktivet var inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantogs från direktivets materiella bestämmelser (artiklarna 3.2 och 9).

Medlemsstaterna skulle enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebar bl.a. följande. Personuppgifter skulle behandlas på ett korrekt och lagligt sätt. Uppgifterna fick samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de fick inte senare användas på ett sätt som var oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skulle dock inte anses oförenligt med det ursprungliga ändamålet, förutsatt att medlemsstaterna beslutat om lämpliga skyddsåtgärder. Medlemsstaterna skulle vidare föreskriva att personuppgifter endast fick behandlas i bl.a. följande fall: när samtycke lämnats, när det var nödvändigt för att fullgöra ett avtal i vilket den registrerade var part, när det fanns en i författning reglerad förpliktelse att behandling av uppgifterna skulle göras, när det var nödvändigt för att skydda den enskildes grundläggande intressen, när det var nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en avvägning mellan de berättigade intressen som fanns för behandlingen och den registrerades rättigheter och intressen (artiklarna 6 och 7).

Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv (s.k. känsliga personuppgifter) fick som huvudregel inte behandlas. Det fanns dock vissa undantag, bl.a. om den

enskilde uttryckligen samtyckt, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna fick i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som angavs i direktivet, dock endast under förutsättning att det skedde av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtogs. Medlemsstaterna skulle vidare bestämma på vilka villkor nationella identifikationsnummer fick behandlas. Vidare fick uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8).

Med registeransvarig avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med registerförare avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning (artikel 2 d och 2 e).

Enligt direktivet skulle, när personuppgifter samlades in, den registrerade informeras bl.a. om vem som var registeransvarig och vad uppgifterna skulle användas till. All behandling av personuppgifter skulle enligt huvudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgifter som innebar särskilda integritetsrisker fick inte förekomma utan att tillsynsmyndigheten först gett tillstånd till detta. Den registrerade hade rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land fick i princip endast ske om det mottagande landet hade en acceptabel skyddsnivå (se bl.a. artiklarna 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet genomfördes, som angetts ovan, i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL hade till syfte att skydda människor mot att deras personliga integritet kränktes genom behandling av personuppgifter. PUL följde i princip dataskyddsdirektivets struktur. Liksom direktivet innehöll PUL bestämmelser om behandling av personuppgifter som var helt eller delvis automatiserad, men även annan behandling av personuppgifter om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gällde både myndigheter och enskilda som behandlade personuppgifter på detta sätt. Lagen gällde dock inte för sådan behandling av personuppgifter som en fysisk person utförde som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL).

Liksom direktivet innehöll PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter var tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m., skyldighet att lämna information till den registrerade och att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte hade behandlats i enlighet med lagen (t.ex. 9, 10, 13, 16, 21 och 23–28 §§.) De som i direktivet benämndes som registeransvarig

och registerförare motsvarades i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §).

4.6. Likheter och skillnader mellan dataskyddsförordningen och dataskyddsdirektivet

Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdirektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

Definitionerna av begreppen personuppgifter och behandling i dataskyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4.1 och 4.2).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4.7 och 4.8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artiklarna 5, 6, 9, 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. de förändringar som beskrivs nedan.

Tillämpningsområdet har utvidgats

Dataskyddsförordningen ska tillämpas på behandling av personuppgifter som görs inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen (artikel 3.1). Vidare ska dataskyddsförordningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.3).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2).

Den registrerades rättigheter har förstärkts

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. I förhållande till dataskyddsdirektivet har den information som ska tillhandahållas den registrerade preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Det finns liksom i dataskyddsdirektivet en rätt till s.k. registerutdrag och en rätt till rättelse av felaktiga uppgifter. Rätten till radering (utplåning) av uppgifter har förtydligats. En rätt till begränsning av behandling har vidare ersatt rätten till blockering av uppgifter. Det finns också, liksom enligt dataskyddsdirektivet, en rätt för den registrerade att invända mot behandling av personuppgifter som rör honom eller henne (artiklarna 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Ett krav på samtycke har införts för situationer när informationssamhällets tjänster erbjuds barn

När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). Enligt dataskyddslagen gäller en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställning och särskilda utsatthet poängteras också på flera ställen i dataskyddsförordningen.

En skyldighet att anmäla personuppgiftsincidenter har införts

Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter, såvida inte vissa villkor är uppfyllda (artikel 33).

Ett krav på konsekvensanalyser har ersatt en allmän anmälningsskyldighet

Genom dataskyddsförordningen införs även ett krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten har däremot tagits bort.

Det finns ingen missbruksregel och vissa förändringar har gjorts av de rättsliga grunderna för personuppgiftsbehandling

Genom att dataskyddsförordningen börjat tillämpas finns den så kallade missbruksregeln i 5 a § PUL inte längre kvar. Såväl dataskyddsdirektivet som PUL innebar att behandling av personuppgifter förutsatte tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebar att vissa av

dessa hanteringsregler inte behövde tillämpas på behandling av personuppgifter som inte ingick i eller var avsedda att ingå i en samling av personuppgifter som strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta gällde dock endast under förutsättning att behandlingen inte innebar en kränkning av den registrerades personliga integritet. Bestämmelsen tillkom för att förenkla regleringen av personuppgiftsbehandling och bestämmelsen hade ett relativt vitt tillämpningsområde (jfr HFD 2015 ref. 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen.

Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter och intressen (artikel 6.1). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat.

Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehandlingen stödjer sig på i vissa fall ska vara fastställd i enlighet med unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1 och 2 §§ i dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter för forskningsändamål behandlas i avsnitt 7.

Förändringar när det gäller känsliga personuppgifter och lagöverträdelser

Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 10 och 11.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser samt personnummer och samordningsnummer finns i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

Förhållandet till offentlighetsprincipen har blivit tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen har blivit tydligare i dataskyddsförordningen. Detta har skett genom en uttrycklig och direkt tillämplig bestämmelse om att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen (artikel 86). Härigenom möjliggörs alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta finns i 1 kap. 7 § dataskyddslagen.

Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning har införts

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktionsavgifter finns i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artiklarna 40, 43, 57, 68–76 och 83).

Särskilda bestämmelser med villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål har införts

I dataskyddsförordningen finns det några bestämmelser som särskilt reglerar villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål. Behandling av personuppgifter för sådana ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Om personuppgifter behandlas för sådana ändamål får det under vissa förutsättningar i unionsrätten eller medlemsstaternas nationella rätt föreskrivas undantag från vissa av de artiklar i förordningen som reglerar de rättigheter den registrerade har för att ha kontroll över sina uppgifter (artikel 89). Ett särskilt undantag från förbudet att behandla känsliga personuppgifter finns också om behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål (artikel 9.2 j).

4.7. Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå

När det gäller införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundläggande bestämmelser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om denne registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personuppgifter.

Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numera att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF). Vid införandet av nya bestämmelser som avser behandling av personuppgifter behöver därmed bedömas om regleringen utgör ett sådant betydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (prop. 2009/10:80 s. 171 f).

5. Vilka är forskningsutförare?

Forskningsutförare inom det offentligrättsliga området

En stor del av den forskning i Sverige som bedrivs av offentligrättsliga forskningsutförare bedrivs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Enligt 2 kap. 18 § andra stycket RF är forskningens frihet skyddad enligt bestämmelser som meddelas i lag.

För universitet och högskolor med staten som huvudman framgår det av högskolelagen (1992:1434) att de ska bedriva forskning. Där anges det att staten som huvudman ska anordna högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet, och forskning och konstnärlig forskning samt utvecklingsarbete (1 kap. 2 §). Av högskolelagen framgår också forskningens frihet. Som allmänna principer för forskning som bedrivs av dessa utförare gäller att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras (1 kap. 6 §). I högskolornas uppgift ska det ingå att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Flera andra statliga myndigheter har forskningsuppgifter inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Forskningsutförare inom det privaträttsliga området

Bland privaträttsliga aktörer som utför forskning ska först enskilda utbildningsanordnare nämnas. Enskilda utbildningsanordnare är lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller

föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa är alla privaträttsliga forskningsutförare. För de enskilda utbildningsanordnarna anges det emellertid inte i lagen om tillstånd att utfärda vissa examina att de har en uppgift att bedriva forskning.

Forskning bedrivs även i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningsutförare som bedriver forskning med omfattande användning av personuppgifter.

6. I dataskyddsförordningen används begreppet forskningsändamål

När villkoren för personuppgiftsbehandling inom forskning regleras särskilt i dataskyddsförordningen används i stort sett genomgående termen vetenskapliga eller historiska forskningsändamål. I vissa fall talas det enbart om forskningsändamål. Till ledning för tolkningen av detta begrepp anges det att begreppet vetenskapliga forskningsändamål bör i förordningen ges en vid tolkning och omfatta t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt intresse inom folkhälsoområdet bör omfattas av begreppet (skäl 159). Historiska forskningsändamål omfattar historiska och genealogiska ändamål (skäl 160). Termen vetenskapliga och historiska forskningsändamål är alltså ett unionsrättsligt begrepp.

7. De rättsliga grunderna för behandling av personuppgifter för forskningsändamål

Som framgått av avsnitt 4.6 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara göras om det finns en tillämplig rättslig grund. De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst att

1. den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a),

2. behandlingen är nödvändig för att utföra en uppgift av allmänt intresse

(uppgift av allmänt intresse, artikel 6.1 e), och

3. behandlingen är nödvändig för ändamål som rör den personuppgifts-

ansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1 f).

I något fall kan också den rättsliga grunden att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c) vara aktuell.

Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de rättsliga grunderna i artikeln är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling.

Som framgått av avsnitt 4.6 är skillnaderna mot vad som gällde enligt dataskyddsdirektivet och PUL bl.a. att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är mer begränsat enligt dataskyddsförordningen, att det enligt dataskyddsförordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning, och att bl.a. den rättsliga grunden uppgift av allmänt intresse och myndighetsutövning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse och intresseavvägning (avsnitt 7.1). Därefter behandlas vilka förutsättningar offentligrättsliga respektive privaträttsliga forskningsutförare har att stödja sin behandling av personuppgifter på dessa grunder (avsnitt 7.2). I avsnitt 10.4 behandlas forskning i form av klinisk läkemedelsprövning och användandet av den rättsliga grunden rättslig förpliktelse i samband med sådan forskning.

7.1. Tre rättsliga grunder är främst aktuella

7.1.1. Samtycke

Om en behandling grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a och 7.1).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende

som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

För forskningens del är också vad som anges i skäl 33 i dataskyddsförordningen av betydelse. Där konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EUkommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (Yttrande 15/2011 om definitionen av begreppet samtycke Artikel 29gruppen s. 13–14 och 16–17). Artikel 29-gruppen har också antagit riktlinjer om samtycke enligt dataskyddsförordningen, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regulation 2016/679, wp259rev.01, antagna den 10 april 2018). Europeiska dataskyddsstyrelsen, som har i uppgift att se till att dataskyddsförordningen tillämpas enhetligt, har den 25 maj 2018 beslutat att stödja dessa riktlinjer. Av riktlinjerna framgår att existerande yttranden fortfarande har relevans då de grundläggande förutsättningarna för personuppgiftsbehandling enligt dataskyddsdirektivet är desamma som enligt dataskyddsförordningen. Generellt framhåller arbetsgruppen i riktlinjerna att ett samtycke är giltigt endast om den registrerade har en reell valmöjlighet och det inte finns någon risk för att den registrerade blir bedragen, utsätts för hot eller tvång eller andra negativa konsekvenser om han eller hon inte samtycker.

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag (prop. 2017/18:105) gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (a. prop., s. 57).

7.1.2. Uppgift av allmänt intresse

Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Vilka uppgifter är av allmänt intresse?

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen.

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet också finns i motsvarande bestämmelser i det upphävda dataskyddsdirektivet (artikel 7 e) och i den upphävda PUL (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Som anförts i propositionen Ny dataskyddslag gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste enligt regeringens mening gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.

Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just

allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).

Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.

Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör.

När det gäller frågan om forskning ska anses vara en uppgift av allmänt intresse kan konstateras att vetenskaplig forskning i dataskyddsdirektivets skäl 34 framhålls som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter.

I förarbetena till PUL exemplifieras arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364).

I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse (s. 56). Detta för att myndigheternas verksamhet ska kunna fungera även i fortsättningen mot bakgrund av dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet (se närmare om detta i avsnitt 7.2.1 och 7.2.3).

Sammanfattningsvis bör presumtionen vara att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig förändring i förhållande till vad som gäller enligt PUL är emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?

I propositionen Ny dataskyddslag framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse, dvs. i nu aktuellt fall uppgiften att forska. Något motsvarande krav på att grunden för behandlingen ska vara fastställd i unionsrätt eller nationell rätt när det är fråga om bl.a. uppgift av allmänt intresse finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd, t.ex. privata forskningsutförare. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag.

Att grunden för en behandling ska vara fastställd i nationell rätt är visserligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 49 f.). Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.

När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas konstateras i nämnda proposition att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att dataskyddsförordningens krav i art. 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med RF:s bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller

uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering – i myndighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsvarande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden.

En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de grundläggande principer som gäller för personuppgiftsbehandling i artikel 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 8). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade och

uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av sådan utbildning som regleras i den lagen.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller genom att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.

Reglering i dataskyddslagen

Av skäl 41 i dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har preciserats 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 i dataskyddsförordningen framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är

allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (propositionen Ny dataskyddslag, s. 51).

På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara tillämplig och kunna åberopas. Det ställs däremot inte något krav enligt dataskyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.

Nödvändighetsrekvisitet

Som nämnts ovan får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3).

Nödvändighetsrekvisitet har även gällt enligt artiklarna 6 och 7 i dataskyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (propositionen Ny dataskyddslag s. 46 f. och 60).

För forskningens del innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet.

7.1.3. Intresseavvägning

Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket). Motsvarande grund har enligt dataskyddsdirektivet och PUL även kunnat tillämpas av myndigheter. I artikel 6.1 andra stycket i dataskyddsförordningen klargörs dock att den rättsliga grunden intresseavvägning inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Vid den rättsliga grunden intresseavvägning ska behandlingen av personuppgifter vara nödvändig för ett ändamål som rör ett berättigat intresse. Nödvändighetsrekvisitet har behandlats i avsnitt 7.1.2.

Av skäl 47 till dataskyddsförordningen framgår att vid bedömningen av om den rättsliga grunden intresseavvägning kan tillämpas ska den registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige beaktas. Som exempel på när en personuppgiftsansvarig kan ha ett berättigat intresse nämns att det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en behandling kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direkt marknadsföring kan betraktas som ett berättigat intresse (skäl 47 till dataskyddsförordningen).

Som nämnts tidigare framhålls vetenskaplig forskning i dataskyddsdirektivets skäl 34 som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter. I förarbetena till personuppgiftslagen exemplifieras vidare arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364).

Enligt regeringens uppfattning bör en uppgift, som bedöms vara av allmänt intresse men som inte har fastställts i unionsrätten eller nationell rätt, i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f.

Artikel 29-gruppen har när det gäller dataskyddsdirektivet uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Andra intressen kan vara mindre akuta för samhället som helhet eller åtminstone kan samhällseffekterna av dessa vara blandade. Begreppet berättigat intresse kan omfatta ett brett spektrum av intressen. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts ovan följer det dock av artikel 6.1 andra stycket dataskyddsförordningen att myndigheter, bl.a. universitet och högskolor med statlig huvudman, inte längre får åberopa denna grund för personuppgiftsbehandling när de fullgör sina uppgifter.

7.2. Möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder

7.2.1. Samtycke

Regeringens bedömning: Dataskyddsförordningen bör normalt inte innebära något hinder för forskningsutförare att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningsutförare.

Utredningens bedömning överensstämmer i sak med regeringens bedömning. Utredningen gjorde fler bedömningar med inriktning på olika aspekter av ett giltigt samtycke.

Remissinstanserna: Ingen remissinstans yttrar sig i frågan om utredningens bedömning av olika forskningsutförares möjlighet att använda den rättsliga grunden samtycke. De flesta remissinstanser som yttrar sig delar i huvudsak utredningens bedömning av innebörden av samtycke.

Några remissinstanser, bl.a. Mittuniversitetet och Skåne läns landsting, problematiserar kring samtyckens giltighet vid ett ojämlikt förhållande mellan den personuppgiftsansvarige och den registrerade.

Umeå universitet anser att en diskussion borde ha förts kring hur äldre samtycken som inhämtats innan dataskyddsdirektivet infördes ska hanteras.

Flera remissinstanser, Verket för innovationssystem (Vinnova), Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU),

Läkemedelsindustriföreningen och Cancerfonden, tar upp frågan om tolkningen av skäl 33 i dataskyddsförordningen och vikten av att kunna använda s.k. breda samtycken i forskningen.

Några remissinstanser kommenterar också utredningens bedömning när det gäller ytterligare behandling av personuppgifter som inhämtats med stöd av samtycke. Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen konstaterar att samtycke kan användas som rättslig grund så länge det inte är fråga om ett ojämlikt förhållande. Inspektionen anser att man bör iaktta försiktighet när man gör en bedömning av om samtycke kan utgöra en rättslig grund och framhåller att det inte enbart är i de situationer där det råder ett direkt maktförhållande mellan den personuppgiftsansvarige och den registrerade som möjligheten att använda samtycke är begränsad. Lunds universitet framhåller att samtycke kan vara problematiskt när den registrerade upplever sig beroende av den personuppgiftsansvarige. Universitet anser att det krävs en mer ingående analys av när ett betydande ojämlikhetsförhållande föreligger.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Alla personuppgiftsansvariga som vill använda den rättsliga grunden samtycke för sin personuppgiftsbehandling har att beakta förutsättningarna som angivits i avsnitt 7.1.1 för att ett giltigt samtycke ska föreligga.

Kravet på frivillighet som gäller för att ett samtycke ska vara giltigt är formulerat på samma sätt i dataskyddsförordningen som i PUL. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen. Där anges det att för att säkerställa att samtycket lämnas frivilligt bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

I ett yttrande om samtycke har Artikel 29-gruppen uttalat att inom den offentliga sektorn är behandlingen av uppgifter normalt knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse och att då använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna är inte en lämplig rättslig grund (Yttrande 15/2011 om definitionen av begreppet samtycke). Artikel 29gruppen pekar på att detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen

för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag. Som nämnts i avsnitt 7.1.1 har Artikel 29-gruppen antagit Guidelines on Consent under Regulation 2016/679, som kompletterar tidigare yttranden. Artikel 29-gruppen uttalar i vägledningen att det generellt är osannolikt att offentliga myndigheter kan förlita sig på den rättsliga grunden samtycke eftersom det ofta föreligger ett sådant ojämlikt maktförhållande mellan myndigheten som är personuppgiftsansvarig och den registrerade. I många fall har inte den registrerade något alternativ förutom att acceptera myndighetens villkor för behandling av personuppgifter. Arbetsgruppen anser därför att andra rättsliga grunder i princip är lämpligare att använda än samtycke för offentliga myndigheter. Arbetsgruppen anger emellertid i vägledningen att det inte är helt uteslutet att offentliga myndigheter kan använda samtycke enligt dataskyddsförordningen, utan att det kan vara lämpligt under vissa omständigheter (Guidelines on Consent under Regulation 2016/679, s. 6).

När det gäller offentliga forskningsutförare kan det enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forskningsprojekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forskningsutföraren kan använda sig av denna rättsliga grund.

Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. De driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och nationella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse. Behandling av personuppgifter i sådana register regleras i 7 kap. patientdatalagen (2008:355). Enligt 7 kap. 2 § får personuppgifter inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. Det finns vidare en särskild reglering i 7 kap. 2 a § för en enskild som inte endast tillfälligt saknar förmåga att ta ställning i denna fråga.

Sammanfattningsvis anser regeringen att formuleringen i skäl 43 innebär en begränsning av offentliga forskningsutförares möjlighet att använda sig av samtycke som rättslig grund, men det föreligger inte alltid ett hinder

för sådana forskningsutförare att använda samtycke som rättslig grund. När de tar ställning till frågan med stöd av vilken rättslig grund personuppgiftsbehandling i ett forskningsprojekt ska ske behöver de särskilt beakta om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund utan en annan rättslig grund bör väljas. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Privaträttsliga forskningsutförare

Även privaträttsliga forskningsutförare måste beakta att förutsättningarna för ett giltigt samtycke är uppfyllda när de tar ställning till vilken rättslig grund personuppgiftsbehandling i ett projekt ska grundas på och om det är lämpligt att använda sig av samtycke.

Regeringens bedömning är att utgångspunkten när det gäller privaträttsliga forskningsutförare är att det normalt inte råder betydande ojämlikhet mellan dem som personuppgiftsansvariga och registrerade när personuppgifter behandlas för forskningsändamål. För enskilda utbildningsanordnare bör väsentligen samma resonemang om fall där en betydande ojämlikhet skulle kunna föreligga kunna föras som för universiteten och högskolorna med offentlig huvudman. Företag, stiftelser och andra medlemsorganisationer som utför forskning bör kunna använda samtycke för alla som inte har någon anknytning till organisationen, genom att vara exempelvis anställda, intressenter och/eller medlemmar. En sådan särskild situation enligt skäl 43 då samtycke inte kan anses ha lämnats frivilligt kan vara när den personuppgiftsansvarige vill använda ett anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis bör formuleringen i skäl 43 normalt inte innebära hinder för privaträttsliga forskningsutförare att använda samtycke för personuppgiftsbehandling för forskningsändamål. Även privaträttsliga forskningsutförare behöver emellertid beakta om det kan föreligga en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbehandlingen i ett forskningsprojekt. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Äldre samtycken

När det gäller redan inhämtade samtycken och frågan om giltigheten av sådana samtycken framgår det av skäl 171 i dataskyddsförordningen att om en personuppgiftsbehandling grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen ifråga efter det att förordningen börjat tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Det behöver alltså ske en kontroll av att lämnade samtycken skett på ett sätt som krävs för att ett giltigt samtycke ska föreligga enligt dataskyddsförordningen för att avgöra om behandlingen kan fortsätta med stöd av

samtycket eller om ett nytt samtycke behöver inhämtas. När det gäller ännu äldre samtycken framgår det av övergångsbestämmelserna till PUL att ett samtycke som hade lämnats för en behandling innan PUL trädde i kraft skulle gälla även efter ikraftträdandet om samtycket uppfyllde kraven i PUL (p. 6 i ikraftträdande- och övergångsbestämmelserna). PUL är baserad på dataskyddsdirektivet. Det får enligt regeringens uppfattning förutsättas att en bedömning gjorts av om ett sådant samtycke är förenligt med PUL och därmed dataskyddsdirektivet och att ett nytt samtycke inhämtats om samtycket inte bedömts uppfylla kraven i PUL. Enligt regeringens uppfattning bör dessa samtycken därför kunna hanteras på samma sätt som samtycken enligt dataskyddsdirektivet, dvs. att en kontroll görs av om det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen.

7.2.2. Uppgift av allmänt intresse

Regeringens bedömning: För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt.

Det bör inte införas en bestämmelse i lag där det anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen berör inte frågan om tillstånd från myndigheter för att bedriva forskning. Utredningen har föreslagit att det ska införas en bestämmelse i lag som anger att personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse samt att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Remissinstanserna: I stort sett alla remissinstanser som yttrar sig tillstyrker, ställer sig positiva till eller har ingen invändning mot att en be-

stämmelse som reglerar forskning som uppgift av allmänt intresse för såväl offentligrättsliga som privaträttsliga forskningsutförare införs i lag. Detta gäller bl.a. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Sveriges Kommuner och Landsting (SKL) och flertalet landsting.

Uppsala universitet tillstyrker förslaget och konstaterar att själva uppgiften att bedriva forskning måste vara fastställd enligt gällande rätt och att så redan är fallet för universitet och högskolor. För andra offentliga forskningsutförare, enskilda näringsidkare såsom läkemedelsföretag och andra juridiska personer saknas en reglering som står i överensstämmelse med dataskyddsförordningen. Genom de föreslagna bestämmelserna ges nu en sådan precisering vilket gör det möjligt också för dessa forskningsutförare att åberopa allmänt intresse som rättslig grund. Dessa forskningsutförare bedriver redan idag ett viktigt vetenskapligt arbete eller utvecklingsarbete på vetenskaplig grund och bör när det gäller behandling av personuppgifter för forskningsändamål behandlas lika som statliga universitet och högskolor.

Kalmar läns landsting delar utredningens uppfattning att kommunallagens bestämmelser om att kommuner och landsting själva får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar, inte är tillräckligt tydlig, preciserad och förutsägbar för att uppfylla dataskyddsförordningens krav vid fastställande av rättslig grund. Landstinget anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som landsting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Vetenskapsrådet anser att forskning oavsett om den utförs av en offentlig eller privat forskningsutförare är en uppgift av allmänt intresse. Mot bakgrund av myndighetens uppgift att förbättra förutsättningarna för registerforskning i Sverige anser myndigheten att det är av avgörande betydelse att även privata forskningsutförare kan behandla personuppgifter utan samtycke. Vetenskapsrådet betonar därför vikten av att det i nationell lagstiftning slås fast att även privata forskningsutförare kan använda sig av den rättsliga grunden allmänt intresse.

Verket för innovationssystem (Vinnova) anser att det i lag bör möjliggöras att offentligrättsliga och privaträttsliga forskningsutförare likställs när det gäller möjligheten att åberopa artikel 6.1 e som rättslig grund för personuppgiftsbehandling för forskningsändamål. Skälen är att det i dagens forskningssamhälle saknas en skarp gräns mellan offentliga och privata forskningsutförare, att samverkan mellan olika forskningsutförare är en viktig del av nuvarande forskningslandskap och att privaträttsliga forskningsutförare utför en betydande del forskning som kan anses vara uppgift av allmänt intresse.

Mittuniversitetet vill lyfta fram det absolut nödvändiga i att genomföra den del av förslaget som innebär att även privata forskningsutförare ges möjlighet till att använda den rättsliga grunden ”uppgift av allmänt intresse” vid forskning som innebär personuppgiftshantering. Om förslaget inte genomförs kommer för allmänheten betydelsefull forskning som sker inom den privata sektorn, exempelvis inom läkemedelsindustrin, annars försvåras eller i värsta fall omöjliggöras. Detta oavsett om denna

forskning sker enbart inom den privaträttsliga sfären eller om den sker i samarbete med någon högskola eller något universitet.

Enligt Pensionsmyndigheten är det uppenbart att den forskning som bedrivs enligt bestämmelserna i högskolelagen (1992:1434) är exempel på en sådan uppgift av allmänt intresse som avses i dataskyddsförordningen. Enligt myndigheten skulle det dock kunna anses vara mer tveksamt om privat oreglerad forskningsverksamhet kan anses underkastad en sådan reglering. Enligt Pensionsmyndighetens uppfattning är det därför av stor vikt att det i det fortsatta beredningsarbetet säkerställs att även sådan forskningsverksamhet är reglerad på ett sådant sätt att den anses fastställd i enlighet med dataskyddsförordningens krav.

Malmö högskola påpekar att utredningens förslag tillåter en mycket vid grupp att utföra forskning av allmänt intresse och forskningsutföraren ska själv avgöra vad som är allmänt intresse, vilket lämnar möjlighet till fel och direkt missbruk. Att tillåta allt från enskilda näringsidkare och uppåt att bedriva forskning och samtidigt överlåta avgörandet av vad som är av allmänt intresse kan vara en risk.

Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse.

Datainspektionen avstyrker utredningens förslag avseende 6 § i den föreslagna forskningsdatalagen. Inspektionen anför att 6 § i den föreslagna forskningsdatalagen synes reglera vem som får utföra forskning av allmänt intresse och utgör enligt vad utredningen anfört, den i nationell rätt fastställda grunden för att utföra en uppgift av allmänt intresse. Datainspektionen anser inte att den föreslagna bestämmelsen är en i nationell rätt fastställd uppgift, utan bestämmelsen återger i första meningen en del av dataskyddsförordningens krav och i sista meningen anges olika subjekt som får bedriva forskning av allmänt intresse. Datainspektionen konstaterar att friheten att forska inte är en fråga som rör dataskydd och att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att denna reglering tillför något materiellt. Mot denna bakgrund ifrågasätter Datainspektionen om 6 § forskningsdatalagen egentligen inte endast kan anses utgöra enbart ett återgivande av de regler som gäller direkt enligt artikel 6.1 e i förordningen. Eftersom bestämmelsen inte utgör ett förtydligande i enlighet med skäl 8 i förordningen anser Datainspektionen att bestämmelsen saknar stöd i dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Detta gäller bl.a. Kammarrätten i

Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Brottsförebyggande rådet, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Jönköping University, Örebro universitet, Kungl. Biblioteket och Riksarkivet. Bland de som ställer sig positiva till förslagen och bedömningarna finns Högskolan i Borås, Karlstads universitet, Karolinska institutet och Malmö universitet. Göteborgs universi-

tet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsremiss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intressen av att kunna använda personuppgifter och att den typ av forskning som

Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver.

När det gäller bedömningarna av olika forskningsutförares möjligheter att använda sig av olika rättsliga grunder framhåller ett antal remissinstanser, Mittuniversitetet, Umeå universitet, Vetenskapsrådet, Forskningsrådet för miljö, areella näringar och samhällsbyggande (Formas) och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), vikten av att privaträttsliga forskningsutförare kan använda sig av den rättsliga grunden uppgift av allmänt intresse och att det är problematiskt att offentligrättsliga och privaträttsliga forskningsutförare får olika förutsättningar, vilket de bl.a. anser försvårar samarbete mellan olika forskningsutförare och ger privaträttsliga forskningsutförare sämre konkurrensförutsättningar. Stockholms universitet anser att det är olyckligt att privata forskningsutförares behandling av personuppgifter ska fördelas på skilda rättsliga grunder beroende på om känsliga personuppgifter behandlas eller inte. Kommerskollegium ställer sig frågande till bedömningen att inte införa någon rättslig grund i form av uppgift av allmänt intresse för privata forskningsutförare som bedriver forskningsprojekt som inte involverar känsliga personuppgifter eller uppgifter om lagöverträdelser. Verket för innovationssystem (Vinnova) framhåller att det är av yttersta vikt att ingen åtskillnad görs i lagstiftning mellan offentligrättsliga och privata forskningshuvudmän.

Flera remissinstanser, Datainspektionen, Lunds universitet, Stockholms universitet, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Uppsala och Regionala etikprövningsnämnden i Umeå ifrågasätter bedömningen att ett beslut enligt etikprövningslagen och eventuellt andra tillämpliga författningar ger en sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Läkemedelsindustriföreningen framför att detta är potentiellt en väl fungerande ordning för forskning som förutsätter beslut av en etikprövningsnämnd men påpekar att det inte fungerar för all forskning. Föreningen anser att för sådan forskning som består i klinisk läkemedelsprövning behövs en annan lösning vad gäller rättslig grund och anger att ett sätt att lösa frågan vore att tydliggöra från lagstiftarens sida att klinisk läkemedelsforskning kan åberopa uppgift av allmänt intresse som rättslig grund i den mån denna forskning kräver myndighetstillstånd enligt annan lagstiftning, som tillstånd enligt läkemedelslagen eller det framtida, särskilda regelverket som ska gälla för etisk granskning av kliniska läkemedelsprövningar.

Flera remissinstanser tar också upp bedömningen att kommuner och landsting kan tillämpa den rättsliga grunden uppgift av allmänt intresse i de fall forskningsuppgiften är fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen och bedömningen att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen på hälso- och sjukvårdsområdet och folkhälsoområdet uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och

förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Sveriges Kommuner och Landsting (SKL) delar bedömningen när det gäller bestämmelsen i hälso- och sjukvårdslagen och forskning inom det området, men anser att kommuner och landsting bör kunna samverka med varandra och med berörda universitet och högskolor på motsvarande sätt som inom hälso- och sjukvården på andra områden och att det därför finns skäl för att införa särskilt författningsstöd om att forskning är en uppgift för kommuner och landsting även på andra områden än inom hälso- och sjukvården. Även Stockholms läns landsting anför att i vissa fall är forskningsuppgiften inte fastställd i nationell rätt på sådant sätt att den utan vidare kan hänföras till den rättsliga grunden uppgift av allmänt intresse. Det handlar om fakultativa forskningsuppgifter, där landstingets engagemang i forskningen stöds på den allmänna kommunal kompetensen snarare än på lagstöd i positiv bemärkelse. Med beaktande av landstingets roll vid medicinsk och annan forskning finns det enligt landstinget ett kvarvarande behov av att mer utförligt utreda och förklara förslagens konsekvenser. En särskild fråga är enligt landstinget behovet och räckvidden av sådana särskilda beslut av landstingsfullmäktige som kan bli nödvändiga för att den rättsliga grunden uppgift av allmänt intresse ska kunna tillämpas. Kalmar läns landsting och

Västra Götalands läns landsting anser att det finns en risk för osäkerhet kring vilken typ av beslut som krävs och för att bestämmelserna i dataskyddsförordningen inte uppfylls med avseende på kravet om tydlighet, precision och förutsägbarhet för att den rättsliga grunden ska anses vara fastställd. Kalmar läns landsting anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som landsting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse och Västra

Götalands läns landsting anser att regeringen bör föreslå en ny forskningsdatalag där det klart framgår att forskning av allmänt intresse får utföras. Datainspektionen anser mot bakgrund av att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen aktualiserar en stor mängd känsliga samt integritetskänsliga personuppgifter är den ett exempel på bestämmelse där det kan ifrågasättas om den uppfyller kraven på precision.

Chalmers tekniska högskola anser inte att det tillfredsställande kommer till uttryck att högskolans forskningsuppgift är fastställd i enlighet med rättsordningen och att förslaget således inte med önskvärd tydlighet säkerställer högskolans förutsättningar att behandla personuppgifter inom forskningsverksamheten. Högskolan framhåller också att det är väsentligt att högskolans forskning ges förutsättningar att utföras på jämställda villkor med statliga högskolor.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Som framgått av avsnitt 7.1.2 är det regeringens bedömning att presumtionen är att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. För att den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs emellertid enligt artikel 6.3 att uppgiften är fastställd i enlighet med unionsrätten eller den nationella rätten. Vad detta innebär har behandlats i avsnitt 7.1.2.

I 2 kap. 18 § andra stycket RF fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet genom att det anges allmänna principer för den delen av högskolornas verksamhet. För forskningen ska gälla att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Regeringens bedömning är därför att för universitet och högskolor med staten som huvudman är forskningsuppgiften fastställd i svensk lag och de kan därför behandla personuppgifter som är nödvändiga för att utföra forskningen med stöd av artikel 6.1 e.

Utöver universitet och högskolor behandlar många statliga myndigheter personuppgifter för forskningsändamål. Dessa myndigheters möjligheter att behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Uppgiften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller genom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd på detta sätt för en myndighet har myndigheten möjlighet att grunda behandling av personuppgifter som är nödvändig för att utföra forskningen på att det är en uppgift av allmänt intresse enligt artikel 6.1 e.

Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att samma resonemang kan föras för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle. För sådana organ är det bedömningarna beträffande privaträttsliga forskningsutförare som är relevanta (se nedan).

Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter. När det gäller kommunernas verksamhet anges det i 14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag. Kommunallagen reglerar såväl kommuner som landsting på en övergripande nivå. Där anges att kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. Kommuner och landsting får inte ha hand om sådana angelägenheter som enbart staten, en annan kommun, ett annat landsting eller någon annan ska ha hand om.

Forskning och innovation är en viktig del av många landstings och kommuners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdslagen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Landsting och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § hälso- och sjukvårdslagen).

Enligt 2 kap. 2 § 1 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Formuleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. På hälso- och sjukvårdsområdet och folkhälsoområdet bedömer regeringen till skillnad från

Datainspektionen att ovan nämnda bestämmelser i hälso- och sjukvårdslagen uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Forskning hör i övrigt till området där landsting och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet. Att som bl.a. SKL föreslår i författning fastställa att forskning är en uppgift för kommuner och landsting inom andra områden skulle innebära att nya uppgifter läggs på kommunerna, vilket med hänsyn till den kommunala självstyrelsen kräver särskilda överväganden som det saknas underlag för i detta lagstiftningsärende. För att kommuner och landsting i övrigt ska kunna använda sig av den rättsliga grunden uppgift av allmänt intresse när de bedriver forskning är det enligt regeringens uppfattning av vikt att de beaktar att forskningsuppgiften anges tydligt i de beslut om verksamheten som fattas av fullmäktige så att forskningsuppgiften därigenom kan anses vara fastställd i nationell rätt. Det är varje personuppgiftsansvarigs ansvar att se till att det finns en laglig grund för den behandling av personuppgifter som den personuppgiftsansvarige avser att göra och därmed kommunernas ansvar att se till att de kommunala beslut som kan behövas för att forskningsuppgiften ska anses vara fastställd och den rättsliga grunden uppgift av allmänt intresse kunna användas får en tillräckligt tydlig och precis utformning.

Privaträttsliga forskningsutförare

Forskning bedrivs även av privata forskningsutförare. Forskningsuppgiften är emellertid inte fastställd i nationell rätt för dessa aktörer på motsvarande sätt som för de flesta offentligrättsliga forskningsutförare.

Forskningsdatautredningen har i sitt delbetänkande föreslagit att det ska införas kompletterande nationella bestämmelser för behandling av personuppgifter för forskningsändamål i en forskningsdatalag. Utredningen har bl.a. föreslagit att det i den lagen ska införas bestämmelser som bl.a. anger att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse och att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och

landsting, andra juridiska personer och enskilda näringsidkare. När det gäller den av utredningen föreslagna bestämmelsen om att offentliga och privata forskningsutförare får utföra forskning av allmänt intresse gör regeringen följande bedömning.

Som framgått innebär regleringen i dataskyddsförordningen en påtaglig skillnad i förhållande till dataskyddsdirektivet på så vis att enligt direktivet kan behandling av personuppgifter utföras på den rättliga grunden allmänt intresse, även om den uppgift som föranleder personuppgiftsbehandlingen, i nu aktuellt fall uppgiften att forska, inte är fastställd i nationell rätt eller unionsrätt. Det innebär att det hittills inte har spelat någon roll om forskningsutföraren har varit en myndighet eller en enskild fysisk eller juridisk person. Utgångpunkten har ändå varit att uppgiften att forska är en uppgift av allmänt intresse. Som framgår av avsnitt 7.1.2 räcker det dock enligt dataskyddsförordningen inte att uppgiften är av allmänt intresse. Den måste också vara fastställd i nationell rätt eller unionsrätt. Som framgår av avsnitt 7.1.2 är myndigheters uppgifter fastställda i nationell eller unionsrätten eftersom legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. För enskilda är inte utgångpunkten att de behöver rättsligt stöd för sina handlingar utan för dem gäller att allt som inte är förbjudet eller på annat sätt reglerat är tillåtet. För privata forskningsutförare innebär det att de har rätt att forska fritt så länge staten inte har uppställt krav på tillstånd för viss forskning eller forskningen innefattar brottslig verksamhet etc. Vad dataskyddsförordningens krav på att en uppgift ska vara fastställd i nationell rätt eller i unionsrätten för att den ska anses vara en uppgift av allmänt intresse i den mening som avses i artikel 6.1.e innebär framgår av 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Flera skäl talar för att det skulle finnas ett behov av en reglering där forskningsuppgiften fastställs för privaträttsliga forskningsutförare för att göra det möjligt för dem att använda sig av den rättsliga grunden uppgift av allmänt intresse. Även forskning som bedrivs av privata utförare kan anses vara en uppgift av allmänt intresse. Som exempel kan nämnas att högskolor kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken likvärdig vid de båda verksamheterna. Forskning bedrivs vidare ofta i samverkan mellan offentliga och privata forskningsutförare. Det är också av vikt att såväl offentliga som privata forskningsutförare har möjlighet att behandla personuppgifter för att genomföra storskaliga registerbaserade studier inom exempelvis hälsoområdet. Sådana studier är av stor betydelse för ökad kunskap om t.ex. sjukdomsorsaker och behandlingsmetoder. Det är inte alltid möjligt eller ens lämpligt att inhämta samtycke för behandling av personuppgifter för forskningsändamål i studier som omfattar flera hundra tusen personer. Detta innebär att såväl offentliga som privata forskningsutförare behöver ha möjligheter att behandla personuppgifter även utan samtycke.

Av det som anförts ovan kan slutsatsen dras att frågan om att reglera forskning som en uppgift av allmänt intresse har störst betydelse för de

privaträttsliga forskningsutförarna. För offentligrättsliga forskningsutförare, som universitet och högskolor med staten som huvudman och statliga myndigheter som har i uppgift att forska, är forskningsuppgiften i de flesta fall redan reglerad i författning eller kan regleras i författning.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvändig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse. För privaträttsliga forskningsutförare är däremot uppgiften att forska som huvudregel inte reglerad.

Forskningsdatautredningens förslag innebär att det ska införas bestämmelser av vilka det framgår dels under vilka förutsättningar personuppgifter får behandlas för forskningsändamål (om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse), dels att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Detta innebär att forskningsutföraren själv även fortsatt skulle ha att bedöma om den forskning som utförs är av allmänt intresse, och om personuppgiftsbehandlingen är nödvändig för att utföra forskningen. Av skäl 41 i dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Forskningsdatautredningen lyfter i detta sammanhang fram att det av skäl 33 framgår att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i dataskyddsförordningen tillämpas på dessa åtgärder. Mot denna bakgrund är det Forskningsdatautredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse i en forskningsdatalag som är tillämplig för alla slags forskningsutförare som bedriver sådan forskning. Forskningsdatautredningen framhåller också att det av skäl 45 i dataskyddsförordningen framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska

vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning.

Majoriteten av remissinstanserna är positiva till utredningens förslag.

Malmö högskola är dock kritisk till att forskningsutföraren själv ska få avgöra vad som är allmänt intresse och Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse. Datainspektionen avstyrker förslaget. Inspektionen anser att den första meningen i den föreslagna lagtexten enbart innebär ett återgivande av vad som redan framgår av dataskyddsförordningen. När det gäller den föreslagna andra meningen anför Datainspektionen att friheten att forska inte är en fråga som rör dataskydd samt att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att den föreslagna regleringen tillför något materiellt.

Regeringen delar Datainspektionens uppfattning att den första meningen i den föreslagna paragrafen endast innebär ett återgivande av vad som redan framgår av dataskyddsförordningen.

När det gäller den föreslagna andra meningen i lagtexten att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare anför Datainspektionen att denna bestämmelse inte innebär att en uppgift att forska ges. När det gäller denna bestämmelse anser regeringen att en jämförelse kan, såvitt gäller privata forskningsutförare, göras med regleringen av personuppgiftsbehandling i enskilda arkiv i dataskyddslagen (2 kap. 3 § första stycket). Den regleringen innebär bl.a. att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Regeringen har i förarbetena till den bestämmelsen tagit ställning för att en föreskrift som tillåter en personuppgiftsansvarig att behandla personuppgifter för arkivändamål av allmänt intresse ger det stöd i den svenska rättsordningen som krävs enligt artikel 6.3 (prop. 2017/18:105 s. 113). Regleringen avseende enskilda arkiv har dock en helt annan detaljeringsgrad än det förslag som Forskningsdatautredningen har lämnat beträffande privata forskningsutförare. I propositionen Ny dataskyddslag anges att en föreskrift som tillåter att t.ex. en förening behandlar personuppgifter för arkivändamål av allmänt intresse i sig innebär att föreningen erkänns ha befogenhet att bedriva arkivverksamhet av allmänt intresse. Det anges vidare att regeringen har för avsikt att delegera föreskriftsrätten i dataskyddslagen till Riksarkivet, eftersom det är den myndighet som har bäst förutsättningar att bedöma vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses vara av allmänt intresse i dataskyddsförordningens mening. Riksarkivet bör enligt regeringen dock ha en skyldighet att höra Datainspektionen innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta synpunkter från den enskilda arkivsektorn i allmänhet och de berörda personuppgiftsansvariga i synnerhet. Med anledning av Riksarkivets önskemål om förtydligande av vad föreskrifterna i praktiken ska reglera har regeringen angett att föreskrifterna skulle kunna innehålla generella bestämmelser som bör gälla för all arkivverksamhet av allmänt intresse som inte omfattas av arkivlagstiftningen, i linje med vad som anges i skäl 158, samt att de berörda personuppgiftsansvariga skulle kunna anges i en

bilaga till föreskrifterna, med angivande av den verksamhet som bedöms vara av allmänt intresse. I förekommande fall kan begränsningar avseende de generella bestämmelserna eller särskilda villkor för tillämpningen anges. I propositionen anges vidare att det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling av personuppgifter för arkivändamål av allmänt intresse. Det har därför införts bestämmelser i dataskyddslagen som innebär dels att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse, dels att den myndighet som regeringen bestämmer även i enskilda fall får besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett sådant beslut får förenas med villkor (2 kap. 3 § dataskyddslagen). Regeringen konstaterar vidare att en översyn av arkivväsendet inletts. En särskild utredare har fått i uppdrag att bl.a. analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras (dir. 2017:106). Regeringen framhåller därför i propositionen Ny dataskyddslag att den ordning som föreslås i det lagstiftningsärendet avseende enskildas behandling av personuppgifter för arkivändamål av allmänt intresse kan komma att bli en övergångslösning.

För att uppgiften att forska ska anses fastställd för privata forskningsutförare på motsvarande sätt som för enskilda arkiv krävs alltså att det på något av de sätt som anges i 2 kap. 2 § dataskyddslagen, dvs. i lag eller annan författning, i kollektivavtal eller i beslut som har meddelats med stöd av lag eller annan författning, fastställs vilka privata forskningsutförare som har i uppgift att forska. Först då kan de utföra sådan personuppgiftsbehandling som är nödvändig för den i den nationella rätten fastställda forskningsuppgiften med stöd av artikel 6.1 e i dataskyddsförordningen.

Vid en jämförelse mellan den detaljerade reglering som föreslås för enskilda arkiv och den reglering som Forskningsdatautredningen föreslår för bl.a. privata forskningsutförare anser regeringen att Forskningsdatautredningens förslag inte uppfyller de krav som anges i EU-förordningen för att det ska vara fråga om en i nationell rätt fastställd uppgift. Vid överväganden om privata forskningsutförares forskningsuppgift ska fastställas i t.ex. föreskrifter eller beslut anser regeringen vidare att hänsyn måste tas till att även privat finansierad forskning måste omfattas av forskningens frihet. Regeringen anser vidare att en uppdelning i ”forskning” och ”forskning av allmänt intresse” är olycklig utifrån principerna om forskningens frihet och att en sådan uppdelning skapar en mängd frågor. Som nämnts i avsnitt 7.1.2 är enligt regeringen presumtionen att forskning är av allmänt intresse. Detta är centralt utifrån principerna om forskningens frihet. En presumtion kan dock brytas. De fall då staten har ansett sig behöva reglera forskning är då frågan uppstår om forskningen är etiskt försvarbar eller inte. Det är en fråga som har ansetts vara så viktigt att den både är föremål

för internationella överenskommelser och lagstiftning. Enligt gällande rätt får vissa typer av forskning som avser människor inte utföras om tillstånd inte har meddelats enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Detta gäller bl.a. om forskningen innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. (se vidare avsnitt 10 och 11) och oavsett om forskningsutföraren är en statlig myndighet eller en fysisk eller juridisk person (3 och 6 §§ etikprövningslagen). Av sista stycket i 6 § etikprövningslagen framgår även att ett godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det kan alltså vara så att det för ett forskningsprojekt inte alltid är tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar, exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar.

I förarbetena till etikprövningslagen har regeringen som utgångspunkt för den prövning som ska ske vid en etikprövning av forskning bl.a. angivit att som ett allmänt krav på forskning där människor ska ingå, bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort, se propositionen Etikprövning av forskning (prop. 2002/03:50 s. 98.). I etikprövningslagen anges bl.a. att mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning samt att människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 §). I 9 § anges att forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Ett beslut om godkännande av ett forskningsprojekt enligt etikprövningslagen innebär således att forskningen bedömts kunna vara till nytta för samhället. Ett forskningsprojekt som godkänts enligt etikprövningslagen får därmed anses vara en uppgift av allmänt intresse. Till skillnad från Datainspektionen, Lunds universitet, Stockholms universitet och Regionala etikprövningsnämnderna i Lund, Uppsala och Umeå anser därför regeringen att ett beslut enligt etikprövningslagen och eventuellt andra tillämpliga författningar ger en sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Enligt den artikeln ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Som nämnts tidigare får enligt 2 kap. 2 § 1 dataskyddslagen personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta innebär att en privat forskningsutförare som avser att bedriva forskning som kräver tillstånd av en eller flera myndigheter och som har fått de tillstånd som krävs för ett forskningsprojekt kan åberopa den rättsliga grunden uppgift av allmänt intresse för den personuppgiftsbehandling som är nödvändig för projektet. Detta gäller på motsvarande sätt även för offentliga forskningsutförare, men som redovisats ovan har dessa i regel möjlighet att åberopa den rättsliga grunden uppgift av allmänt intresse mot bakgrund av en i nationell

rätt fastställd uppgift att forska. Som framgått av avsnitt 7.1.2 kan en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Enligt regeringen innebär detta att forskning som inte innefattar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. kan baseras på en mer allmänt hållen rättslig grund, t.ex. den rättsliga grund som anges i högskolelagen.

Flera remissinstanser påtalar med anledning av bedömningarna i det remitterade utkastet till lagrådsremiss att de ställt sig positiva till utredningens förslag och framhåller vikten av att även privata forskningsutförare kan använda den rättsliga grunden uppgift av allmänt intresse liksom att samarbete mellan olika forskningsaktörer kan hämmas om de inte kan använda samma rättsliga grund. Regeringen anser också att det vore en fördel om även privata forskningsutförare skulle kunna åberopa den rättsliga grunden utförande av en allmän uppgift i de fall det är fråga om behandling av andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Det skulle dock beträffande andra privata forskningsutförare än Chalmers och Högskolan i Jönköping (se nedan) kräva en omfattande reglering av privata forskningsutförare som det för närvarande saknas beredningsunderlag för. Privata forskningsutförare har vidare, som framgått av avsnitt 7.2.1, stora möjligheter att bedriva forskning med samtycke. De har även stora möjligheter att bedriva forskning efter en intresseavvägning, vilket utvecklas i nästa avsnitt. Regeringen delar därför Forskningsrådets för hälsa, arbetsliv och välfärd (Forte) uppfattning att förslagen i propositionen väl tillgodoser forskningens intressen av att kunna använda personuppgifter, och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Regeringen bedömer att detsamma gäller även annan forskning än sådan som Forte ger bidrag till.

När det gäller Chalmers Tekniska Högskola och även Högskolan i Jönköping kan konstateras att dessa tidigare var statliga högskolor. De drivs dock numera i stiftelseform. I propositionen om högskolor i stiftelseform — mångfald för kvalitet (prop. 1992/93:231) föreslog regeringen att dessa två statliga högskolor skulle överföras i stiftelseform. Regeringen föreslog att riksdagen skulle bemyndiga regeringen att genomföra en sådan överföring och tillskjuta nödvändigt kapital. Det föreslogs att ombildningen skulle gå till så att en stiftelse skulle bildas för var och en av högskolorna. Stiftelsen skulle bli huvudman för den förändrade högskolan och ytterst ansvarig för dess verksamhet. Med respektive stiftelse som ensam ägare skulle dessutom inrättas dels ett högskolebolag i vilket verksamheten vid högskolan skulle bedrivas, dels ett fastighetsbolag för förvaltning av högskolans fastigheter. I stiftelseförordnandet skulle ändamålet med stiftelsen anges och ett led i det var därvid att stiftelsen såsom ensam ägare till det särskilda högskolebolaget skulle verka för att det vid högskolan i fråga bedrivs utbildning och forskning på en hög internationell nivå. Riksdagen godkände förslaget och godkände därvid också principer som angavs i propositionen för ett ramavtal som skulle träffas mellan staten och

respektive stiftelse och högskolebolag för att reglera de långsiktiga relationerna mellan parterna (prop. 1992/93:231, bet. 1992/93:UbU18, rskr. 1992/93:405). I september 1993 beslutade regeringen därefter att överföra Chalmers Tekniska Högskola och Högskolan i Jönköping till stiftelseform. När stiftelser och högskolebolag bildats träffades sådana ramavtal om ombildning avseende Chalmers Tekniska högskola och Högskolan i Jönköping den 1 juli 1994. Som bilaga till dessa avtal finns ett långsiktigt ramavtal mellan parterna om utbildning och forskning med en underbilaga där statens utbildnings- och forskningsuppdrag till respektive högskola närmare preciseras. I underavtalet anges den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. Underavtalen om utbildnings- och forskningsuppdrag sluts för de planeringsperioder som gäller för de statliga universiteten och högskolorna. Det förnyas årligen efter godkännande av regeringen. De två stiftelsehögskolorna ska också genom en reglering i offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myndigheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Ny dataskyddslag framhåller regeringen att gemensamt för de privata organ som enligt OSL omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att organets verksamhet helt eller delvis finansieras med allmänna medel och att detta enligt regeringens mening innebär att t.ex. Stiftelsen Svenska Filminstitutet och andra organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning måste anses utföra uppgifter av allmänt intresse i den mening som avses i dataskyddsförordningen (prop. 2017/18:105 s. 59). Detta gäller enligt regeringens uppfattning även för Chalmers Tekniska Högskola och Högskolan i Jönköping. De beslut om godkännande av avtalen varigenom statens utbildnings- och forskningsuppdrag till Chalmers Tekniska Högskola och Högskolan i Jönköping preciseras har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen. Enligt regeringens uppfattning utgör därmed Chalmers Tekniska Högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt.

7.2.3. Intresseavvägning

Regeringens bedömning: Offentliga forskningsutförare kan inte tilllämpa den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen som grund för sin personuppgiftsbehandling.

Privaträttsliga forskningsutförare kan tillämpa intresseavvägning som grund för nödvändig personuppgiftsbehandling i forskningen. Det ska i varje enskilt fall göras en avvägning mellan den personuppgiftsansvariges eller en tredje mans berättigade intresse av att utföra personuppgiftsbehandlingen och den registrerades intressen och grundläggande rättigheter och friheter.

Utredningens bedömning överensstämmer i sak med regeringens bedömning. Utredningen redogjorde i text för sina bedömningar när det gäller offentligrättsliga respektive privaträttsliga forskningsutförares möjlighet att åberopa den rättsliga grunden intresseavvägning men formulerade inte detta i en särskild bedömningsruta.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Som nämnts gäller enligt artikel 6.1 andra stycket i dataskyddsförordningen inte den rättsliga grunden intresseavvägning för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta motiveras i skäl 47 med att då det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter bör denna rättsliga grund inte gälla för den behandling som de utför som ett led i fullgörandet av dessa uppgifter. När det i bestämmelsen talas om att den inte ska gälla när offentliga myndigheter fullgör sina uppgifter gäller det enligt regeringens uppfattning vid fullgörandet av alla uppgifter en myndighet har, såväl sådana som innefattar myndighetsutövning som övriga uppgifter av t.ex. mer förvaltningskaraktär. Den rättsliga grunden intresseavvägning är alltså inte tillämplig när offentligrättsliga forskningsutförare fullgör en uppgift att bedriva forskning.

Privaträttsliga forskningsutförare

Till skillnad från vad som gäller för de offentligrättsliga forskningsutförarna är det möjligt för privaträttsliga forskningsutförare att stödja sin personuppgiftsbehandling på den rättsliga grunden intresseavvägning. Som nämnts tidigare har Artikel 29-gruppen, när det gäller dataskyddsdirektivet, uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts i föregående avsnitt bedömer också regeringen att presumtionen är att forskning är en uppgift av allmänt intresse och att presumtionen därmed är att det är fråga om ett berättigat intresse.

I föregående avsnitt gör regeringen bedömningen att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt, om det krävs tillstånd för forskningsprojektet av en eller flera myndigheter och forskningsutföraren har fått de tillstånd som krävs, och att den rättsliga grunden uppgift av allmänt intresse är tillämplig i ett sådant fall. Det är således bara när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. som en privat forskningsutförare behöver åberopa andra rättsliga grunder, t.ex. samtycke eller intresseavvägning.

Då presumtionen är att forskning är ett berättigat intresse bedömer regeringen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning, särskilt då en sådan avvägning normalt bara blir aktuell för mindre känsliga uppgifter. En presumtion kan dock brytas och omständigheterna i ett enskilt fall kan vara sådana att en intresseavvägning enligt 6.1 f inte utfaller till den planerade forskningens förmån.

7.3. Det behövs inte någon upplysningsbestämmelse i nationell rätt om artikel 6.1

Regeringens bedömning: Det behövs inte någon bestämmelse i nationell rätt som upplyser om att personuppgifter bara får behandlas om minst ett av de villkor som anges i artikel 6.1 är uppfyllt.

Utredningens bedömning överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att en ny lag, forskningsdatalagen, ska innehålla en bestämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt.

Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget. Uppsala universitet anför att hänvisningen till artikel 6.1, där villkoren för att personuppgiftsbehandling ska vara laglig anges, ger intrycket av att det finns annan personuppgiftsbehandling för forskningsändamål än de som omfattas av artikel 6.1. Avsikten förefaller dock enligt universitetet inte vara att avgränsa personuppgiftbehandlingen för forskningsändamål enligt 6.1 i förhållande till annan behandling, på en annan rättslig grund, utan avgränsningen synes istället ligga i begreppet ”för forskningsändamål”, sådan behandling som omfattas av undantagen i artikel 89 dataskyddsförordningen. Hänvisningen till artikel 6.1 verkar därför enligt universitetet vara överflödig och bör utgå.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om bedömningen.

Skälen för regeringens bedömning: Utredningen har föreslagit att en ny lag, forskningsdatalagen, bl.a. ska innehålla en bestämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får

behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt. Utredningen har ansett att en sådan inledande upplysningsbestämmelse behövs för förståelsen av den av utredningen föreslagna bestämmelsen om att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare (6 § förslaget till forskningsdatalag).

Som närmare har utvecklats i avsnitt 7.2.2 anser regeringen att den av utredningen föreslagna 6 § inte bör genomföras. Något behov av en upplysningsbestämmelse för förståelse av en sådan bestämmelse om fastställande av den rättsliga grunden finns då inte heller. En sådan bestämmelse bör därför inte införas.

8. Principer som måste följas vid behandling av personuppgifter för forskningsändamål

8.1. Grundläggande principer för personuppgiftsbehandling

Förutom att minst en rättslig grund måste vara tillämplig för att en behandling av personuppgifter ska vara laglig, finns det ett antal principer som ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen.

Dessa principer innebär för det första att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet, artikel 5.1 d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för ar-

kivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1 e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) eller personuppgifter som rör lagöverträdelser anges ytterligare villkor i artiklarna 9 och 10. Detta utvecklas närmare avsnitt 10 och 11.

8.2. När och hur kan redan insamlade uppgifter behandlas ytterligare för forskningsändamål?

Det är vanligt att personuppgifter som behandlas för forskningsändamål ursprungligen har samlats in för ett annat ändamål än forskning.

Huvudregeln är som nämnts att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b i dataskyddsförordningen, forskningsundantaget). I artikel 89.1 anges att behandling för bl.a. vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering (se vidare avsnitt 9), under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Bestämmelserna i artikel 5.1 b och artikel 89.1 hade en motsvarighet i artikel 6.1 b och c i dataskyddsdirektivet och 9 § första stycket c–f och andra stycket PUL, även om bestämmelserna i artikel 89.1 är lite mer detaljerade. I dataskyddsförordningen används begreppet ”ytterligare behandling”, i stället för begreppet ”vidarebehandling” som ofta använts i sammanhanget. Ytterligare behandling av personuppgifter för forskningsändamål är alltså särskilt gynnad såväl i dataskyddsförordningen som enligt dataskyddsdirektivet och PUL.

Tidigare gällde emellertid att även om det nya ändamålet var förenligt med det ursprungliga måste den nya behandlingen alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § PUL. Av dataskyddsförordningen framgår däremot att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter av samma personuppgiftsansvarig. I skäl 50 till förordningen förtydligas detta på så sätt att det anges att

behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in samt att det i dessa fall inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra bl.a. en uppgift av allmänt intresse kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål bör betraktas som förenlig och laglig behandling av uppgifter.

Dataskyddsförordningens bestämmelser innebär alltså att en personuppgiftsansvarig får utföra ytterligare behandling av personuppgifter för forskningsändamål utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsutförare får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterligare forskningsändamål utan krav på ny rättslig grund. När uppgifter samlats in för forskningsändamål med stöd av den rättsliga grunden samtycke har dock även omfattningen av det samtycke den registrerade har lämnat betydelse för att avgöra vilken ytterligare behandling som kan vara möjlig.

Även i samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen, dvs. utlämnandet, att anse som förenlig med ändamålet för den ursprungliga behandlingen. Att ta emot personuppgifter utgör däremot inte en ytterligare behandling utan en insamling av personuppgifter. Den personuppgiftsansvarige som tar emot uppgifterna måste således, för att insamlingen av personuppgifter ska vara laglig, ha en rättslig grund för sin behandling för forskningsändamål. Detta innebär att forskningsutförare som samlar in personuppgifter för forskningsändamål alltid, oavsett för vilka ändamål uppgifterna tidigare har behandlats av andra personuppgiftsansvariga, måste kunna åberopa en rättslig grund enligt artikel 6.1 för sin behandling.

Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Förordningen ger inte något utrymme för att i nationell rätt reglera ytterligare behandling av personuppgifter som samlats in med samtycke. Det är därför inte möjligt att särskilt reglera denna fråga.

Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Om det är aktuellt att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda (se avsnitt 10 och 11). Vid all behandling av personuppgifter för forskningsändamål aktualiseras också artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta behandlas i avsnitt 9.

9. Det behövs kompletterande nationella bestämmelser om skyddsåtgärder som ska gälla vid all behandling av personuppgifter för forskningsändamål

9.1. Vilka krav på skyddsåtgärder ställs i dataskyddsförordningen?

Bestämmelser som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forskningsändamål har tidigare införts i svensk rätt med stöd av dataskyddsdirektivet. Vid en jämförelse ställer dataskyddsförordningen mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Utöver detta ställer dataskyddsförordningen specifika krav på skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål. Dessa krav har inte haft någon direkt motsvarighet i dataskyddsdirektivet eller PUL.

En av dataskyddsförordningens grundläggande principer för personuppgiftsbehandling, principen om integritet och konfidentialitet, anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f). Till den allmänna regleringen hör även skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Artikel 25 (inbyggt dataskydd och dataskydd som standard) ålägger den personuppgiftsansvarige bl.a. att integrera nödvändiga skyddsåtgärder i behandlingen. Av artikel 32, som innehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett antal åtgärder och utgångspunkter för bedömningen av lämplig säkerhetsnivå. Godkända uppförandekoder eller godkända certifieringsmekanismer kan enligt artiklarna 24 och 32 användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter. På motsvarande sätt kan enligt artikel 25 godkända certifieringsmekanismer användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

På en mer specifik nivå ställer dataskyddsförordningen krav på att all personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättigheter och friheter, särskilt principen om uppgiftsminimering (artikel 89.1). Dataskyddsförordningen anger i sammanhanget även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål (skäl 156).

Begreppen skyddsåtgärder respektive tekniska och organisatoriska åtgärder är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säkerställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och

organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” definieras närmare i dataskyddsförordningen.

Vad ska skyddas?

Ofta anges vad själva skyddsintresset är, dvs vad åtgärderna är avsedda att skydda, i anslutning till kravet på skyddsåtgärd. Exempelvis anger artikel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42 nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskyddsförordningen.

Av artikel 89.1, som är central vid all personuppgiftsbehandling för forskningsändamål, framgår att lämpliga skyddsåtgärder ska skydda den registrerades rättigheter och friheter, särskilt avseende principen om uppgiftsminimering (artikel 5.1 c).

Vilka exempel på skyddsåtgärder anges i dataskyddsförordningen?

Dataskyddsförordningen anger sällan att vissa specifika skyddsåtgärder ska vidtas. I några sammanhang används termerna ”skyddsåtgärder”, ”tekniska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. För behandling av känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål anges tystnadsplikt uttryckligen som en skyddsåtgärd (artikel 9.2 h och 9.3).

I samband med fastställande av om behandling för andra ändamål är förenlig med ursprungsändamålet anges att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas (artikel 6.4 e).

Förordningen lyfter i flera fall särskilt fram pseudonymisering som en skyddsåtgärd. I artikel 32 anges att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudonymisering och kryptering som sådana slags åtgärder i de fall det är lämpligt. Av artikel 89.1 framgår att lämpliga skyddsåtgärder får inbegripa pseudonymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Även skäl 28, 29 och 156 lyfter fram pseudonymisering som exempel på skyddsåtgärd.

I skäl 78 anges ett antal övriga skyddsåtgärder som främst är organisatoriska till sin natur. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar.

Utöver sådana skyddsåtgärder som nämns direkt i förordningen finns i svensk rätt andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser.

Vad innebär pseudonymisering?

Som nämnts ovan återkommer pseudonymisering på flera ställen i dataskyddsförordningen som exempel på en skyddsåtgärd. I artikel 4.5 definieras pseudonymisering enligt följande:

Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dataskyddsförordningens definition anger dock inte hur pseudonymisering ska utformas. Detta kan göras på i huvudsak två sätt, antingen baserat på identifierande uppgifter eller utifrån helt fristående värden i form av ett kodnyckelförfarande.

I många fall, särskilt vid forskningsstudier som pågår under många år där det finns ett behov av att komplettera uppgifterna vid senare tillfällen, är det önskvärt att pseudonymen kan härledas från de ursprungliga uppgifterna. Ett enkelt exempel kan vara att skapa en pseudonym från ett personnummer genom att med en s.k. säker hashfunktion beräkna en hashsumma på personnumret. En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.

Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.

Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifierande uppgifterna. Vid exempelvis forskningsstudier som pågår under lång tid kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.

Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det.

9.2. Skyddsåtgärder bör föreskrivas i svensk rätt

Regeringens bedömning: Bestämmelser om skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål kan och bör ges i författningsform.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Dataskyddsförordningens krav på lämpliga skyddsåtgärder för personuppgiftsbehandling för forskningsändamål i artikel 89.1 är direkt tillämpliga. Utifrån dessa krav är det dock inte självklart att lämpliga skyddsåtgärder ska föreskrivas i nationell rätt.

Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.

Alternativ till författningsreglering av skyddsåtgärder kan vara att bemyndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder, enligt artikel 40, kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas. En författningsreglering kan dock ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas i sådana situationer där det bedöms särskilt viktigt.

Det är i sammanhanget värt att understryka att vid all personuppgiftsbehandling för forskningsändamål kräver dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder. Det är den personuppgiftsansvariges ansvar att se till att sådana lämpliga skyddsåtgärder föreligger. Det är därför inte tillräckligt att endast tillämpa bestämmelser i nationell rätt utan att samtidigt ta ställning till om kraven i förordningen är uppfyllda vid varje enskild behandling.

Med beaktande av dataskyddsförordningens möjligheter att i nationell rätt reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål är det regeringens bedömning att viss sådan reglering ska införas i författningsform. Frågan om vilken reglering som ska införas avseende all behandling av personuppgifter för forskningsändamål behandlas i avsnitt 9.3–9.7. Frågor om skyddsåtgärder som särskilt tar sikte på behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

9.3. Uppgifter ska inte få användas för att vidta åtgärder i fråga om den registrerade

Regeringens förslag: Personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den re-

gistrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska inte gälla.

Utredningens förslag överensstämmer delvis med regeringens förslag.

Utredningen föreslår att personuppgifter som behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta ska dock inte gälla för en myndighets användning av personuppgifter i allmänna handlingar.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län,

Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län anser att förslaget är lämpligt.

Brottsförebyggande rådet (Brå) anser att formuleringen är svårläst. Svårigheterna gäller främst att förstå hur sista meningen ska tolkas i förhållande till föregående mening och alltså vad ordet ”detta” syftar på. Brå anser att det är lämpligare att använda samma konstruktion som den man använder i förslaget till dataskyddslag. Sveriges lantbruksuniversitet (SLU), som påpekar att de insamlade uppgifterna vid ett lärosäte som regel är allmänna handlingar, undrar vad ordet ”detta” i den andra mening syftar på. Menas att personuppgifter från allmänna handlingar inte alls får användas för att vidta åtgärder i fråga om den registrerade, ens om det finns vitala intressen, eller är avsikten med formuleringen någon annan? Vetenskapsrådet anser att sista meningen i den föreslagna bestämmelsen, om myndigheters användning av uppgifter i allmänna handlingar, inte behövs eftersom den föreslagna lagen endast ska gälla när personuppgifter behandlas för forskningsändamål. Utredningens förslag ska motsvara bestämmelsen i PUL. Bakgrunden till regleringen i PUL om undantaget för myndigheters användning av uppgifter i allmänna handlingar torde vara behovet av information för rättskipningen och förvaltningen dvs. möjligheten att använda uppgifterna för andra ändamål än forskning. Det är enligt Vetenskapsrådet uppfattning också olämpligt att ha kvar sista meningen i den föreslagna bestämmelsen. Detta eftersom en konsekvens som uppmärksammats av samma skrivning i PUL är att den ger forskare vid myndigheter formell möjlighet att utan hinder av användningsbegränsningen i PUL använda personuppgifter i forskningsmaterial som utgör allmänna handlingar för att vidta åtgärder i fråga om de registrerade. Datainspektionen kan inte tillstyrka förslaget i den föreslagna forskningsdatalagen, eftersom utredningen inte gjort en egen bedömning utan endast utgått från en bedömning som gjorts långt tidigare.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Samtliga remissinstanser som yttrat sig tillstyrker eller har inga synpunkter på förslaget. Sveriges Kommuner och Landsting (SKL) framför särskilt att SKL delar uppfattningen att det finns vissa undantagssituationer på exempelvis hälso- och sjukvårdens område då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, t.ex. då forskningspersonens liv eller egna vitala intressen står på spel.

Skälen för regeringens förslag

Användningsbegränsning är en befintlig skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

I PUL fanns en skyddsåtgärd i form av en bestämmelse som angav att personuppgifter som behandlades för historiska, statistiska eller vetenskapliga ändamål bara fick användas för att vidta åtgärder i fråga om den registrerade om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen (9 § fjärde stycket PUL). Denna begränsning gällde dock inte för en myndighets användning av personuppgifter i allmänna handlingar (8 § andra stycket PUL).

Personuppgifter som har samlats in för forskningsändamål får inte användas för andra ändamål som är oförenliga med det ursprungliga forskningsändamålet. Denna ändamålsbegränsning framgår av såväl artikel 5.1 b i dataskyddsförordningen som tidigare av 9 § d PUL. Att behandla personuppgifter som insamlats för forskningsändamål för att vidta åtgärder beträffande de registrerade är som huvudregel att behandla personuppgifterna för ett nytt ändamål.

Av förarbetena till PUL framgår att ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder mot de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. En sådan personuppgiftsbehandling har inte bedömts vara oförenlig med det ursprungliga forskningsändamålet. I vissa fall kan personuppgifter som behandlas för forskningsändamål även användas för att vidta åtgärder beträffande de registrerade för att forskningsprojektet är upplagt så att personuppgifterna ska användas för att vidta åtgärder rörande enskilda. Ett sådant projekt har dock enbart bedömts vara tillåtet om de registrerade har samtyckt till det (prop. 1997/98:44 s. 62 och 119). Mot denna bakgrund infördes bestämmelsen i PUL som angav att personuppgifter som behandlas för bl.a. forskningsändamål fick användas för att vidta åtgärder beträffande den registrerade bara om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av förarbetena till PUL framgår vidare att det beträffande personuppgifter i myndigheters arkiv finns bestämmelser om lämpliga skyddsåtgärder i form av t.ex. sekretess och skydd för arkiv, varför användningsbegränsningen bedömdes inte behöva gälla för sådana personuppgifter som finns i en myndighets arkiv. Mot bakgrund av detta infördes undantaget i PUL som angav att begränsningen dock inte gällde för en myndighets användning av personuppgifter i allmänna handlingar. Detta undantag avsåg således främst personuppgifter som behandlades för arkivändamål, vilket inte helt tydligt framgick av bestämmelsens utformning (prop. 1997/98:44 s. 62 och 118).

Motsvarande skyddsåtgärd vid behandling av personuppgifter för arkivändamål och statistiska ändamål föreslås i dataskyddslagen

I dataskyddslagen finns bestämmelser om användningsbegräsningar som avser personuppgifter i arkiv och statistik i 4 kap.

Enligt 1 § första stycket får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen hindrar enligt andra stycket inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. Vid tillämpningen av andra stycket ska vidare andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

Enligt 2 § får personuppgifter som behandlas enbart för statistiska ändamål användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av propositionen Ny dataskyddslag framgår att de nya bestämmelserna utformats för att det ska framgå tydligare än av PUL att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse respektive statistiska ändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas och tillägget utgör därmed inte någon utvidgning av den personuppgiftsansvariges befogenheter. I propositionen har regeringen vidare tagit ställning för att det inte finns skäl att i de nya bestämmelserna ange att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen (prop. 2017/18:105 s. 119). Någon saklig skillnad mellan de nya bestämmelserna och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av dataskyddslagen.

Ett undantag för myndigheters användning av uppgifter i allmänna handlingar gäller vid behandling av personuppgifter för arkivändamål…

Som framgår ovan gäller enligt 4 kap. 1 § andra stycket dataskyddslagen att bestämmelsen i första stycket om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade med användning av personuppgifter som behandlas enbart för arkivändamål av allmänt intresse, inte ska hindra myndigheter och andra vars verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen från att använda personuppgifter som finns i allmänna handlingar. Detta beror bl.a. på att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m. Bestämmelsen innebär ingen förändring i förhållande till vad som gällt enligt PUL.

… men inte vid behandling av personuppgifter för statistiska ändamål

När det gäller undantag från användningsbegränsningen av personuppgifter som enbart behandlas för statistiska ändamål har regeringen dock gjort en annan bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 125). En allmän utgångspunkt för behandling av personuppgifter för

statistiska ändamål är att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person (skäl 162 i dataskyddsförordningen). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt borde däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder enligt regeringen ingen annan bedömning. Myndigheter undantas därför inte från användningsbegränsningen i 4 kap. 2 § dataskyddslagen.

Användningsbegränsning bör även i fortsättningen vara en skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

Regeringen anser att en användningsbegränsning som innebär att personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål bara får användas för att vidta åtgärder i fråga om den registrerade om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, alltjämt utgör en väl avvägd skyddsåtgärd. I likhet med vad som föreslogs i propositionen Ny dataskyddslag anser regeringen att det inte finns skäl att i den nya bestämmelsen ange att uppgifter får användas för att vidta åtgärder i fråga om den registrerade med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen.

Någon saklig skillnad mellan förslaget och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.

Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska inte gälla.

Begränsningen i 9 § fjärde stycket PUL gällde, som framgått, inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv, bl.a. mot bakgrund av att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m.

Av dataskyddsförordningen framgår att om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse bör de allmänna reglerna i förordningen tillämpas på dessa åtgärder (skäl 159). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. Dessa situationer rör i huvudsak hälso- och sjukvårdsändamål i den registrerades intresse, enligt de exempel som åter-

givits tidigare, och då ska alltså dataskyddsförordningen och kompletterande svensk rätt tillämpas på den personuppgiftsbehandling som sker i samband med att åtgärder vidtas mot den registrerade.

Det är regeringens uppfattning att i övrigt bör inte myndigheter kunna använda sådana personuppgifter som enbart behandlas för forskningsändamål för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar föranleder ingen annan bedömning. Forskningsmaterial utgör som huvudregel allmänna handlingar vid myndigheter och det tidigare undantaget i PUL var inte heller avsett att möjliggöra för forskningsutförare som är myndigheter att fritt kunna använda personuppgifter som enbart behandlas för forskningsändamål för att vidta åtgärder mot den registrerade. Regeringen instämmer därmed i Vetenskapsrådets invändningar och anser att myndigheter inte bör undantas från den föreslagna användningsbegränsningen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska därför inte gälla.

9.4. Det följer direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder

Regeringens bedömning: Personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål. Detta framgår direkt av EU:s dataskyddsförordning och bör därför inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att en bestämmelse ska införas i den föreslagna forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset.

Remissinstanserna: Ett övervägande antal av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län,

Dalarnas län och Gävleborgs län anser att de av utredningen föreslagna skyddsåtgärderna är lämpliga. Regionala etikprövningsnämnden i Uppsala välkomnar den föreslagna bestämmelsen om att personuppgifter så långt det är möjligt bör pseudonymiseras. Kungl. Vetenskapsakademien bedömer föreslaget som rimligt. Sveriges Kommuner och Landsting anser att huvudregeln bör vara att personuppgifter anonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål.

Stockholms universitet tillstyrker förslaget men noterar samtidigt att uppfyllandet av detta krav kommer att kräva en infrastruktur som flertalet lärosäten inte äger i dagsläget. Universitetet anser att också kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag.

Kungl. Tekniska högskolan (KTH) anser att det inte tydligt framgår om detta även gäller personuppgiftsbiträdens skyldigheter.

Institutet för språk och folkminnen framför att förslaget om pseudonymisering som skyddsåtgärd förefaller vara en relativt effektiv metod för att skydda personuppgifter vid forskning, eftersom tröskeln för att koppla samman en handling, innehållande forskningsuppgifter, med en specifik person höjs. Emellertid ger pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inget fullgott skydd för individen. De handlingar som uppstår i samband med forskning vid myndigheter är underkastade tryckfrihetsförordningen och offentlighetsprincipen, vilken har företräde framför dataskyddslagsstiftningen. Även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir således allmänna handlingar.

Chalmers tekniska högskola och Göteborgs universitet föreslår att begreppen och deras inbördes förhållanden tydliggörs ytterligare. En viss begreppsförvirring råder kring användandet av begreppen anonymisering, avidentifiering samt pseudonymisering. Det är viktigt för tillämpare att tydligt kunna särskilja de fall som faller utanför regelverket från de som omfattas. Det behövs även mer vägledning i att förstå begreppens innebörd rätt så att lämpliga skyddsåtgärder vidtas i samband med hantering av personuppgifter. Region Skåne och Västra Götalands läns landsting ställer sig frågade till varför pseudonymisering och kodning skulle utgöra två olika typer av åtgärder och befarar att detta kommer leda till att förvirring på området kvarstår.

Statens medicinsk-etiska råd (Smer) ifrågasätter undantagsformuleringen i bestämmelsen som föreslås införas i forskningsdatalagen, i vilken det anges att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål - ”förutsatt att ändamålet kan uppnås på sådant vis.” Det behövs ett förtydligande av denna bestämmelse. Formuleringen är för bred och för otydlig.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att formuleringen”…ska vara pseudonymiserade…” är en olämplig förstärkning av dataskyddsförordningens motsvarande formulering ”… får inbegripa pseudonymisering…”. Karolinska institutet anser att förslaget ska revideras, genom att ”ska” ändras till ”får”, eller att bestämmelsen helt kan utgå och påpekar att regleringen i artikel 89 i dataskyddsförordningen, där pseudonymisering nämns som en möjlig skyddsåtgärd bland andra, utgör en tillräcklig skyddsåtgärd. Uppsala universitet anser att det finns anledning att ifrågasätta om inte kravet på pseudonymisering har fått en alltför långtgående utformning. Cancerfonden vill uppmärksamma att pseudonymisering är en skyddsåtgärd bland flera, och föreslår att det förtydligas genom att ordet bör används istället för ska, dvs. ”…personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål…”. Kungl. Vitterhetsakademien anser att frågan bör ställas om inte en mindre långtgående anonymisering av personuppgifterna vore en bättre avvägning mellan forskningens behov och den enskildes integritet.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Kalmar läns landsting anser att det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt, och

ställer sig positiv till utredningens förslag om att införa en bestämmelse om att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset.

Skälen för regeringens bedömning

Det framgår av dataskyddsförordningen att pseudonymisering ofta är en lämplig skyddsåtgärd

Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som exempel på lämplig skyddsåtgärd. Artikel 89.1 lyfter särskilt fram pseudonymisering i samband med personuppgiftsbehandling för forskningsändamål. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad form. Artikel 89.1 anger vidare att skyddsåtgärderna får inbegripa pseudonymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Annars bör alltså andra lämpliga skyddsåtgärder vidtas för att uppnå motsvarande skydd. Denna formulering öppnar för att det inte i alla situationer är möjligt att pseudonymisera om ändamålet med forskningen ska kunna uppfyllas och att det då måste finnas möjlighet att tillämpa andra lämpliga skyddsåtgärder för att uppnå förordningens krav på skydd för varje enskild personuppgiftsbehandling. Det framgår således direkt av förordningen att i de fall pseudonymisering, enligt definitionen i förordningen, inte är den lämpligaste skyddsåtgärden så ska personuppgifterna omfattas av andra lämpliga skyddsåtgärder för att uppnå dataskyddsförordningens krav.

Det bör finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig skyddsåtgärd

Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är strikt och ställer framför allt krav på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt. Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd.

Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig åtgärd, om forskningsändamålet annars inte kan uppnås. Av dataskyddsförordningen framgår också att tillämpningen av pseudonymi-

sering kan minska riskerna för de registrerade och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förordningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).

Det är i första hand den personuppgiftsansvarige som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller liknande skyddsåtgärder tillämpas. I samband med personuppgiftsbehandling för forskningsändamål som etikprövas kan etikprövningsnämnder meddela villkor, bland annat om pseudonymisering. Det är dock alltid den som behandlar personuppgifterna, dvs. den personuppgiftsansvarige eller personuppgiftsbiträdet, som ytterst ansvarar för att varje enskild personuppgiftsbehandling omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningens krav.

Krav på pseudonymisering eller ett likvärdigt skydd bör inte föreskrivas som skyddsåtgärd i svensk rätt

Att pseudonymisering är en central skyddsåtgärd vid behandling av personuppgifter för forskningsändamål framgår direkt av dataskyddsförordningen. Att i enlighet med utredningens förslag föreskriva ett ska-krav i svensk lagstiftning, med motsvarande undantagsmöjligheter som i princip redan framgår av förordningen, är enligt ett flertal remissinstanser alltför långtgående. Bland annat Forte, Karolinska institutet, Uppsala universitet,

Cancerfonden och Kungl. Vitterhetsakademien framför att dataskyddsförordningen utgör tillräcklig reglering i sammanhanget. Regeringen instämmer i denna bedömning och anser att det redan framgår av förordningen att psedonymisering bör användas när det är lämpligt och möjligt i relation till forskningsändamålet och i annat fall bör andra lämpliga skyddsåtgärder komma ifråga för att uppnå motsvarande skyddsnivå. Det är således regeringens uppfattning, till skillnad från Kalmar läns landsting, att utredningens förslag inte bör genomföras i denna del.

Det finns sekretesskydd även för kodnyckel i vissa fall Institutet för språk och folkminnen framför att pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inte ger något fullgott skydd för individen därför att även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir allmänna handlingar. Regeringen vill i detta sammanhang framhålla att det enligt vissa bestämmelser i 24 kap. offentlighets- och sekretesslagen (2009:400, OSL) gäller sekretess till skydd för enskilda i viss forskning. Enligt 18 kap. 9 §

OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts. Om det gäller sekretess för uppgifter om enskilda i ett forskningsprojekt där pseudonymisering används kan således också kodnyckeln skyddas. I de fall uppgifterna i forskningsprojektet inte omfattas av sekretess omfattas inte heller kodnyckeln av sekretess. Det hindrar inte att användning av pseudonymisering och andra skyddsåtgärder ger ett integritetsskydd även om det inte kan upprätthållas om någon

väljer att låta sin begäran om utfående av allmänna handlingar även omfatta kodnyckeln. Nämnas kan också att enligt 21 kap. 7 § OSL gällde tidigare sekretess för personuppgift om det kunde antas att ett utlämnande skulle medföra att uppgiften behandlades i strid med PUL. I och med att PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen gäller numera enligt 21 kap. 7 § OSL sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Regeringen återkommer i avsnitt 15.2 med förslag till ytterligare komplettering av 21 kap. 7 § OSL.

9.5. Det följer direkt av dataskyddsförordningen att den registrerade kan invända mot behandling

Regeringens bedömning: En skyddsåtgärd som innebär att personuppgifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår en bestämmelse i forskningsdatalagen som anger att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras.

Remissinstanserna: En större del av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län,

Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Vinnova, Kungl. Vetenskapsakademien och Cancerfonden tillstyrker utredningens förslag.

Uppsala universitet tillstyrker förslaget i sak men anser att den negativt formulerade ordalydelsen gör regeln otydlig. Sveriges lantbruksuniversitet (SLU) anser att lagtexten är otydligt utformad. I första stycket anges att personuppgifter inte får behandlas om den enskilde motsätter sig det. I andra stycket sägs det att det går bra ändå. För en lekman framstår lagtexten enligt universitetet som tvetydig. Kungl. Vetenskapsakademien anser att förslaget innebär en dämpande skrivning jämfört med utredningens föreslagna undantag från de registrerades rättigheter beträffande rätten att återta eller ändra information och önskar ett förtydligande. Statens medicinsk-etiska råd (Smer) anser att formuleringarna som rör undantag för den enskildes möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål bör förtydligas.

Datainspektionen avstyrker utredningens förslag då det inte står klart huruvida denna bestämmelse påverkar de registrerades rättigheter enligt kapitel III i dataskyddsförordningen.

Malmö högskola anser att den begränsning av den registrerades rättigheter att invända mot behandling som föreslås står i strid med dennes rättigheter att invända mot behandling enligt förordningen. Den föreslagna skrivningen innebär, enligt Malmö högskola, sannolikt en kraftig försämring av den registrerades rättigheter i förhållande till dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Sveriges

Kommuner och Landsting (SKL) noterar att rätten att göra invändningar har en tydlig koppling till vilken rättslig grund som används vid forskningen; samtycke, allmänt intresse eller intresseavvägning. Om det gäller artikel 21.6 torde detta innebära, att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.

Karolinska institutet anser att regeringens bedömning innebär en onödig försvagning av den registrerades rätt till att motsätta sig behandling för forskningsändamål jämfört med Forskningsdatautredningens förslag. Institutet framhåller att rätten att motsätta sig deltagande i forskning tillämpas i praktiken så gott som alltid inom forskningen och anser att denna praxis bör införlivas i svensk rätt, t.ex. genom en lagstiftningsåtgärd enligt artikel 23.1(i) som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 21.6, eller genom ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Detta skulle enligt institutet förstärka integritetsskyddet för den enskilde i förhållande till det skydd som ges i dataskyddsförordningen och även stärka förtroendet för forskningen.

Stockholms universitet anser att då frågan är omdebatterad skulle det vara en stor fördel om den svenska lagstiftningen på området kunde förmedla en klar och entydig grund för att tillåta ett opt-out förfarande. Även om det saknas lagtekniska skäl för en sådan reglering skulle den kunna bidra till ökad tydlighet och därmed underlätta för dem som har att tillämpa regleringen. Stockholms universitet vill i detta sammanhang framhålla att oklarheter i regleringen av förutsättningarna att bedriva forskning kan leda till att forskare av försiktighetsskäl avstår från att utföra sådan forskning som hade varit lagligt möjlig, vilket i sin tur riskerar att få en hämmande effekt på svensk forskning. I förlängningen kan detta leda till sämre förutsättningar för Sverige att hävda sig internationellt, exempelvis med avseende på forsknings- och innovationssamarbeten och rekrytering av framstående forskare.

Skälen för regeringens bedömning

Hur förhåller sig den föreslagna skyddsåtgärden till rätten att invända mot behandling?

Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1). Senast vid den första kommunikationen med den registrerade ska bl.a. denna rätt uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Enligt artikel 89.1 ska behandling för bl.a. vetenskapliga eller historiska forskningsändamål omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Utredningen föreslår en skyddsåtgärd som innebär att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras. Enligt utredningen ska denna skyddsåtgärd i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Denna skyddsåtgärd ska dock inte vara tillämplig om den rättsliga grunden är samtycke, då det finns möjlighet i dataskyddsförordningen att dra tillbaka sitt samtycke (artikel 7). I det remitterade utkastet till lagrådsremiss görs bedömningen att förslaget inte bör genomföras. Karolinska institutet och Stockholms universitet framhåller i sina remissvar över utkastet att rätten att invända mot behandling enligt artikel 21 skiljer sig åt beroende på rättslig grund för behandling. Karolinska institutet och Stockholms universitet förordar en i nationell rätt fastställd möjlighet att motsätta sig behandling.

Som framgår av avsnitt 7 är det främst tre rättsliga grunder som är relevanta vid forskning: samtycke, uppgift av allmänt intresse eller intresseavvägning. Artikel 21.6 innebär att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända. Om forskningen däremot baseras på den rättsliga grunden intresseavvägning blir artikel 21.1 tillämplig. Om den registrerade av skäl som hänför sig till hans eller hennes specifika situation gör invändningar mot att personuppgifter avseende honom eller henne behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Som nämnts ovan var syftet med den föreslagna skyddsåtgärden enligt utredningen att i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Artikel 21 omfattar enligt regeringens bedömning de rättsliga grunder som personuppgiftsbehandling för forskningsändamål i praktiken främst kommer att grundas på, förutom samtycke som enligt artikel 7.2 alltid kan återkallas. Det har vidare på senare tid tydliggjorts att EU-kommissionen anser att behandling av personuppgifter vid kliniska läkemedelsprövningar i vissa delar kommer att ske med stöd av den rättsliga grunden rättslig förpliktelse (se vidare avsnitt 10.4). Vid sådan behandling gäller inte rätten att invända enligt artikel 21 i dataskyddsförordningen. Regeringen anser således, till skillnad från Karolinska institutet, Stockholms universitet och SKL, att en sådan skyddsåtgärd inte bör fastställas i lag, utan att de möjligheter att invända mot behandling som framgår av dataskyddsförordningen är tillräckliga för såväl integritetsskyddet som förtroendet för forskningen. Karolinska institutet föreslår vidare ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Enligt 6 § etikprövningslagen får ett godkännande förenas med villkor. Det framgår inte närmare av lagen vilka slags villkor som får förenas med ett etikgodkännande. Det är regeringens uppfattning att detta inte heller bör regleras i lag på sådan detaljnivå, utan att det bör vara upp till etikprövningsnämnderna att bedöma i samband med etikprövningen.

Medlemsstaterna har enligt artikel 89.2 rätt att i nationell rätt föreskriva undantag från de rättigheter som avses i bl.a. artikel 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1, i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. Frågan om det finns något behov av att begränsa rättigheten enligt artikel 21 behandlas i avsnitt 13.6.2.

9.6. All personuppgiftsbehandling för forskningsändamål ska inte etikprövas

9.6.1. Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser

Som regeringen återkommer till i avsnitt 10 innehåller dataskyddsförordningen, i likhet med det upphävda dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personuppgifter för de uppgifter som omfattas av denna särskilda reglering (13 §). Dessa var enligt dataskyddsdirektivet och PUL personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I 3 kap. 1 § dataskyddslagen används benämningen känsliga personuppgifter för nu aktuella kategorier av uppgifter.

Som regeringen återkommer till i avsnitt 11 finns det vidare i artikel 10 i dataskyddsförordningen en särskild reglering för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. En motsvarande specialreglering för sådana uppgifter fanns i dataskyddsdirektivet och PUL.

Enligt PUL fick känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen (19 § första stycket PUL). Uppgifter om lagöverträdelser fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen (21 § andra stycket PUL). Enligt 3 § etikprövningslagen är den lagen tillämplig bl.a. när forskning som ska utföras i Sverige innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser enligt 21 § PUL. Sådan forskning får enbart utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen).

Etikprövning utgör således i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål. Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 7–11 §§ etikprövningslagen. Där anges att

1. forskning bara får godkännas om den kan utföras med respekt för män-

niskovärdet,

2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid

etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3. människors välfärd ska ges företräde framför samhällets och vetenska-

pens behov,

4. forskning bara får godkännas om de risker som den kan medföra för

forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

5. forskning inte får godkännas om det förväntade resultatet kan uppnås

på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6. behandling av känsliga personuppgifter och personuppgifter om lag-

överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras,

7. forskning får godkännas bara om den ska utföras av eller under över-

inseende av en forskare som har den vetenskapliga kompetens som behövs. Ett beslut om etikgodkännande kan förenas med villkor. Detta används i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås.

Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning.

Dataskyddsförordningen ställer krav på lämpliga och särskilda skyddsåtgärder

Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Vid personuppgiftsbehandling för forskningsändamål anges krav på skyddsåtgärder i flera artiklar i förordningen.

All personuppgiftsbehandling för forskningsändamål måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1). Det finns dock inget hinder i förordningen mot att nationellt reglera skyddsåtgärder med stöd av artikel 89.1.

Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).

Behandling av personuppgifter om lagöverträdelser för forskningsändamål som utförs av andra än myndigheter får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Dataskyddsförordningens krav har stora likheter med de krav som det upphävda dataskyddsdirektivet ställde. Dataskyddsdirektivet krävde lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser. Regeringen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsförordningen skulle innebära någon skillnad i sak jämfört med begreppet specifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”suitable and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet angav kravet på ”suitable specific safeguards”. Det engelska begreppet specific har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförordningen och dataskyddsdirektivet.

Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskyddsförordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläggande rättigheter och intressen. I artikel 10 anges att kravet på lämpliga skyddsåtgärder syftar till att skydda de registrerades rättigheter och friheter vid personuppgiftsbehandling av uppgifter om lagöverträdelser. Någon motsvarande formulering av syftet med skyddsåtgärderna fanns inte i dataskyddsdirektivet, som dock hade som övergripande syfte att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (artikel 1). Det framgår av 7 och 8 §§ etikprövningslagen att forskning bara får godkännas om den kan utföras med respekt för människovärdet och att mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen.

Ansvaret för att varje enskild personuppgiftsbehandling uppfyller dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar alltid den personuppgiftsansvarige. I avsnitt 9.1 finns utförligare beskrivningar av dataskyddsförordningens krav på skyddsåtgärder generellt.

9.6.2. Tillämpningsområdet för kravet på etikprövning bör inte utvidgas

Regeringens bedömning: Tillämpningsområdet för etikprövningslagen bör inte utvidgas till att omfatta all behandling av personuppgifter för forskningsändamål.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Av dem som uttryckligen tillstyrker återfinns Västra Götalands läns landsting, Vetenskapsrådet,

Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Lund, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Örebro universitet och Luleå tekniska universitet. Karlstads universitet anser att en utvidgning av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktisk genomförbar lösning och att de föreslagna generella skyddsåtgärderna att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åtgärd. Vinnova ställer sig bakom utredningens bedömning och anser att nuvarande reglering av vilken forskning som ska etikprövas överensstämmer väl med dataskyddsförordningens krav på lämplig och särskild skyddsåtgärd för personuppgiftsbehandling av känsliga personuppgifter. En utvidgning av etikprövningslagens tillämpningsområde skulle enligt Vinnova kunna innebära minskade möjligheter för forskare att initiera och genomföra insamlingar och studier till följd av att krav om etikprövning föreligger oavsett vilken typ av personuppgiftsbehandling som ska genomföras.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Detta gäller bland annat

Regionala etikprövningsnämnden i Lund som delar denna bedömning. Luleå kommun anser att utöver de skäl som framförs av regeringen bör beaktas att ett utvidgande av tillämpningsområdet till att omfatta alla personuppgifter skulle medföra negativa konsekvenser för möjligheterna att bedriva forskning till följd av betydligt ökade byråkratiska krav. Därtill skulle möjligheterna att bedriva forskning som grundas på vad som får anses vara harmlös information försvåras och innebära en onödig arbetsinsats för den blivande Etikprövningsmyndigheten.

Skälen för regeringens bedömning

Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det faktum att etikprövning är en i dagsläget fastställd skyddsåtgärd för känsliga personuppgifter och personuppgifter om lagöverträdelser finns det anledning att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.

Att bedöma vilket tillämpningsområde etikprövningslagen bör ha handlar ytterst om att hitta en balans mellan etiska principer och andra värden som bör vägas in. En uttrycklig avgränsning av etikprövningens tillämpningsområde skapar tydlighet för forskare bl.a. vid planering av forskningsprojekt. Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är minst lika viktig för allmänhetens förtroende för systemet. Kravet på etikprövning kan också anses vara en begränsning av forskningens frihet, forskarens möjlighet att fritt använda sig av personuppgifter i forskningen, vilket kräver proportionalitet i avgränsningen av tillämpningsområdet.

Definitionen av personuppgift är vidsträckt

En personuppgift är enligt definitionen i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Alla uppgifter som enskilt eller tillsammans med andra uppgifter kan knytas till en levande person omfattas.

Om etikprövningslagens tillämpningsområde utvidgas till att omfatta all behandling för personuppgiftsändamål skulle kravet på etikprövning omfatta varje slags behandling för forskningsändamål även av indirekta personuppgifter utan någon sannolik integritetsmässig risk. Att kräva en så omfattande skyddsåtgärd, som etikprövning innebär, för behandling av alla slags personuppgifter är enligt regeringens uppfattning inte proportionerligt sett i relation till skyddsintresset. Konsekvenserna för såväl forskningsutförarna som för etikprövningsorganisationen skulle också bli omotiverat omfattande, med ökad arbetsbörda och ökade resursbehov.

Befintliga kategoriseringar utgör en lämplig avgränsning av vilka personuppgifter som ska etikprövas

Behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser har i tidigare lagstiftningssammanhang bedömts inte vara av särskilt integritetskänslig karaktär. Det bör dock i sammanhanget framhållas att en sådan uppfattning i viss mån kan vara subjektiv, vad någon uppfattar som integritetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och

en för sig är av mindre integritetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av personuppgift som framgår av såväl den upphävda PUL som EU:s dataskyddsförordning kan alla olika slags personuppgifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritetsmässig risk att behandla. Det är regeringens uppfattning att PUL:s kategoriseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser alltjämt är rimliga och lämpliga avgränsningar för vad som generellt kan karaktärisera sådana integritetskänsliga personuppgifter som kräver ett ökat skydd. Denna bedömning gäller förstås med de justeringar av dessa begrepp som EU:s dataskyddsförordningen innebär (se vidare avsnitt 10 och 11).

Tillämpningsområdet ska vara tydligt, precist och förutsägbart

Det är viktigt att en avgränsning är så lätt att tillämpa som möjligt och samtidigt uppfyller grundläggande krav på rättssäkerhet, inbegripande förutsägbarhet. Metoden att räkna upp de situationer som ska etikprövas får anses uppfylla detta syfte. De situationer som inte räknas upp ska således inte etikprövas. Denna avgränsning är, enligt regeringens uppfattning, såväl tydlig och precis som förutsägbar och proportionerlig i enlighet med dataskyddsförordningens krav. I dagsläget finns dessutom i förordningen (2003:615) om etikprövning av forskning som avser människor ett förfarande med rådgivande yttrande för ärenden där forskningen inte omfattas av etikprövningslagens tillämpningsområde (4 a §).

Andra skyddsåtgärder bör komma ifråga när personuppgiftsbehandling för forskningsändamål sker i andra fall

Etikprövningens syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Vid personuppgiftsbehandling handlar detta främst om att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns det i princip ingen risk för sådan skada bör inte heller någon etikprövning behöva ske. Regeringens samlade bedömning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med skyddsåtgärden och dessutom riskera att urholka förtroendet för etikprövningssystemet. För att uppnå ett lämpligt skydd i enlighet med dataskyddsförordningens krav för personuppgiftsbehandling för forskningsändamål som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser bör således andra skyddsåtgärder komma ifråga. Regeringen instämmer således med Karlstads universitet som anser att ett utvidgande av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktiskt genomförbar lösning och att skyddsåtgärder som innebär att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åtgärd. Som framgår av avsnitt 9.4 anser regeringen att det framgår direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt.

Regeringens sammantagna bedömning är således att etikprövningslagens tillämpningsområde inte bör utvidgas till att omfatta all personuppgiftsbehandling för forskningsändamål.

10. Det behövs kompletterande nationella bestämmelser för behandling av känsliga personuppgifter

10.1. Förbudet mot behandling av känsliga personuppgifter utvidgas

Dataskyddsförordningen innehåller, i likhet med dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personuppgifter för de uppgifter som omfattas av denna särskilda reglering. Dessa var enligt dataskyddsdirektivet och 13 § PUL personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt dataskyddsförordningen omfattar de särskilda kategorierna av uppgifter även genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Särskilda kategorier av personuppgifter benämns känsliga personuppgifter i dataskyddslagen

I såväl dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter, utan att detta närmare har kommenterats i förarbetena. I dataskyddslagen används begreppet känsliga personuppgifter som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75).

10.2. Dataskyddsförordningen möjliggör behandling av känsliga personuppgifter för forskningsändamål

Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter kompletteras, liksom i direktivet, av en rad undantag som möjliggör sådan behandling i vissa fall. Förbudet i sig, liksom undantagen, är direkt tillämpliga genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. Vissa av undantagen innehåller dock hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder bör vidtas för att dessa undantag ska vara tillämpliga (artikel 9.2).

Av förordningen framgår att känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade (artikel 9.2 a).

I artikel 9.2 j finns ett uttryckligt undantag från förbudet mot behandling av känsliga personuppgifter, som anger att förbudet inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.

Dataskyddsförordningen ger därmed en explicit möjlighet till behandling av känsliga personuppgifter för forskningsändamål. Som nämnts fanns inte något sådant explicit undantag för behandling av personuppgifter för forskningsändamål i dataskyddsdirektivet. Enligt dataskyddsdirektivet var det emellertid möjligt för medlemsstaterna att under förutsättning av lämpliga skyddsåtgärder besluta om undantag från förbudet att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse (artikel 8.4). I PUL fanns undantag för behandling av känsliga personuppgifter för forskningsändamål i 19 §, som angav att känsliga personuppgifter fick behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen.

10.3. Etikprövning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det ska regleras i en forskningsdatalag att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen. Utredningen föreslår även en kompletterande bestämmelse i andra stycket i den föreslagna paragrafen som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål framgår av etikprövningslagen.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län ser positivt på förslaget. Arbetsgivarverket anser att det är av godo att upprätthålla ett starkt nationellt skydd för känsliga personuppgifter genom den föreslagna bestämmelsen. Vinnova, Cancerfonden och Nationellt biobanksråd framhåller att de stödjer förslaget. Kungl.

Vetenskapsakademien påpekar att det är rimligt och bra att alla personuppgifter inom den utökade definitionen av känsliga personuppgifter ska få behandlas när det är nödvändigt för forskningsändamålet och efter etikprövning.

Statens medicinsk-etiska råd (Smer) tillstyrker utredningens förslag att kravet på etikprövning enligt etikprövningslagen ska kvarstå för tillåtelse för behandling av känsliga personuppgifter när denna behandling är nödvändig för att uppnå forskningsändamålet. Smer ifrågasätter dock om det är ett tillräckligt krav för tillåtelse ”när denna är nödvändig för att uppnå forskningsändamålet”.

Vetenskapsrådet förordar att begreppet ”särskilda kategorier av personuppgifter” används istället för begreppet ”känsliga personuppgifter”. Göteborgs universitet anser att utredningen föreslår ett avsteg från dataskyddsförordningens vokabulär utan att ange någon egentlig förklaring till detta förslag. Mittuniversitetet anser att begreppet ”känsliga personuppgifter” bör strykas ur lagstiftningen. Att använda dataskyddsförordningens terminologi ”särskilda kategorier av personuppgifter” tydliggör att det inte är upp till forskaren att bestämma vilka uppgifter det är fråga om, samt underlättar ett av dataskyddsförordningens huvudsyften, nämligen den fria rörligheten av personuppgifter inom EU.

Datainspektionen avstyrker utredningens förslag till upplysningsbestämmelse då den är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämnders beslut kan komma att uppfattas som den rättsliga regleringen av behandling av känsliga personuppgifter, trots att dataskyddsförordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen. Detta gäller bl.a.

Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet, Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Kungl. Biblioteket och Riksarkivet.

Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling. Utöver detta finns det, för närvarande,

situationer där etikprövningslagens tillämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedriver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del.

Skälen för regeringens bedömning

Undantag från förbudet att behandla känsliga personuppgifter kräver att nationell rätt innehåller bestämmelser om skyddsåtgärder

Som nämnts ska enligt artikel 9.2 j i dataskyddsförordningen förbudet mot behandling av känsliga personuppgifter inte tillämpas om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

I skäl 10 anges att dataskyddsförordningen är avsedd att ge medlemsstaterna handlingsutrymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs närmare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, samt att sådant undantag får göras för bl.a. vetenskapliga eller historiska forskningsändamål. I sammanhanget bör även skrivningarna i skäl 8 beaktas, där det anges att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

I propositionen Ny dataskyddslag konstaterar regeringen att det inte är helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten, som finns i flera av de punkter i artikel 9.2 som innehåller undantag från förbudet att behandla känsliga personuppgifter, har eller vilken betydelse det har att de utformats på olika sätt. Regeringen gör där bedömningen att undantaget i sig inte måste genomföras i nationell rätt för att vara tillämpligt, men att det är uppenbart att det vid behandling av känsliga personuppgifter för bl.a. forskningsändamål krävs ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller

för behandling av andra personuppgifter i samma situation. I artikel 9.2 j tillkommer ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Någon bestämmelse direkt motsvarande artikel 9.2 j fanns som nämnts inte i det upphävda dataskyddsdirektivet. Undantaget i PUL (19 §

)

var dock baserat på artikel 8.4 i direktivet som innehöll ett mot-

svarande krav på lämpliga skyddsåtgärder. Kravet på skyddsåtgärder överensstämmer på så vis med vad som gällt enligt dataskyddsdirektivet och innebär således inte någon ny begränsning av möjligheten att behandla känsliga personuppgifter för forskningsändamål. Vidare är innebörden av kravet på att behandlingen ska vara nödvändig enligt regeringens bedömning densamma i artikel 9 som i artikel 6.

Etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar

Som nämnts i avsnitt 10.2 fick enligt den upphävda PUL känsliga personuppgifter behandlas för forskningsändamål om behandlingen hade godkänts enligt etikprövningslagen (19 §).

Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får bara godkännas om den är nödvändig för att forskningen skall kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7–11 §§ etikprövningslagen). Den riskbedömning som etikprövningsnämnderna gör av personuppgiftsbehandling för forskningsändamål har sedan tidigare bedömts förenlig med kraven i dataskyddsdirektivet.

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32). Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs om behandlingen inbegriper en risk eller en hög risk (skäl 76).

En etikprövning enligt etikprövningslagen uppfyller enligt regeringens uppfattning dataskyddsförordningens krav på en objektiv bedömning av

de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter. Regeringen bedömer således att etikprövning är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål. Som regeringen återkommer till i avsnitt 10.4 finns för sådan forskning som består i klinisk läkemedelsprövning särskilda bestämmelser i form av EU:s förordning nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Denna EU-förordning har dock inte börjat tillämpas och det är i dagsläget inte bestämt när så ska ske. Det blir dock sannolikt inte tidigare än hösten 2019. Eftersom det i EU-förordningen anges att kliniska läkemedelsprövningar ska genomgå etisk granskning och godkännas enligt förordningen har regeringen i propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) föreslagit att forskning som består i klinisk läkemedelsprövning inte ska etikprövas enligt etikprövningslagen. Sådan forskning ska i stället genomgå etisk granskning enligt ett förslag till ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Riksdagen har antagit regeringens förslag (bet. 2017/18:UbU26, rskr. 2017/18:332). Bestämmelserna har emellertid inte trätt i kraft eftersom EU-förordningen inte börjat tillämpas ännu utan bestämmelserna ska träda i kraft den dag regeringen bestämmer, dvs. när EUförordningen börjar tillämpas. Vad som anförs nedan om behandling av känsliga personuppgifter för forskningsändamål avser således, när EUförordningen om kliniska läkemedelsprövningar har börjat tillämpas och de föreslagna kompletterande bestämmelserna trätt i kraft, behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar.

Behandling av känsliga personuppgifter för forskningsändamål med samtycke enligt artikel 9.2 a bör enligt utredningens bedömning omfattas av samma krav på etikprövning som all annan nödvändig behandling av känsliga personuppgifter för forskningsändamål, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf, som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Av artikel 9.2 a i dataskyddsförordningen framgår att medlemsstaterna måste föreskriva i nationell rätt, om förbudet mot behandling av känsliga personuppgifter inte ska kunna upphävas av den registrerade. Enligt 3 § etikprövningslagen ska lagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Paragrafen innehöll tidigare en bestämmelse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop.

2007/08:44). Ändringen innebär att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Detta framgår uttryckligen av 6 § första stycket etikprövningslagen. Där anges att forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Enligt regeringens uppfattning är därför bestämmelsen i etikprövningslagen en sådan reglering som avses i artikel 9.2 a sista ledet.

Innebörden av andra stycket i den bestämmelse utredningen föreslår, dvs. att all behandling av känsliga personuppgifter för forskningsändamål ska etikprövas oavsett vilken rättslig grund den baseras på och att samtycke således inte ersätter kravet på etikprövning, kommer enligt regeringens bedömning inte helt till uttryck i bestämmelsen. Bestämmelsen är av upplysande karaktär och hänvisar till etikprövningslagen. Mot bakgrund av att den angivna bestämmelsen i etikprövningslagen bedöms vara en sådan bestämmelse som avses i artikel 9.2 a finns det inte något behov av att ha ytterligare en bestämmelse med den innebörden. Regeringen anser därför att bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen inte bör införas.

När det gäller frågan om rättslig grund för behandling av personuppgifterna anser regeringen, som framgår av avsnitt 7.2.2, att om ett forskningsprojekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Smer ifrågasätter om det ska vara en tillräcklig förutsättning för behandling av känsliga personuppgifter att en behandling är nödvändig för att uppnå forskningsändamålet. Utredningens förslag till bestämmelse är utformad i enlighet med kraven i artikel 9.2 j i dataskyddsförordningen, där det anges att undantag från förbudet gäller när behandlingen är nödvändig för bl.a. forskningsändamål. Som nämnts framgår det redan av etikprövningslagen att behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket), varför det, vilket regeringen återkommer till nedan, kan ifrågasättas om det behövs ytterligare en bestämmelse i en forskningsdatalag om detta.

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering innebär att det i 2 § etikprövningslagen anges att med behandling av personuppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Sådan forskning får bara utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Behandlingen av personuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad regeringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 §

etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i artikel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § etikprövningslagen till 13 § PUL ska ersättas med en hänvisning till motsvarande bestämmelse i dataskyddsförordningen. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen, får då närmast karaktären av en upplysningsbestämmelse eftersom undantaget i artikel 9.2 j i sig inte behöver genomföras i svensk rätt för att vara tillämpligt och då redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j. Regeringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

Flera remissinstanser har ifrågasatt att benämningen känsliga personuppgifter fortsatt ska användas. I såväl dataskyddsförordningen som dataskyddsdirektivet benämns dessa personuppgifter som särskilda kategorier av personuppgifter (artikel 9). I jämförelse med vad som i PUL benämnts känsliga personuppgifter har det tillkommit tre kategorier (genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning). I dataskyddslagen används begreppet känsliga personuppgifter för samtliga dessa kategorier. För att det nationella regelverket ska vara enhetligt föreslås det därför att samma benämning ska användas även i etikprövningslagen.

Datainspektionen framhåller i sitt remissvar över det remitterade utkastet till lagrådsremiss att det finns situationer där etikprövningslagens tillämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedriver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys av huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del. Som regeringen konstaterar i avsnitt 15.1 finns det inte något beredningsunderlag för att ändra etikprövningslagens tillämpningsområde i detta lagstiftningsärende. Den situation som Datainspektionen tar upp i sitt yttrande är inte heller ny, då även PUL hade ett delvis annat tillämpningsområde än etikprövningslagen. Det är dock möjligt enligt dataskyddsförordningen för den personuppgiftsansvarige att behandla känsliga personuppgifter med stöd av samtycke när etikprövningslagens tillämpningsområde inte omfattar den aktuella behandlingen. Liksom för all personuppgiftsbehandling för forskningsändamål gäller också att det är den personuppgiftsansvariges ansvar enligt artikel 89.1 att behandlingen omfattas av lämpliga skyddsåtgärder i varje enskilt fall.

10.4. Etisk granskning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter vid forskning inom ramen för kliniska läkemedelsprövningar

Regeringens bedömning: Etisk granskning enligt lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs enligt EU:s dataskyddsförordning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning.

Utredningen lämnar inget förslag i denna del. Utkastet till lagrådsremiss: Utkastet innehöll ingen bedömning, utan en redogörelse för förslagen till svensk kompletterande lagstiftning till

EU-förordningen om kliniska läkemedelsprövningar i dels propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196), dels propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) samt en hänvisning till att det då pågick en diskussion inom EU om olika dataskyddsfrågor relaterade till EUförordningen om kliniska läkemedelsprövningar och dess förhållande till EU:s dataskyddsförordning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig har inga synpunkter. Läkemedelsverket anser att det i avsnittet bör förtydligas om dataskyddsfrågorna som är relaterade till EU-förordningen om kliniska läkemedelsprövningar kommer att behandlas i en egen utredning eller om de båda EU-förordningarnas direkta effekt medför att det inte behöver göras någon ytterligare utredning på nationell nivå. Karolinska institutet anser att det är otillfredsställande att det fortfarande finns en otydlighet när det gäller vilka regler som ska gälla för personuppgiftsbehandling inom ramen för kliniska läkemedelsprövningar. Det skulle underlätta planeringen av verksamheten för berörda forskningsutförare att snarast möjligt få klarhet i vilka regelverk som blir tillämpliga för personuppgiftsbehandling inom ramen för klinisk läkemedelsprövning. Läkemedelsindustriföreningen ifrågasätter vad som menas med att för klinisk läkemedelsprövning avstår regeringen från att göra ”bedömningar i dessa frågor i denna lagrådsremiss”. Läkemedelsindustriföreningen anser att det krävs ett förtydligande om att tidigare regler kan fortsätta att gälla i avvaktan på att ett nytt regelverk är på plats.

Skälen för regeringens bedömning

De nuvarande svenska bestämmelserna om klinisk läkemedelsprövning baseras på ett EU-direktiv som ersätts av en EU-förordning

Forskning som består i klinisk läkemedelsprövning genomförs i form av undersökningar på friska eller sjuka människor för att studera effekten av ett eller flera läkemedel. Nuvarande bestämmelser om kliniska läkemedelsprövningar finns i Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra

författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel. Direktivet har genomförts i svensk rätt bland annat genom läkemedelslagen (2015:315) och etikprövningslagen (2003:460). För att få genomföra en klinisk läkemedelsprövning i Sverige krävs i dag både godkännande av en etikprövningsnämnd enligt etikprövningslagen och tillstånd från Läkemedelsverket.

Europaparlamentet och rådet antog den 16 april 2014 förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, nedan kallad EU-förordningen om kliniska läkemedelsprövningar. Denna EU-förordning trädde i kraft den 16 juni 2014, men det har ännu inte beslutats när den ska börja tillämpas. Enligt artikel 99 ska den börja tillämpas sex månader efter det att kommissionen har meddelat i Europeiska unionens officiella tidning att den EU-portal och den EU-databas som regleras i EU-förordningen är fullt funktionsdugliga. Det sker sannolikt inte tidigare än hösten 2019.

Anpassningar av svensk rätt till EU-förordningen om kliniska läkeme-

delsprövningar

EU-förordningen om kliniska läkemedelsprövningar är bindande och direkt tillämplig i Sverige. Som ovan angetts är det dock inte klart när den ska börja tillämpas. Den 1 januari 2019 genomförs en organisationsförändring avseende den svenska etikprövningsorganisationen som innebär att de sex regionala etikprövningsnämnderna avvecklas och att etikprövning av forskning som avser människor i stället ska hanteras av en ny myndighet, Etikprövningsmyndigheten. Syftet är att öka effektiviteten och skapa en mer enhetlig tillämpning av regelverket (prop. 2017/18:45, bet. 2017/18:UbU12, rskr. 2017/18:173). Den nya myndigheten kommer att vara på plats när EU-förordningen ska börja tillämpas. I propositionerna Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196, bet. 2017/18:SoU29, rskr. 2017/18:417) och Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193, bet. 2017/18:UbU26, rskr. 2017/18:332) redogörs för de undantagsbestämmelser och kompletterande bestämmelser som i övrigt har bedömts behövas i svensk rätt med anledning av EU-förordningen.

Etisk granskning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för forskningsändamål i forskning som består av klinisk läkemedelsprövning

Enligt EU-förordningen om kliniska läkemedelsprövningar ska ansökningar om sådana prövningar genomgå vetenskaplig och etisk granskning och godkännas i enlighet med EU-förordningen. Den etiska granskningen ska utföras av en etikkommitté i enlighet med nationell rätt i den berörda medlemsstaten. Enligt definitionen i artikel 2.2.11 är en etikkommitté ett oberoende organ i en medlemsstat vilket inrättats i enlighet med nationell rätt i den medlemsstaten och som har befogenhet att avge yttranden i samband med tillämpningen av EU-förordningen, med beaktande av synpunkter från lekmän, i synnerhet patienter eller patientorganisationer. Varje berörd medlemsstat ska genom ett enda beslut underrätta sponsorn om huruvida den kliniska läkemedelsprövningen eller en väsentlig ändring

av prövningen har beviljats tillstånd, har beviljats tillstånd på vissa villkor eller huruvida ansökan om tillstånd har avslagits (artiklarna 8.1, 14.3, 19.1, 20.5 och 23.1). Med sponsorn avses enligt förordningen person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk prövning.

I propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar föreslås att forskning som består i klinisk läkemedelsprövning framöver inte ska etikprövas enligt etikprövningslagen. Som ovan angivits (avsnitt 10.3) har riksdagen antagit regeringens förslag men bestämmelserna har ännu inte trätt i kraft. Forskning som består i klinisk läkemedelsprövning ska, när bestämmelserna har trätt i kraft, i stället genomgå etisk granskning enligt en ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Enligt den lagen ska den etiska granskningen utföras av Etikprövningsmyndigheten och resultatet av den etiska granskningen ska redovisas i ett yttrande som beslutas av Etikprövningsmyndigheten och lämnas till Läkemedelsverket (2 och 3 §§). Av propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) framgår att Läkemedelsverket ska vara den myndighet i Sverige som fattar beslut om tillstånd till kliniska läkemedelsprövningar. De huvudsakliga skälen till detta är att Läkemedelsverket är central förvaltningsmyndighet för kontroll och tillsyn av läkemedel och även har till uppgift enligt läkemedelslagen att pröva frågor om tillstånd till kliniska läkemedelsprövningar. I Sverige kommer det således att vara Läkemedelsverket som fattar beslut i fråga om en ansökan om klinisk läkemedelsprövning. Enligt EUförordningen gäller att en ansökan ska avslås bl.a. om en etikkommitté har avgett ett negativt yttrande som i enlighet med nationell rätt i den berörda medlemsstaten gäller för hela medlemsstaten (artiklarna 8.4, 14.10, 19.2, 20.7 och 23.4). I propositionen Anpassningar av svensk rätt till EUförordningen om kliniska läkemedelsprövningar föreslås att det i läkemedelslagen ska införas en bestämmelse som innebär att Läkemedelsverket inte får bifalla en ansökan om klinisk läkemedelsprövning om Etikprövningsmyndigheten i sitt yttrande anser att den bör avslås.

Enligt 3 § i den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 711 §§etikprövningslagen ligga till grund för Etikprövningsmyndighetens etiska bedömning av en ansökan om kliniska läkemedelsprövning. Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 711 §§etikprövningslagen. Där anges att

1. forskning bara får godkännas om den kan utföras med respekt för män-

niskovärdet,

2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid

etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3. människors välfärd ska ges företräde framför samhällets och ve-

tenskapens behov,

4. forskning bara får godkännas om de risker som den kan medföra för

forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

5. forskning inte får godkännas om det förväntade resultatet kan uppnås

på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6. behandling av känsliga personuppgifter och personuppgifter om lag-

överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras,

7. forskning får godkännas bara om den ska utföras av eller under över-

inseende av en forskare som har den vetenskapliga kompetens som behövs. Ett beslut om etikgodkännande kan förenas med villkor. Detta används bl.a. i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås. I propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar föreslås att det i läkemedelslagen ska införas en bestämmelse som innebär att om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska Läkemedelsverket beakta villkoren vid tillståndsgivningen.

Av propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar framgår, som ovan angivits, att den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska träda i kraft den dag regeringen bestämmer. Regeringens bedömning i avsnitt 10.3 om att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter kommer således att gälla för klinisk läkemedelsprövning fram till dess att EU-förordningen om kliniska läkemedelsprövningar börjar tillämpas och den svenska kompletterande regleringen träder i kraft.

I den direkt tillämpliga EU-förordningen om kliniska läkemedelsprövningar finns ett antal bestämmelser som rör data som genereras vid kliniska läkemedelsprövningar, se bl.a. artikel 3 (b), artikel 37 (4) och (8), artiklarna 41–43 och artikel 78. Enligt artikel 7 d) ska varje medlemsstat bedöma ansökans förenlighet med dataskyddsdirektivet. Enligt artikel 93 ska medlemsstaterna tillämpa dataskyddsdirektivet på den personuppgiftsbehandling som sker i medlemstatarna. Enligt artikel 94 i dataskyddsförordningen ska referenser till dataskyddsdirektivet tolkas som referenser till dataskyddsförordningen. Enligt skäl 161 i dataskyddsförordningen ska när det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar EU-förordningen om kliniska läkemedelsprövningar tillämpas.

Som framgått ovan (avsnitt 7) har Artikel 29-gruppen efter att utkastet till lagrådsremiss remitterades antagit en vägledning om samtycke under förordning 2016/679, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regulation 2016/679, antagna den 10 april 2018). I denna vägledning uttalar Artikel 29-gruppen att när samtycke är den rättsliga grunden för att utföra forskning i enlighet med dataskyddsförordningen ska detta samtycke till behandlingen av personuppgifterna skiljas från andra krav på samtycke som tjänar som en etisk standard eller ett procedurkrav. Ett exempel på ett sådant procedurkrav där behandlingen inte är baserad på samtycke utan på en annan rättslig grund

finns enligt Artikel 29-gruppen i EU-förordningen om kliniska läkemedelsprövningar. I dataskyddssammanhang ska den senare formen av samtycke betraktas som en ytterligare skyddsåtgärd. Samtidigt begränsar inte dataskyddsförordningen tillämpningen av artikel 6 till enbart samtycke när det gäller behandling av personuppgifter för forskningsändamål. Så länge som lämpliga skyddsåtgärder finns på plats i enlighet med kraven enligt artikel 89.1 och behandlingen av personuppgifter är rättvis, laglig, transparant och överensstämmer med principen om uppgiftsminimering och individuella rättigheter kan andra rättsliga grunder såsom artikel 6.1 e eller f, dvs. uppgift av allmänt intresse och personuppgiftsansvariges eller en tredje parts berättigade intresse, vara användbara. Detta gäller också för behandlingen av känsliga personuppgifter enligt undantaget från förbudet av sådan behandling i artikel 9.2 j. Prövning av läkemedel kan också ske på grundval av en unionsrättslig eller nationell lag enligt artikel 9.2 i, dvs. allmänt intresse på folkhälsoområdet. Artikel 29-gruppen uttalar också att artikel 6.1 c i dataskyddsförordningen, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, kan vara tillämplig för de delar av behandlingen som är en rättslig förpliktelse såsom att generera tillförlitliga och robusta data i enlighet med prövningsprotokollet som godkänts av en medlemsstat i enlighet med EU-förordningen om kliniska läkemedelsprövningar (jfr. exempelvis med artiklarna 3 b och 6 i EU-förordningen om kliniska läkemedelsprövningar).

När det gäller behandling av känsliga personuppgifter för bl.a. forskningsändamål krävs som beskrivits ovan ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 i eller j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Regeringen gör i föregående avsnitt bedömningen att etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar. Enligt 3 § i den föreslagna lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 711 §§etikprövningslagen ligga till grund för den etiska bedömningen av en ansökan om kliniska läkemedelsprövning som ska göras av Etikprövningsmyndigheten. Den etiska granskningen av forskning som består i kliniska läkemedelsprövningar kommer alltså att vila på samma etiska överväganden som ska göras vid etikprövning. Regeringen gör därför bedömningen att etisk granskning är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs enligt EU:s dataskyddsförordning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning.

11. Det behövs kompletterande nationella bestämmelser om skyddsåtgärder för behandling av personuppgifter om lagöverträdelser

11.1. Dataskyddsförordningen möjliggör en kompletterande nationell reglering för personuppgifter om lagöverträdelser

Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet. Behandling av sådana uppgifter får också ske om behandlingen tillåts enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10).

I dataskyddsdirektivet angavs att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder fick utföras endast under kontroll av en myndighet eller, om lämpliga skyddsåtgärder fanns i nationell lag, med förbehåll för de ändringar som medlemsstaterna kunde tillåta med stöd av nationella bestämmelser som innehöll lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar fick dock föras endast under kontroll av en myndighet. Medlemsstaterna fick vidare föreskriva att uppgifter som rörde administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet (artikel 8.5). Med stöd av denna artikel i dataskyddsdirektivet infördes en paragraf i PUL som i första stycket angav att det var förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av andra stycket framgick att sådana personuppgifter som avsågs i första stycket fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt lagen om etikprövning av forskning som avser människor (21 § PUL).

Dataskyddsförordningens formulering i artikel 10 första meningen, som avser fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder är, när det gäller vilken typ av uppgifter det är fråga om, något snävare än motsvarande bestämmelsen i den upphävda PUL (21 § första stycket). Den bestämmelsen avsåg lagöverträdelser som innefattade brott, domar i brottmål, dvs. både friande och fällande domar, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Begreppet säkerhetsåtgärder har bedömts likvärdigt med begreppet straffprocessuella tvångsmedel, som använts i PUL vid genomförande av dataskyddsdirektivet, vilket i likhet med dataskyddsförordningen anger säkerhetsåtgärder som begrepp. Det är därmed regeringens bedömning att

vad som i praktiken skiljer definitionerna i PUL och dataskyddsförordningen åt är friande domar i brottmål och administrativa frihetsberövanden. Sådana uppgifter omfattas inte av de särskilda begränsningarna för behandling som framgår av artikel 10 i dataskyddsförordningen (prop. 2017/18:105 s. 98).

I dataskyddslagen finns en bestämmelse som förtydligar att personuppgifter som avses i artikel 10 får behandlas av myndigheter (3 kap. 8 § första stycket).

För att andra än myndigheter alls ska kunna behandla sådana personuppgifter om lagöverträdelser som framgår av artikel 10 måste detta tillåtas i unionsrätten eller nationell rätt, med fastställande av lämpliga skyddsåtgärder. Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling av sådana uppgifter för till exempel forskningsändamål är möjliga i nationell lagstiftning, precis som andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda. I dataskyddslagen anges att även andra än myndigheter får behandla personuppgifter som avses i artikel 10, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § andra stycket). Det har även förts in ett bemyndigande i dataskyddslagen med innebörd att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket). Det anges vidare att den myndighet som regeringen bestämmer även i enskilda fall får besluta att andra än myndigheter får behandla sådana uppgifter. Ett sådant beslut får förenas med villkor (3 kap. 9 § andra stycket).

11.2. Etikprövning ska vara en skyddsåtgärd vid behandling av personuppgifter om lagöverträdelser för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig skyddsåtgärd, fastställd i svensk rätt, som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det i forskningsdatalagen ska införas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel ska få behandlas av andra än myndigheter med stöd av artikel 10 i dataskyddsförordningen om behandlingen är nödvändig och har godkänts enligt etikprövningslagen. I andra stycket i den föreslagna bestämmelsen föreslår utredningen att det ska upplysas om att av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget.

Sveriges Kommuner och Landsting och Västra Götalands läns landsting instämmer i utredningens förslag och framhåller vikten av forskning med användande av personuppgifter om lagöverträdelser m.m., men också att sådan behandling alltid måste föregås av en prövning enligt etikprövningslagen. Kammarrätten i Stockholm anser att bestämmelsens begränsning till att endast avse andra än myndigheter kan ifrågasättas, även om det enligt artikel 10 i dataskyddsförordningen är nödvändigt med särskild reglering för att andra än myndigheter ska få behandla nämnda personuppgifter.

Statens medicinsk-etiska råd (Smer) anser att förtydligande behövs när det gäller formuleringen vid tillåtelse av behandling av personuppgifter om lagöverträdelser m.m. ”när denna är nödvändig för att uppnå forskningsändamålet”.

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till 12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i dataskyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt.

Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad innebär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvirring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikprövning.

Datainspektionen avstyrker utredningens förslag avseende 12 § andra stycket forskningsdatalagen eftersom bestämmelsen är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämnders beslut kan komma att uppfattas som den rättsliga regleringen av behandling av personuppgifter om lagöverträdelser trots att dataskyddsförordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Luleå kommun anser att förslaget om att utöka kravet på etikprövning till myndigheter samt att det ska gälla även friande domar m.m. är en lämplig skyddsåtgärd. Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling.

Skälen för regeringens bedömning

Andra än myndigheter ska få behandla sådana personuppgifter som avses i artikel 10 för forskningsändamål

Som framgått av avsnitt 11.1 anges i artikel 10 att myndigheter får behandla personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Detta gäller även behandling för forskningsändamål. För andra än myndigheter krävs att behandlingen är tillåten enligt unionsrätten eller nationell rätt. Här möjliggör alltså dataskyddsförordningen kompletterande

nationell lagstiftning. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder. Det är regeringens uppfattning att det finns behov av att kunna behandla personuppgifter om lagöverträdelser för forskningsändamål även för andra forskningsaktörer än myndigheter. Dataskyddsförordningens möjlighet till nationell reglering i det aktuella fallet bör därför utnyttjas när behandling är nödvändig för forskningsändamål.

Etikprövning är en lämplig skyddsåtgärd för såväl offentliga som privata forskningsutförare vid sådan behandling av uppgifter som avses i artikel 10

I avsnitt 10.3 har regeringen utvecklat skälen till varför regeringen anser att etikprövning enligt etikprövningslagen uppfyller kraven på lämplig och särskild skyddsåtgärd enligt dataskyddsförordningen när det gäller behandling av känsliga personuppgifter för forskningsändamål. Av motsvarande skäl anser regeringen att etikprövning är en lämplig skyddsåtgärd även vid behandling av sådana personuppgifter som avses i artikel 10. Krav på skyddsåtgärder vid personuppgiftsbehandling framgår vidare inte bara enligt artikel 10. Att sådana krav finns för all personuppgiftsbehandling för forskningsändamål framgår av artikel 89.1. Skäl 156 anger att sådana skyddsåtgärder bör införas i nationell rätt. Det är därför regeringens bedömning att det är förenligt med kravet på skyddsåtgärder i artikel 89.1 att låta även myndigheters behandling av personuppgifter om lagöverträdelser omfattas av kravet på etikprövning. Regeringen anser således att det ska framgå av nationell rätt att sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen.

Samma krav på etikprövning ska fortsätta gälla även för behandling av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden

Som framgått av redogörelsen ovan skiljer sig de kategorier av personuppgifter som avses i artikel 10 i dataskyddsförordningen något åt från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt PUL och etikprövningslagen. Att begränsa den nationella kompletterande regleringen till att avse sådana personuppgifter som avses i artikel 10 skulle innebära att behandlingar av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden, vilka i dag omfattas av kravet på etikprövning, inte kommer vara förenade med samma skydd framöver. Regeringen anser inte att en sådan försämring av den registrerades skydd är befogad, även med beaktande av intresset av en harmoniserad reglering av personuppgiftsskyddet. Regeringen anser vidare att det med stöd av artikel 89.1 i dataskyddsförordningen är möjligt att införa krav på sådana särskilda skyddsåtgärder även för behandling av vissa personuppgifter som faller utanför tillämpningsområdet för artikel 10. Artikel 89.1 kräver, som framgått, lämpliga skyddsåtgärder för behandling av personuppgifter för forskningsändamål generellt och det är regeringens bedömning att det är möjligt att fastställa sådana skyddsåtgärder i form av ett krav på godkännande vid etikprövning i nationell rätt med stöd av skäl 156. Genom att den definition som idag framgår av 3 § etikprövningslagen behålls,

bortsett från hänvisningen till 21 § PUL, kommer kravet på etikprövning av såväl de personuppgifter som avses i artikel 10 i dataskyddsförordningen, som de uppgifter som inte anges där, men idag omfattas av krav på etikprövning, att gälla även fortsättningsvis.

Behandling av personuppgifter om lagöverträdelser bör enligt utredningens bedömning omfattas av kravet på etikprövning oavsett vilken rättslig grund behandlingen baseras på, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf som upplyser om att övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av sådana personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Som nämnts i avsnitt 10.3 innehöll paragrafen tidigare en bestämmelse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop. 2007/08:50). Ändringen innebar att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Ett samtycke till behandlingen ersätter således inte kravet på etikprövning. Enligt regeringens uppfattning är därför bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen överflödig och bör inte införas.

Regeringen anser sammanfattningsvis att personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ska få behandlas för forskningsändamål om behandlingen är nödvändig för ändamålet och har godkänts enligt etikprövningslagen. Detta krav ska gälla oavsett om det är fråga om en offentlig eller privat forskningsutförare och oavsett med stöd av vilken rättslig grund i artikel 6.1 som behandlingen utförs. Som regeringen har anfört i avsnitt 7.2.2 anser regeringen att om ett forskningsprojekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Behövs det ytterligare reglering?

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering innebär att det i 2 § etikprövningslagen anges att med behandling av personuppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö-

vanden enligt 21 § PUL. Sådan forskning får bara utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Behandlingen av personuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad regeringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 § etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i artikel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § 1 etikprövningslagen till 13 § PUL ska ersättas av en hänvisning till motsvarande bestämmelser i dataskyddsförordningen samt att 3 § 2 etikprövningslagen endast ska anpassas på så vis att hänvisningen till 21 § PUL ska tas bort men uppräkningen av de kategorier av uppgifter om lagöverträdelser som omfattas av kravet på etikprövning ska finnas kvar. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att personuppgifter om lagöverträdelser får med stöd av artikel 10 i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen, får då närmast karaktären av en upplysningsbestämmelse, eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1. Regeringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

12. Det krävs följdändringar i bestämmelserna om etikprövningslagens tillämpningsområde

Regeringens förslag: Bestämmelsen i etikprövningslagen, som reglerar att behandling av personuppgifter avser sådan behandling av personuppgifter som anges i personuppgiftslagen, ska ersättas med en hänvisning till dataskyddsförordningen.

Etikprövningslagen ska tillämpas på forskning som innefattar behandling av:

1. personuppgifter som avslöjar ras eller etniskt ursprung, politiska

åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (känsliga personuppgifter), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i

brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: En majoritet av de remissinstanser som yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a.

landstingen i Västra Götalands läns landsting, Uppsala län,

Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Regionala etikprövningsnämnden i Göteborg och Sveriges läkarförbund.

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till 12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i dataskyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt.

Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad innebär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvirring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikprövning.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen av de remissinstanser som har yttrat sig har kommenterat förslaget specifikt.

Skälen för regeringens förslag:Etikprövningslagen ska enligt 3 § tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Med behandling av personuppgifter avses enligt 2 § etikprövningslagen sådan behandling som anges i 3 § PUL. Den sistnämnda hänvisningen bör tas bort och ersättas med en hänvisning till definitionen av behandling enligt artikel 4.2 i dataskyddsförordningen.

Som framgått av avsnitt 9.7 och 10 är dataskyddsförordningens definition av särskilda kategorier av personuppgifter (i 3 kap. 1 § dataskyddslagen benämnda känsliga personuppgifter), vidare än dataskyddsdirektivets och PUL:s definitioner. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Om godkänd etikprövning ska vara ett krav för att få behandla känsliga personuppgifter för forskningsändamål i enlighet med dataskyddsförordningens definition innebär det således ett visst utökat tillämpningsområde för etikprövningslagen till följd av den EU-rättsliga utvecklingen.

Som framgått av avsnitt 11 skiljer sig vidare de kategorier av personuppgifter som omfattas av artikel 10 i dataskyddsförordningen något från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt etikprövningslagen och den upphävda PUL. Som nämnts i avsnitt 11 är det regeringens bedömning att det som i praktiken skiljer definitionen i dataskyddsförordningen från den i PUL är att personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden omfattas av den upphävda PUL, men inte av artikel 10.

I avsnitt 10.3 har regeringen tagit ställning för att etikprövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga

personuppgifter enligt dataskyddsförordningens vidare definition, vid behandling för forskningsändamål. I avsnitt 11.2 har regeringen gjort motsvarande ställningstagande i fråga om sådana uppgifter om lagöverträdelser som motsvarar PUL:s definition. Med anledning härav föreslår regeringen att 3 § etikprövningslagen ändras i enlighet härmed och att hänvisningarna i den paragrafen till PUL tas bort.

Som påpekats i avsnitt 3 är regeringens avsikt med denna proposition att föreslå nödvändiga anpassningar till dataskyddsförordningen. De ställningstaganden som gjorts i avsnitt 10.3 och 11.2 i fråga om att etikprövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser vid behandling för forskningsändamål överensstämmer med utredningens bedömning. Utredningen bedömer samtidigt att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etikprövning av personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång. Den frågan behandlas inte i denna proposition. Fortsatt arbete med de aktuella författningarna kommer däremot att ske bl.a. i samband med beredningen av förslagen i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

13. Bör det föreskrivas undantag från vissa av de rättigheter som den registrerade har?

13.1. Dataskyddsförordningen möjliggör undantag från vissa rättigheter

Som har nämnts i avsnitt 4.6 har den registrerades rättigheter förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Det är bl.a. fråga om ökad rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling, rätt till dataportabilitet och rätt att göra invändningar (artiklarna 12–22). Det finns direkt tillämpliga undantag från vissa av dessa rättigheter och möjlighet att i nationell rätt göra undantag från vissa rättigheter i dataskyddsförordningen, enligt vad som beskrivs nedan.

När det gäller vissa av den registrerades rättigheter framgår undantag direkt av dataskyddsförordningen

Vilken information som ska lämnas till den registrerade när personuppgifterna inte har inhämtats från den registrerade regleras i artikel 14.1–4. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller

avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten.

Den rätt till radering som regleras i artikel 17.1 och 17.2 ska enligt artikel 17.3 d inte gälla i den utsträckning som behandlingen är nödvändig för bl.a. forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Rätten att göra invändning mot behandling av personuppgifter enligt artikel 21 gäller om behandlingen grundar sig på artikel 6.1 e eller f. Om personuppgifter behandlas för bl.a. forskningsändamål ska den registrerade enligt artikel 21.6 ha rätt att göra invändningar mot behandlingen avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Dataskyddsförordningen möjliggör även att det föreskrivs undantag från vissa av den registrerades rättigheter i nationell rätt

Det är möjligt att i nationell rätt göra undantag från den personuppgiftsansvariges skyldighet att lämna information till den registrerade när personuppgifterna inte har inhämtats från den registrerade. I artikel 14.5 c anges att punkterna i 14.1–4 inte ska tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Om personuppgifter behandlas för forskningsändamål får det enligt artikel 89.2 i unionslagstiftningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från de rättigheter som framgår av artikel 15 (rätten till tillgång), artikel 16 (rätten till rättelse), artikel 18 (rätten till begränsning av behandling) och artikel 21 (rätten att göra invändningar), med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag från dessa rättigheter får endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Vissa rättigheter gäller inte om den registrerade inte är möjlig att identifiera

En viktig och direkt tillämplig reglering i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det är vanligt att det saknas direkt identifierande uppgifter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss person behandlas.

Om den personuppgiftsansva-

rige kan visa att denne inte kan identifiera den registrerade ska artik-

larna 15–20 inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig

(artikel 11, jfr även

skäl 57).

Det är viktigt att upprätthålla integritetsskyddet i forskningen

Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter skyddas. Det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Nedan behandlas frågorna om undantag bör göras i nationell rätt från den personuppgiftsansvariges skyldighet enligt artikel 14 att tillhandahålla information till den registrerade när uppgifterna inte har erhållits från honom eller henne (avsnitt 13.2), från rätten till tillgång enligt artikel 15 (avsnitt 13.3), från rätten till rättelse enligt artikel 16 (avsnitt 13.4), från rätten enligt artikel 18 till begränsning av behandling (avsnitt 13.5) och från rätten enligt artikel 21 att göra invändningar (avsnitt 13.6).

13.2. Undantaget från informationsskyldigheten när personuppgifter lämnas ut för forskningsändamål följer direkt av dataskyddsförordningen och svensk rätt

Regeringens förslag: Bestämmelsen om utlämnande av personuppgifter i etikprövningslagen ska upphävas.

Regeringens bedömning: Rätten att ta del av allmänna handlingar och myndigheters skyldighet att lämna ut allmänna handlingar i enlighet med offentlighetsprincipen gäller oavsett för vilket ändamål utlämnandet sker. Rätten respektive skyldigheten gäller dock inte i den utsträckning handlingarna innehåller sekretessbelagda uppgifter.

Myndigheters skyldighet enligt offentlighets- och sekretesslagen att dels på begäran av en enskild lämna ut uppgifter ur en allmän handling, dels på begäran av en annan myndighet lämna ut uppgifter som myndigheten förfogar över, gäller också oavsett för vilket ändamål utlämnandet sker, under förutsättning att uppgifterna inte är sekretessbelagda eller det skulle hindra arbetets behöriga gång. Regleringen innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt i enlighet med artikel 14.5 c i EU:s dataskyddsförordning och att artikel 14.1–4 om den personuppgiftsansvariges informationsskyldighet inte behöver tillämpas i dessa fall. Någon särskild föreskrift behöver inte införas för att detta ska gälla vid myndigheters utlämnande av uppgifter för forskningsändamål. Någon upplysningsbestämmelse bör inte införas.

För andra personuppgiftsansvariga än myndigheter och sådana enskilda som jämställs med myndigheter vid tillämpningen av bestämmelserna om rätt att ta del av allmänna handlingar och offentlighets- och sekretesslagen, kan undantaget från informationsskyldigheten enligt artikel 14.5 b i dataskyddsförordningen vara tillämpligt.

Sådana villkor som kan uppställas i samband med godkännande enligt etikprövningslagen kan även fortsättningsvis avse information som ska lämnas till den registrerade vid personuppgiftsbehandling för forskningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att bestämmelsen i 12 § etikprövningslagen om att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt, överförs till forskningsdatalagen och omformuleras, så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a.

Regionala etikprövningsnämnden i Göteborg och Brottsförebyggande rådet.

Arbetsgivarverket ställer sig tveksamt till bestämmelsens utformning med anledning av att offentlighets- och sekretesslagen på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i offentlighets- och sekretesslagen, men att bestämmelsen i övrigt behålls oförändrad.

Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen. Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken går längre än artikel 14.5 b och inte räddas av de föreslagna skyddsåtgärderna i forskningsdatalagen eller en hänvisning till etikprövningen. Datainspektionen avstyrker förslaget i sin nuvarande utformning. Inspektionen anser dels att bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen, dels att utredningen inte har visat att de skyddsåtgärder som föreslås uppfyller det krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c.

Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.

Remissinstanserna: En majoritet av de som yttrat sig instämmer i förslaget och bedömningen eller har inga synpunkter. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet,

Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkeme-

delsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Kungl. Biblioteket och Riksarkivet.

Regionala etikprövningsnämnden i Umeå instämmer såväl i att bestämmelserna i OSL om rätten att ta del av allmänna handlingar och skyldigheten att lämna ut sådana får betraktas som sådana nationella bestämmelser som avses i artikel 14.5 c, som i att OSL:s och andra lagars bestämmelser om sekretess och tystnadsplikt får anses vara fastställda lämpliga åtgärder för att skydda den registrerades intressen. Etikprövningsnämnden anser dock att det borde finnas en hänvisning till OSL i den forskningsdatalag nämnden förordar ska införas och OSL:s betydelse för tillämpningen av artikel 14.

Pensionsmyndigheten ställer sig tveksam till att undantagsbestämmelsen i artikel 14.5 c ska ges en så extensiv tolkning. Pensionsmyndigheten noterar i sammanhanget att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet.

Luleå kommun anser att regeringen bör beakta Datainspektionens kritik gällande lämpliga skyddsåtgärder noggrannare. De förtydliganden regeringen gör i dessa delar är enligt Luleå kommuns uppfattning inte tillräckliga. Därtill bör tilläggas att offentlighetsprincipen får, även med beaktande av andra länders regleringar, i ett internationellt och europeiskt perspektiv anses vara en unik reglering. Detta medför att det skydd som följer av sekretess och tystnadsplikt, för att minska det integritetsintrång som offentlighetsprincipen kan leda till, inte kan anses uppfylla de krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c dataskyddsförordningen. Det får snarare anses vara en del av att följa den grundläggande dataskyddsstandard som följer av dataskyddsförordningen.

Stockholms universitet framför att eftersom TF och OSL uppfyller andra syften än dataskyddsförordningen (se exempelvis HFD 2015 ref. 57 och

HFD 2015 ref. 71) är det svårt att överblicka i vad mån syftet med artikel 14 kan uppnås genom allmänhetens tillgång till allmänna handlingar. I utkastet till lagrådsremissen förs inget resonemang om huruvida rätten till tillgång till allmänna handlingar i varje situation täcker in den rätt till information som den enskilde har rätt till enligt 14.1–4. Det är exempelvis av relevans huruvida de informationsbärande handlingarna vid varje tillfälle är upprättade eller inkomna till myndigheten. Stockholms universitet ställer sig frågande till möjligheten att stödja ett undantag från artikel 14.1–4 dataskyddsförordningen på en reglering som inte fullt ut täcker de rättigheter som artikeln avser att skydda.

Skälen för regeringens förslag och bedömning

Bestämmelsen i etikprövningslagen har sin grund i personuppgiftslagen

Det finns en bestämmelse i etikprövningslagen som reglerar utlämnande av personuppgifter. I den anges att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt (12 §). Enligt förarbetena till bestämmelsen ska den läsas mot bakgrund av 24 § i den numera upphävda PUL. Av den paragrafens första stycke framgick att om personuppgifter hade samlats in från någon annan källa än den registrerade, skulle den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registrerades. Om uppgifterna var avsedda att lämnas ut till tredje man, behövde informationen dock inte ges förrän uppgifterna lämnades ut för

första gången. Enligt andra stycket behövde emellertid sådan information inte lämnas, om det fanns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Bestämmelsen i 24 § andra stycket PUL baserades på artikel 11.2 i dataskyddsdirektivet. Av första punkten i artikel 11 framgick i huvudsak att om uppgifterna inte hade samlats in från den registrerade skulle medlemsstaterna föreskriva att den registeransvarige vid tiden för registrerandet eller senast när uppgifterna först lämnades ut skulle ge den registrerade information om bland annat den registeransvariges identitet, ändamålet med behandlingen, mottagare av uppgifterna och den registrerades rättigheter. I artikel 11.2 angavs att bestämmelserna i punkt 1 inte skulle gälla när det, särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål, visade sig omöjligt eller innebar en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrevs i författning. I sådana fall skulle medlemsstaterna föreskriva lämpliga skyddsåtgärder.

Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt genom 24 § PUL. För att en personuppgiftsansvarig inte skulle behöva beakta kravet på information till den registrerade enligt 24 § första stycket krävdes alltså att det fanns bestämmelser om registrering eller utlämnande av personuppgifter i en lag eller någon annan författning. Ursprungligen fanns det i 19 § tredje stycket PUL en bestämmelse om utlämnande av uppgifter för forsknings- och statistikändamål som syftade till att uppfylla kravet i 24 § andra stycket PUL. I samband med att etikprövningslagen infördes överfördes den del av bestämmelsen som avsåg utlämnande av personuppgifter för forskning till etikprövningslagen.

Det finns möjligheter till nationell reglering i dataskyddsförordningen

I artikel 14 i dataskyddsförordningen regleras information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade.

Av artikel 14.1 framgår bl.a. vilken slags information som den personuppgiftsansvarige ska förse den registrerade med samt att den registrerade ska informeras om ändamålen med behandlingen, vilken rättslig grund behandlingen har och vilka mottagare som eventuellt ska ta del av uppgifterna. Av artikel 14.2 framgår bland annat vilken information, utöver den som avses i artikel 14.1, som den personuppgiftsansvarige ska lämna till den registrerade för att säkerställa en rättvis och transparent behandling. Artikel 14.3 anger vissa tidsangivelser för när informationen enligt de föregående punkterna ska lämnas och artikel 14.4 rör information vid ytterligare behandling av personuppgifterna för ett annat syfte än det för vilket uppgifterna samlades in.

Artikel 14.5 anger slutligen under vilka förutsättningar artikel 14.1–4 inte behöver tillämpas. Enligt artikel 14.5 c gäller detta om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Det behöver tydliggöras hur undantaget från informationsskyldigheten blir tillämpligt

Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över regeringens lagförslag. När det gäller den bestämmelse som sedan blev 12 § etikprövningslagen var Lagrådets uppfattning att det var svårt att se att bestämmelsen hade den innebörden att den forskare som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut personuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering, som enligt 24 § andra stycket PUL medförde att information enligt 24 § första stycket PUL inte behövde lämnas ut, borde bestämmelsen utformas så att detta klart framgick. Lagrådets förslag var att en sådan bestämmelse placerades som inledande paragraf under rubriken ”Information och samtycke” enligt följande lydelse: ”Vid forskning som avses i 3 § behöver 24 § PUL (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade.” Regeringen följde dock inte Lagrådets förslag med motiveringen att det enligt EG-direktivet krävdes att utlämnande föreskrevs uttryckligen i författning, varför regeringen föreslog en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt regeringens uppfattning fick risken för missförstånd bedömas som liten. Lagrådets föreslagna alternativa skrivning ansåg regeringen vara mindre väl förenlig med EG-direktivet, eftersom något utlämnande då inte skulle föreskrivas i författning utan det bara skulle vara fråga om ett undantag från informationsskyldigheten (prop. 2002/03:50 s.175 f.).

Forskningsdatautredningen har föreslagit att bestämmelsen om utlämnande av personuppgifter i 12 § etikprövningslagen överförs till den föreslagna forskningsdatalagen och omformuleras, så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade. Datainspektionen anser att den föreslagna bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen. Datainspektionen anser bl.a. att bestämmelsen inte innehåller något uttryckligt förordnande och inte uppfyller kraven på tydlighet, precisering och förutsägbarhet samt proportionalitet.

Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen och Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken enligt etikprövningsnämnden går längre än artikel 14.5 b och inte räddas av de föreslagna 8–10 §§ forskningsdatalagen eller en hänvisning till etikprövningen. Regeringen delar i huvudsak dessa uppfattningar av följande skäl.

Kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter innebär antingen en rätt att få uppgifter eller en uppgiftsskyldighet

Enligt artikel 14.5 c ska artikel 14.1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Forskning är i dataskyddsförordningen ett priviligierat ändamål för behandling av personuppgifter. Det framgår av artikel 5.1 b att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta är en grundläggande princip i såväl dataskyddsdirektivet som dataskyddsförordningen (finalitetsprincipen). Trots detta görs det ett generellt undantag från denna princip bl.a. för forskning. I artikel 5.1 b andra meningen anges nämligen att ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 inte ska anses vara oförenligt med de ursprungliga ändamålen. Den möjlighet att göra undantag från bestämmelserna i artikel 14.1–4 som föreskrivs i artikel 14.5 c är en generell möjlighet till undantag, så till vida att den gäller oavsett ändamål. Det behöver således inte vara fråga om ett sådant priviligierat ändamål som forskning.

Att dataskyddsförordningen blir direkt tillämplig som lag i svensk rätt och därmed inte ska implementeras utgör en avgörande skillnad mot dataskyddsdirektivet. Enligt regeringens mening kan kravet i artikel 14.5 på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter i nationell rätt inte tolkas på annat sätt än som ett krav på föreskrifter om en rätt att få uppgifter eller föreskrifter om en uppgiftsskyldighet. Att, som utredningen föreslagit, föreskriva att personuppgifter får lämnas ut för att behandlas för forskningsändamål är snarare att anse som en upplysning om finalitetsprincipen och undantaget för forskningsändamål, enligt vad som beskrivits ovan. Det krävs således, enligt regeringens uppfattning, en tydligare uppgiftsskyldighet för att undantaget från informationsskyldigheten i artikel 14.5 c ska bli tillämpligt. Utredningens förslag uppfyller därmed enligt regeringens uppfattning inte kraven enligt dataskyddsförordningen.

För myndigheter finns uttryckliga föreskrifter om rätt att ta del av allmänna handlingar och om skyldighet att lämna ut uppgifter Arbetsgivarverket ställer sig tveksamt till utformningen av den bestämmelse som utredningen har föreslagit med anledning av att offentlighets- och sekretesslagen (2009:400, OSL) på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i

OSL, men att bestämmelsen i övrigt behålls oförändrad. Regionala etikprövningsnämnden i Umeå anser att det borde finnas en hänvisning till OSL i den forskningsdatalag som nämnden förordar införs.

Av OSL framgår att en myndighet dels på begäran av en enskild ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av

en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetets behöriga gång.

Den förstnämnda bestämmelsen kompletterar bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. 1 § tryckfrihetsförordningen (TF). Sistnämnda rätt gäller i den utsträckning uppgifter i de allmänna handlingarna inte är sekretessbelagda (2 kap. 2 § TF och 1 kap. 1 § och 3 kap. 1 § OSL). Av TF framgår dessutom ett skyndsamhetskrav, som innebär att myndigheten ska behandla en begäran att få ut uppgifter skyndsamt, samt en möjlighet att överklaga ett beslut om avslag på begäran om utlämnande (2 kap. 12 och 15 §§ TF). Rätten att ta del av uppgifter ur allmänna handlingar enligt 6 kap. 4 § OSL är inte lika långtgående som rätten att ta del av allmänna handlingar enligt TF då den, förutom att den i likhet med rätten att ta del av allmänna handlingar inte omfattar sekretessbelagda uppgifter, dels är begränsad av ett villkor om att ett utlämnande inte behöver ske i den utsträckning det stör arbetets behöriga gång, dels inte är förenad med en överklagandemöjlighet. När det gäller den gemensamma begränsningen att såväl rätten att ta del av allmänna handlingar som bestämmelsen om myndigheters uppgiftsskyldighet i 6 kap. 4 § OSL inte gäller sekretessbelagda uppgifter kan konstateras att OSL är en ca 100 sidor lång lag som innehåller väl genomtänkta sekretessbestämmelser. Kap. 21–40 OSL innehåller bestämmelser om sekretess till skydd för enskildas personliga eller ekonomiska förhållanden som gäller i olika delar av den offentliga sektorn. Såväl föreskrifterna om rätt att ta del av allmänna handlingar och myndigheternas skyldighet att lämna ut uppgifter ur allmänna handlingar får anses uppfylla kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter som avses i artikel 14.5 c dataskyddsförordningen. Som regeringen återkommer till nedan får de föreskrivna begränsningarna som innebär att uppgifter inte får lämnas ut om de är sekretessbelagda anses vara sådana föreskrifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Offentlighetsprincipens centrala betydelse framgår även uttryckligen i dataskyddsförordningen. Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

Som nämnts ovan är myndigheter enligt 6 kap. 5 § OSL även skyldiga att på begäran av en annan myndighet lämna uppgifter som den förfogar över under vissa förutsättningar. Uppgiftsskyldigheten mellan myndigheter kan ses som en precisering av den allmänna samverkansskyldighet som gäller enligt 8 § förvaltningslagen (2017:900). Skyldigheten är mer vidsträckt än skyldigheten gentemot allmänheten då den omfattar varje uppgift som myndigheten förfogar över, inte bara uppgifter ur allmänna handlingar. Skyldigheten är dock inte undantagslös då den inte omfattar sekretessbelagda uppgifter och inte heller gäller i den utsträckning hinder föreligger på grund av arbetets behöriga gång. Även denna bestämmelse får anses uppfylla kravet i artikel 14.5 c dataskyddsförordningen på en

uttrycklig föreskrift om utlämnande av uppgifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Vad som har sagts ovan gäller också för de enskilda organ som enligt 2 kap. 2–5 §§ OSL jämställs med myndigheter dels vid tillämpning av TF:s bestämmelser om rätt att ta del av allmänna handlingar, dels vid tillämpning av bestämmelserna i OSL. Det är bl.a. fråga om aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande samt sådana enskilda organ som anges i bilagan till OSL, när det gäller handlingar i den verksamhet som anges i bilagan. Ett skäl till att ett enskilt organ blir infört i bilagan i fråga om hela eller delar av organets verksamhet är att organet med stöd i lag har fått i uppgift att fullgöra en förvaltningsuppgift som innefattar myndighetsutövning, t.ex. fördelning av statsbidrag, eller att det enskilda organets verksamhet finansieras med allmänna medel. Som exempel på enskilda organ som har förts in i bilagan till OSL kan nämnas Chalmers tekniska högskola aktiebolag och Hälsohögskolan i Jönköping AB (all verksamhet), Familjemedicinska institutet i Sverige, ideell förening (all verksamhet), och Stiftelsen för kunskaps- och kompetensutveckling (all verksamhet). I samband med att ett enskilt organ förs in i bilagan görs en bedömning av om sekretessregleringen behöver justeras med anledning av detta.

Som framgått ovan är det regeringens uppfattning att bestämmelserna om rätten att ta del av allmänna handlingar och uppgiftsskyldigheterna i 6 kap. 4 och 5 §§ OSL utgör sådana nationella föreskrifter om erhållande eller utlämnande av uppgifter som uppfyller de krav som uppställs i artikel 14.5 c i dataskyddsförordningen. Ett utlämnande enligt dessa föreskrifter innebär därmed att informationsskyldigheten enligt artikel 14.1–4 inte blir aktuell. Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål. Någon särskild reglering av utlämnande av uppgifter för forskningsändamål behövs därför inte när det gäller uppgifter hos myndigheter och enskilda som jämställs med myndigheter. Regeringen instämmer således i Arbetsgivarverkets invändning med den skillnaden att regeringen anser att det inte heller behöver införas någon hänvisning till OSL i nationell rätt. Regeringen anser inte heller att det i nationell rätt behöver anges att artikel 14.1–4 i dataskyddsförordningen inte blir tillämplig i nu aktuella fall då det följer direkt av artikel 14.5 c.

För andra än utlämnande myndigheter och enskilda som jämställs med myndigheter finns vissa möjligheter till undantag enligt artikel 14.5 b

När ett utlämnande av uppgifter för forskningsändamål ska göras av något annat organ än en myndighet finns det andra bestämmelser än artikel 14.5 c som kan bli tillämpliga i enskilda fall. I artikel 14.5 b finns bestämmelser som anger att bestämmelserna om informationsskyldigheten i artikel 14.1– 4 inte ska tillämpas under vissa förutsättningar. Detta gäller i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål, eller i den mån den skyldighet som avses i artikel 14.1 sannolikt kommer att göra det omöjligt eller avsevärt försvårar upp-

fyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. Som nämns nedan kan bl.a. bestämmelser om tystnadsplikt utgöra sådana lämpliga skyddsåtgärder.

Närmare om sekretess och tystnadsplikt som skyddsåtgärder

Som nämnts ovan gör regeringen, i likhet med utredningen, bedömningen att bestämmelser om sekretess och tystnadsplikt utgör lämpliga skyddsåtgärder. Bestämmelser om sekretess finns i OSL och bestämmelser om tystnadsplikt för enskilda finns i en mängd lagar, t.ex. i patientsäkerhetslagen (2010:659), socialtjänstlagen (2001:453), skollagen (2010:800) och lagen (2003:389) om elektronisk kommunikation.

OSL är som nämnts tidigare ett omfattande regelverk. Lagen innehåller 44 kapitel och 20 av dessa innehåller bestämmelser till skydd för enskildas personliga eller ekonomiska förhållanden. Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt.

Forskare begär ofta ut uppgifter som omfattas av den s.k. statistiksekretessen enligt 24 kap. 8 § OSL. Detta är en av få bestämmelser som stadgar absolut sekretess. Sekretess gäller enligt bestämmelsen för sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Dessutom gäller motsvarande sekretess i annan jämförbar undersökning i en mängd andra statliga aktörers verksamhet (24 kap. 8 § andra stycket OSL och 7 § offentlighets- och sekretessförordningen [2009:641], OSF). Enligt dessa bestämmelser får dock uppgifter som behövs för forsknings- eller statistikändamål lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. För att detta rekvisit ska vara uppfyllt lämnas personuppgifter ofta ut för forskningsändamål i pseudonymiserad form, vilket i sig utgör ett starkt integritetsskydd.

Av 11 kap. 3 § OSL framgår vidare att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.

Om en enskild forskare begär ut uppgifter kan uppgifter ofta lämnas ut med stöd av ett särskilt förbehåll enligt 14 kap. 3 § OSL. I den paragrafen anges att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Den tystnadsplikt som uppkommer genom ett sådant förbehåll inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § TF och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen (13 kap. 5 § andra stycket OSL).

I 14 kap. 2 § OSL upplyses om att det i brottsbalken finns bestämmelser om ansvar för den som bryter mot förbud enligt OSL att röja eller utnyttja

uppgift och för den som bryter mot förbehåll som har gjorts med stöd av lagen vid utlämnande av uppgift. I 20 kap. 3 § brottsbalken anges att om någon röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller utnyttjar han olovligen sådan hemlighet, döms han eller hon, om inte gärningen är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Den som av oaktsamhet begår sådan gärning döms till böter. I ringa fall skall dock ej dömas till ansvar. Detta straffstadgande gäller även vid brott mot tystnadsplikt i enskild verksamhet enligt andra författningar än OSL.

Regeringen anser således, till skillnad från Datainspektionen och Luleå kommun, att regler om sekretess och tystnadsplikt innefattar ett starkt integritetsskydd och därmed är en sådan lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c. Regeringen delar vidare inte Stockholms universitets uppfattning att rätten till tillgång till allmänna handlingar i varje situation måste täcka in den rätt till information som den enskilde har rätt till enligt 14.1-4 för att undantaget i artikel 14.5 ska vara tillämpligt.

Vid godkännande enligt etikprövningslagen är det möjligt att ställa upp villkor om information till den registrerade

Att personuppgifter kan lämnas ut för att behandlas för forskningsändamål utan att artikel 14.1–4 i dataskyddsförordningen behöver tillämpas är ett undantag från informationsskyldigheten som tar sikte på den behandling som sker i samband med själva utlämnandet av personuppgifterna. Utredningen har föreslagit att det ska framgå av lagtexten att detta undantag inte ska hindra etikprövningsnämnderna från att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbehandling för forskningsändamål. Ett sådant villkor syftar således på den personuppgiftsansvariges skyldigheter i samband med den behandling som ska ske efter ett etikgodkännande. De två föreslagna bestämmelserna riktar sig alltså till två olika mottagare, dels den som ska lämna ut uppgifterna, dels etikprövningsnämnderna. Om etikprövningsnämnderna uppställer ett sådant villkor är det utredningens bedömning att det är fråga om en skyddsåtgärd för den registrerade.

Pensionsmyndigheten, som ställer sig tveksam till den tolkning som gjorts av undantagsbestämmelsen i artikel 14.5 c ovan, noterar att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet. Det är korrekt att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter. Undantaget i artikel 14.5 c tar dock uttryckligen sikte på såväl föreskrifter om erhållande som utlämnande av uppgifter. Även den utlämnande myndigheten kan ha fått uppgifterna från annat håll än den registrerade. Vidare har forskningsutföraren rätt att ta del av allmänna handlingar respektive uppgifter i allmänna handlingar enligt TF och OSL, dvs. det är fråga om föreskrifter om erhållande av uppgifter. Enligt artikel 14.5 c ”ska” punkterna 1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en

medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Frågan är då om det är möjligt för etikprövningsnämnderna att uppställa villkor om information till den registrerade i samband med ett godkännande enligt 6 § etikprövningslagen eller om artikel 14.5 c utgör ett hinder för uppställandet av ett sådant villkor? Regeringen, som delar utredningens uppfattning att ett sådant villkor utgör en skyddsåtgärd för den registrerade, anser att det är möjligt för etikprövningsnämnderna att uppställa ett sådant villkor om de bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1. Regeringen anser därför att något förtydligande om att etikprövningsnämnderna är oförhindrad att i att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbehandling för forskningsändamålet inte bör införas i svensk rätt.

Sammanfattande bedömning

Det är sammanfattningsvis regeringens uppfattning att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmelser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Regeringen gör vidare bedömningen att en etikprövningsnämnd har möjlighet att i samband med ett etikgodkännande uppställa villkor om lämnande av information till den registrerade om nämnden bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1.

13.3. Bör det föreskrivas undantag från rätten till tillgång?

13.3.1. Om innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör denne håller på att behandlas och i så fall få tillgång till personuppgifterna samt information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en ”rätt till tillgång”. Motsvarande rättighet i dataskyddsdirektivet och PUL har benämnts som en rätt till registerutdrag.

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska bekräfta om personuppgifter behandlas och i så fall förse denne med en kopia av uppgifterna, samt viss angiven information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat och detta inte inverkar menligt på andras rättigheter och friheter. Rättigheten bör kunna utövas av den registrerade med rimliga intervall.

Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess upprepade art, får den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska kunna visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5).

En motsvarande rättighet reglerades i artikel 12 i dataskyddsdirektivet och genomfördes genom 26 § PUL. Dataskyddsförordningens reglering innebär, i jämförelse med dessa bestämmelser, en utökad rätt till information om följande: lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya i förhållande till nuvarande reglering.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3).

Någon motsvarande angiven tidsgräns fanns inte angiven i dataskyddsdirektivet, som endast angav att informationen skulle ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § PUL angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

13.3.2. Det bör inte föreskrivas undantag från rätten till tillgång

Regeringens bedömning: Något undantag från den registrerades rätt till tillgång enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning.

Vetenskapsrådet delar inte utredningens uppfattning att den registrerades rätt till tillgång alltid bör respekteras när forskaren inte har uppgift om forskningspersonens identitet men kan identifiera denne med hjälp av kompletterande information som forskningspersonen själv lämnar. I många forskningsprojekt, särskilt i de som bygger på registerbaserad information, saknar den som utför forskningen uppgift om vilka forskningspersonerna är. Vetenskapsrådet anser att detta är en del av det integritetsskydd som finns för forskningspersonerna och är av betydelse för att forsk-

ningen ska kunna utföras på ett objektivt och opartiskt sätt. Vetenskapsrådet saknar en analys av vad möjligheten till registerutdrag i dessa situationer får för konsekvenser för forskningsutföraren, för den forskningsperson som vill få tillgång till uppgifterna och för de övriga forskningspersoner som kan komma att behöva identifieras för att ge den som efterfrågar det tillgång. Vetenskapsrådet saknar en djupare analys av varför utredningen föreslår att möjligheten till undantag från rätten till tillgång inte ska utnyttjas.

Göteborgs universitet har anfört att utredningens tolkning, att den personuppgiftsansvarige skulle kunna neka den registrerade tillgång i de fall som uppgifterna är pseudonymiserade, strider mot den gängse tolkningen där uppgifter fortsatt utgör personuppgifter så länge som det är möjligt att koppla en person till en uppgift. Göteborgs universitet konstaterar att pseudonymisering innebär att det de facto med hjälp av en kodnyckel är möjligt att koppla ihop individ till uppgift. Kodnyckeln kan förvaras såväl hos den personuppgiftsansvarige som hos någon annan. Oavsett detta förändras inte statusen avseende uppgifterna och uppgifterna utgör fortsatt personuppgifter. Forskningsaktören kan alltid, i de fall som kodnyckeln är förvarad hos annan offentlig forskningsaktör, begära tillgång till specifik kodnyckel med hänvisning till offentlighetsprincipen. Om det efter sekretessprövning skulle visa sig att det saknas stöd för ett nekande i utlämnandefrågan ska kodnyckeln skyndsamt lämnas ut i enlighet med gängse regler. Det finns således långtgående rättsliga möjligheter för forskningsaktören att ges tillgång till kodnyckeln. Detta lämnar utrymme för frågor i vad mån den registrerade vid en förfrågan om rätt till tillgång (registerutdrag) kan ställa krav på att forskningsaktören ska vidta de beskrivna åtgärderna för att tillmötesgå den registrerade i fråga om rätt till tillgång. I de fall som kodnyckeln är förvarad av forskningsaktören själv, finner universitetet, att det i realiteten inte finns något hinder för identifiering av den registrerade i fråga om rätt till tillgång.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Statistiska centralbyrån rekommenderar att de resonemang som förs kring rätten till tillgång avseende pseudonymiserade uppgifter i de fall kodnyckel finns bevarad hos den personuppgiftsansvarige förtydligas då avsnittet är svårtolkat.

Läkemedelsindustriföreningen (LIF) håller med om att det kan tänkas inverka negativt på klinisk forskning eller den registrerade, om den registrerade kan få tillgång till de uppgifter som behandlas. LIF anser dock att lagstiftaren borde tydliggöra att all utlämning av information till den registrerade bör vara undantagen från informationsrätten vid klinisk forskning eftersom sådan utlämning alltid riskerar integriteten i studien (och därmed dess vetenskapliga värde). En personuppgiftsansvarig kan visserligen motsätta sig utlämning med hänvisning till att denne inte känner till vilka personuppgifter som härrör till den registrerade eftersom uppgifterna i en klinisk läkemedelsprövning alltid är kodade (se artikel 11.2 i GDPR), men vad händer om den registrerade först vänder sig till behandlande läkare och begär att få ut kodnyckeln och sedan till läkemedelsföretaget med tillhandahållande av kodnyckeln och begär att få ut sina uppgifter, undrar

LIF.

Skälen för regeringens bedömning: Rätten till tillgång gäller inte om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade, eller på annat sätt kodade, uppgifter. Pseudonymisering är, som framgår av avsnitt 9, en central skyddsåtgärd vid personuppgiftsbehandling för forskningsändamål. I många fall när den personuppgiftsansvarige behandlar personuppgifter för forskningsändamål och inte kan identifiera den registrerade för att kunna lämna ett registerutdrag kommer denne således inte heller att vara skyldig att göra det, i enlighet med den direkt tillämpliga artikel 11. Vetenskapsrådet och Göteborgs universitet har som skäl för ett undantag från rätten till tillgång anfört att den personuppgiftsansvarige har långtgående möjligheter att identifiera den registrerade även om uppgifterna är pseudonymiserade eftersom kodnyckeln finns kvar. Kodnyckeln kan förvaras såväl hos forskningshuvudmannen som hos annan aktör, t.ex. en registerhållande myndighet. I båda fallen krävs dock att kodnyckeln förvaras separerat från de pseudonymiserade personuppgifterna.

Av artikel 11 i förordningen framgår att om de personuppgifter som behandlas av den personuppgiftsansvarige inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige ska därmed inte vara skyldig att inhämta ytterligare uppgifter för att identifiera den registrerade utöver de pseudonymiserade uppgifter som behandlas. I de fall kodnyckeln finns hos den personuppgiftsansvarige blir det dock inte fråga om ett behov av att inhämta ytterligare information, även om uppgifterna hålls separerade. I ett sådant fall har den personuppgiftsansvarige den information som behövs för att kunna identifiera den registrerade och kan tillgodose den registrerades rätt till tillgång. Det är regeringens uppfattning att det i dessa fall inte finns något behov av att göra undantag från rätten till tillgång.

I andra situationer, där den personuppgiftsansvarige kan identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sin rättighet, gör regeringen, till skillnad från Vetenskapsrådet, bedömningen att denna rättighet kan och bör respekteras. Ett utövande av rättigheten kan i dessa situationer inte anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och därmed motivera ett undantag enligt kraven i artikel 89.2. Det är också regeringens uppfattning att rätten till tillgång är en viktig central rättighet som ger den registrerade kontroll över sina uppgifter och att den därför bör respekteras.

I samband med t.ex. klinisk forskning kan det dock tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få tillgång till de uppgifter som behandlas, vilket också framhålls av

Läkemedelsindustriföreningen. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om med anledning av pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter omfattas som regel av sekretess med stöd av 25 kap. OSL. Den

enskilde har t.ex. i motsvarande situation i samband med sjukvård inte alltid en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL). Får en myndighet i sin forskningsverksamhet en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos forskningsutföraren (11 kap. 3 § OSL). Att det enligt 18 kap. 9 § OSL kan gälla sekretess för t.ex. en kodnyckel om den används för att pseudonymisera sekretessbelagda uppgifter har vidare redovisats i avsnitt 9.4.

I dataskyddslagen finns ett undantag från rätten till tillgång enligt artikel 15 som är tillämpligt i dessa fall. Enligt 5 kap. 1 § dataskyddslagen ska artiklarna 13–15 inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.

Dataskyddslagens bestämmelser är tillämpliga även vid personuppgiftsbehandling för forskningsändamål om inget annat framgår av annan författning. Detta innebär att i de fall sekretess gäller kommer undantagsbestämmelsen enligt dataskyddslagen att vara tillämplig även vid behandling för forskningsändamål och skyldigheten att ge den registrerade tillgång till information begränsas därmed. Något särskilt undantag för personuppgiftsbehandling för forskningsändamål behövs därför inte i detta sammanhang. Till skillnad från Läkemedelsindustriföreningen anser regeringen att detta gäller även vid klinisk forskning.

Regeringen anser sammanfattningsvis att något undantag från rätten till tillgång vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt utan att det generella undantag som finns i 5 kap. 1 § dataskyddslagen är tillräckligt.

13.4. Bör det föreskrivas undantag från rätten till rättelse?

13.4.1. Om innehållet i rättigheten

Vid all behandling av personuppgifter ska uppgifterna vara riktiga och, om nödvändigt, uppdaterade (artikel 5.1 d i dataskyddsförordningen). Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter som rör denne rättade utan onödigt dröjsmål samt att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande utlåtande (rätten till rättelse).

Även enligt dataskyddsdirektivet (artikel 6.1 d) och PUL (9 § g) krävdes att de personuppgifter som behandlades var riktiga och, om det var nödvändigt, aktuella. Det fanns även en rätt till rättelse i artikel 12 b i dataskyddsdirektivet, vilken genomfördes i PUL. Enligt denna reglering var den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med PUL eller föreskrifter som utfärdats med stöd av

PUL (28 §). Den nämnda rätten enligt dataskyddsförordningen för den registrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är således ny i förhållande till tidigare reglering.

Den tidigare rätten i 28 § PUL att utplåna uppgifter motsvaras i dataskyddsförordningen av rätten till radering av uppgifter (rätten att bli bortglömd) i artikel 17 dataskyddsförordningen. Den tidigare rätten i 28 § PUL att blockera uppgifter motsvaras i dataskyddsförordningen av rätten till begränsning av behandling i artikel 18 dataskyddsförordningen. Frågan om sistnämnda rätt ska begränsas behandlas i avsnitt 13.5.

13.4.2. Det bör inte föreskrivas undantag från rätten till rättelse

Regeringens bedömning: Något undantag från den registrerades rätt till rättelse enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att den registrerades rätt till rättelse inte ska gälla för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Bland dessa återfinns Vinnova, Kungl. Vetenskapsakademien och Sveriges Kommuner och

Landsting.

Riksarkivet ser positivt på förslaget om undantag från rätten till rättelse för personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning. För att tydliggöra skillnaden mellan regleringen i dataskyddsförordningen och den arkivrättsliga regleringen föreslår Riksarkivet att termen bevaras i förslaget till forskningsdatalag ersätts med behandlas.

Stockholms universitet instämmer i utredningens förslag, men noterar samtidigt att det kommer att kräva en infrastruktur för lagring av data som möjliggör verifiering vid olika tidpunkter som flertalet lärosäten inte äger i dagsläget. Universitetet anser att kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag. Stockholms universitet noterar vidare att motsvarande diskussion av rätten att bli raderad saknas i betänkandet. Det framstår dock som uppenbart att även rätten att bli raderad måste sättas i relation till behovet av att kunna verifiera forskningsresultat och att bevara material i syfte att uppnå nya, framtida forskningsresultat. Universitetet föreslår därför att sådana behov tydligt ska framhållas av lagstiftaren i förarbetena till och innehållet i den nationella lagstiftningen.

Pensionsmyndigheten har inte funnit anledning att avstyrka utredningens förslag men anser att följande kan beaktas under den fortsatta beredningen. När det gäller rätten till rättelse noterar Pensionsmyndigheten att det följer redan av artikel 5 i förordningen att den personuppgiftsansvarige ska se till att personuppgifter som behandlas är korrekta och, om nöd-

vändigt, uppdaterade. Förordningen lämnar inte något utrymme för nationella undantag från principen om korrekthet, varför ett undantag från artikel 16 inte fråntar den personuppgiftsansvarige ansvaret för att vidta åtgärder för att se till att felaktiga uppgifter rättas eller raderas. Pensionsmyndigheten anser således att det föreslagna undantaget i praktiken kan antas få liten eller ingen betydelse för de personuppgiftsansvariga.

Göteborgs universitet konstaterar att den aktuella lagstiftningen är subsidiär till arkivlagstiftningen vilket innebär att en sådan regel måste anses vara överflödig. Kungl. Tekniska högskolan (KTH) anser att formuleringen ”… dokumentera utförd forskning” är något missvisande. Även om intentionen är att inte göra någon åtskillnad mellan privat- och offentlig sektor, bör ett förtydligande göras att detta inte gäller för myndigheter. De typfall som utredningen beskriver avser när ett forskningsprojekt är avslutad. För en forskningsaktör inom den offentliga sektorn kan handlingarna bli arkiverade.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till förslaget om att den registrerades rätt till rättelse av personuppgifter begränsas i den föreslagna forskningsdatalagen. Den registrerades intressen i nämnda avseenden bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Datainspektionen avstyrker de förslag som rör undantag från de registrerades rättigheter. Utredningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registrerade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Karolinska institutet noterar att effekten av regeringens bedömning att det inte bör föreskrivas något undantag från den registrerades rätt till rättelse vid behandling av personuppgifter för forskningsändamål är att det kommer att krävas att forskningsutföraren inför en rutin som säkerställer arkivering av data så snart en forskningsstudie används som underlag för en publikation. Karolinska institutet noterar vidare, i likhet med Stockholms universitet, att det kommer att behövas en infrastruktur för arkivering av data som möjliggör versionskontrollhantering och spårning av ändringar. Detta är något som flertalet lärosäten inte äger i dagsläget. Regeringen bör överväga om ett uppdrag ska ges till någon myndighet i syfte att underlätta övergång till datahantering i en sådan infrastruktur, t.ex. genom instruktioner till de myndigheter som berörs.

Stockholms universitet framhåller att i förslaget saknas regler som fastställer undantag från artikel 16 om registrerades rätt till rättelse. En sådan regel är obehövlig enligt regeringen, eftersom de registrerade ändå inte har rätt till rättelse vad gäller arkiverade forskningsdata, till följd av undantaget för arkiv (s. 107). Möjligheten till undantag från artikel 16 i förordningen är dock vidare än så och omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan inverka menligt på

förutsättningarna att bedriva forskning och forskarnas möjlighet att förfoga över sitt material. Frågan aktualiseras såväl vid kvantitativ forskning med stora datamängder som vid kvalitativ forskning, där förändringar i enskilda uppgifter kan spela stor roll. I synnerhet gäller detta om begäran om rättelse inkommer i ett skede då delar av analysen redan utförts. Stockholms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

Skälen för regeringens bedömning: Om personuppgifter behandlas för forskningsändamål får det, som framgått, enligt artikel 89.2 i dataskyddsförordningen föreskrivas undantag från rätten till rättelse. Detta får emellertid bara göras i den utsträckning som en sådan rättighet sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådana undantag krävs för att uppnå forskningsändamålet.

Utredningens argument för det föreslagna undantaget är att uppgifter som har behandlats för forskningsändamål och endast bevaras i syfte att dokumentera utförd forskning ska undantas från rätten till rättelse för att möjliggöra verifiering av forskningsresultat i arkiverat forskningsmaterial. Personuppgifter som löpande lagras och behandlas för forskningsändamål ska enligt utredningen inte omfattas av undantaget. Det är regeringens uppfattning att granskning av utförd forskning och bevarande av arkiverat forskningsmaterial inte innefattas i personuppgiftsbehandling för forskningsändamål så som avsetts i dataskyddsförordningen. Regeringen anser, i likhet med Göteborgs universitet och KTH, att den behandling av personuppgifter som åsyftas i utredningens förslag snarare är för arkivändamål. Behandling av personuppgifter för arkivändamål av allmänt intresse och de krav som finns i svensk rätt på bevarande för att tillgodose bl.a. forskningens behov, samt regeringens bedömningar och förslag i detta sammanhang, behandlas närmare i propositionen Ny dataskyddslag (prop. 2017/18:105).

När det gäller Stockholms universitets synpunkt att motsvarande diskussion kring begränsning av rätten att bli raderad saknas i betänkandet kan regeringen konstatera att det följer av artikel 89.2 att det inte föreligger någon möjlighet att begränsa den registrerades rätt att blir raderad vid behandling av personuppgifter för forskningsändamål i nationell rätt, utöver vad som redan framgår av det direkt tillämpliga undantaget i artikel 17.3 d, dvs. rätten att bli raderad ska inte gälla i den utsträckning som behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

När det gäller den bedömning som har gjorts i det remitterade utkastet till lagrådsremiss påpekar Stockholms universitet att rätten till rättelse omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan enligt Stockholms universitet inverka menligt på förutsättningarna att bedriva forskning och forskarnas möjlighet att förfoga över sitt material. Stockholms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

Som Pensionsmyndigheten påpekar gäller enligt artikel 5 i dataskyddsförordningen som en grundläggande princip för behandling av personuppgifter att uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Den personuppgiftsansvarige har ett ansvar enligt artikeln att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Denna princip måste följas även av forskningsutförare och under pågående forskning. Den gäller alltså uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas. Det ligger i forskningens intresse att den baseras på uppgifter som är riktiga för att de resultat som den resulterar i ska bli rättvisande och rätt slutsatser kunna dras. I vissa fall är t.ex. avsikten med en behandling att registrera uppgifter som kommit in. De behandlade uppgifterna kan då anses riktiga, i dataskyddsförordningens mening, om de stämmer överens med de inkomna uppgifterna oavsett hur dessa lämnade uppgifter förhåller sig till verkliga förhållanden. Det är i sådana situationer positivt även för forskningen att den registrerade kan begära rättelse av uppgifter som har förvanskats under den behandling som utförts inom ramen för forskningsprojektet. Rätten till rättelse enligt artikel 16 gäller uppgifter som är felaktiga. Som Forskningsdatautredningen konstaterar kan det föreligga olika uppfattningar mellan den personuppgiftsansvarige och den registrerade om vad som är en riktig uppgift. Om den personuppgiftsansvarige är en myndighet kan ett beslut där myndigheten tagit ställning till en begäran om rättelse överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen). Är det en privat forskningsutförare kan den registrerade ge in ett klagomål till tillsynsmyndigheten som bl.a. har befogenheten att förelägga om rättelse (artikel 58.2 g dataskyddsförordningen). Att den registrerade har en rätt till rättelse och utnyttjar den kan påverka bedrivandet av forskning. Förutsättningen för att ett undantag från rättigheten ska kunna föreskrivas i nationell rätt är dock enligt artikel 89.2 i dataskyddsförordningen att rättigheten sannolikt skulle göra det omöjligt eller mycket svårare att uppfylla ändamålen med behandlingen av personuppgifter, dvs. forskningsändamålet, och undantag krävs för att uppnå ändamålet. Även om rättigheten som

Stockholms universitet påpekar kan påverka bedrivandet av forskning är det regeringens bedömning att forskningen inte påverkas i sådan grad att förutsättningarna för att införa ett undantag är uppfyllda. Regeringen anser vidare att rätten till rättelse är av vikt för att den registrerade ska kunna ta till vara sina intressen. Regeringen anser därför att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

13.5. Bör det föreskrivas undantag från rätten till begränsning av behandling?

13.5.1. Om innehållet i rättigheten

Den registrerade har enligt artikel 18.1 rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om en av följande fyra förutsätt-

ningar är uppfyllda: a) den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, c) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Med begränsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

Rätten till begränsning av behandling syftar till att skydda den registrerades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Punkterna a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Punkterna b och c i samma artikel ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansvarige från att radera uppgifterna.

Av artikel 18.2 framgår att om behandlingen har begränsats enligt artikel 18.1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

Rätten enligt artikel 18 till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämndes som blockering och som genomfördes genom 28 § PUL (samt definierades i 3 § samma lag). I förhållande till dataskyddsdirektivet innebär artikel 18 en utvidgad rättighet för den registrerade.

13.5.2. Det bör inte föreskrivas undantag från rätten till begränsning av behandling

Regeringens bedömning: Något undantag från den registrerades rätt till begränsning av behandling enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att när personuppgifter behandlas för forskningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta.

Den registrerade ska inte heller ha rätt till begränsning av behandling när

denne invänder mot behandlingen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Vinnova ser positivt på det föreslagna undantaget från rätten till begränsning av behandling.

Dock är Vinnova angelägen om att det föreslagna undantaget inte är ett generellt undantag utan ska prövas av personuppgiftsansvarig i varje enskilt fall för att säkerställa att kraven för nyttjande av undantaget är uppfyllda enligt utredningens intention.

Pensionsmyndigheten har inte funnit anledning att avstyrka utredningens förslag men anser att följande kan beaktas under den fortsatta beredningen. Rätten till begränsning av behandling bör för den personuppgiftsansvarige i praktiken innebära ett incitament att se till att den personuppgiftsbehandling som utförs lever upp till förordningens krav. Pensionsmyndigheten anser att rätten till begränsning fyller en viktig funktion i skyddet av enskildas rättigheter och friheter vid behandling av personuppgifter, samtidigt som rättigheten har en väldigt liten påverkan på sådan behandling av personuppgifter som utförs i enlighet med förordningens krav.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till förslaget. Den registrerades intressen i nämnda avseende bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Sveriges Kommuner och Landsting (SKL) anser att det kan finnas vissa tolkningssvårigheter beträffande vad som ska förstås med att forskningen försenas eller försvåras när det gäller inskränkningar i den registrerades rätt under själva behandlingen och kontroll av personuppgifter i forskningen. Förbundet anser därför att denna fråga bör klarläggas ytterligare.

Malmö högskola anser att det föreslås en begränsning av den registrerades rätt med hänvisning till artikel 89.2 i förordningen men utan att ta hänsyn till kraven i artikel 89.1. Datainspektionen avstyrker förslagen i forskningsdatalagen som rör undantag från de registrerades rättigheter. Utredningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registrerade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen av de remissinstanser som yttrat sig har kommenterat bedömningen specifikt.

Skälen för regeringens bedömning

Det saknas rättsliga förutsättningar för att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 b och c

Enligt artikel 18 b har den registrerade rätt att kräva av den personuppgiftsansvarige att behandlingen begränsas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället

begär en begränsning av deras användning. Enligt punkt c i samma artikel har den registrerade rätt att kräva att behandlingen begränsas om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Att hindra den personuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen, vilket utgör en förutsättning för att få göra undantag från rättigheten (artikel 89.2). Regeringen bedömer därför att det saknas rättsliga förutsättningar för att införa ett undantag från rätten till begränsning av behandling i fall som avses i artikel 18.1 b och c.

Det finns inget behov av att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 a och d

Enligt artikel 18.1 a har den registrerade rätt att kräva av den personuppgiftsansvarige att behandlingen begränsas om den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga. Den registrerades rätt till rättelse är mycket långtgående enligt dataskyddsförordningen och innebär bland annat en grundläggande skyldighet att utan dröjsmål rätta felaktiga uppgifter, varför den period som den personuppgiftsansvarige behöver för att kontrollera om uppgifterna är riktiga torde vara högst begränsad. Ett utövande av rättigheten kommer därför sannolikt inte att omöjliggöra eller kraftigt försvåra ett uppfyllande av forskningsändamålet som sådant. Något behov av att föreskriva ett undantag från rätten att begränsa behandling för forskningsändamål enligt artikel 18.1 a finns därmed inte.

Enligt artikel 18.1 d har den registrerade rätt att kräva att behandlingen begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Enligt sistnämnda artikel har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller led i myndighetsutövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Av artikel 21.6 framgår dock att om personuppgifterna behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Som regeringen närmare utvecklar i avsnitt 13.6.2 bedömer regeringen att det inte finns något behov av att begränsa den registrerades rätt att in-

vända mot behandling enligt artikel 21.1 då det redan av artikel 21.6 framgår att den registrerades rätt att invända mot behandling för forskningsändamål inte gäller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som framgår av avsnitt 7.2.2 är forskning som utförs av statliga universitet och högskolor och andra myndigheter normalt reglerad på ett sådant sätt att det är fråga om en uppgift av allmänt intresse i den mening som avses i artikel 6.1 e. Vidare görs i det avsnittet bedömningen att forskning som utförs med stöd av ett godkännande enligt etikprövningslagen och/eller tillstånd som krävs enligt annan lag också är att anse som en uppgift av allmänt intresse enligt artikel 6.1 e. Forskning som inte anses utgöra uppgift av allmänt intresse enligt nämnda artikel och som inte avser känsliga personuppgifter eller uppgifter om lagöverträdelser, och som därmed inte kräver tillstånd enligt lag, kan även utföras med samtycke som rättslig grund (artikel 6.1 a). Enligt regeringens bedömning är det därför ett begränsat antal personuppgiftsbehandlingar som kommer att komma ifråga för en sådan avvägning mellan den personuppgiftsansvariges tvingande berättigade skäl för behandlingen och den registrerades intressen enligt artikel 21.1. Den personuppgiftsansvariges kontroll av om dennes tvingande berättigade intressen väger tyngre än den registrerades bör kunna utföras relativt omgående. Mot denna bakgrund är det regeringens uppfattning att det är osannolikt att ett utövande av rätten att begränsa behandling under tiden den personuppgiftsansvarige kontrollerar om den dennes tvingande berättigade skäl väger tyngre än den registrerades intressen, rättigheter och friheter enligt artikel 21.1 kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet. Det är i stället intresseavvägningen som kommer att avgöra om behandlingen ska få fortsätta i syfte att uppfylla forskningsändamålet.

Av artikel 18.2 framgår vidare att om en behandling har begränsats enligt punkt 1 i samma artikel får personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Det åligger den personuppgiftsansvarige att kunna påvisa att skäl som rör ett viktigt allmänintresse föreligger.

Regeringen anser således sammanfattningsvis att något undantag från den registrerades rätt att begränsa behandling för forskningsändamål inte ska införas i svensk rätt.

13.6. Bör det föreskrivas undantag från rätten att göra invändningar?

13.6.1. Om innehållet i rättigheten

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. En motsvarande rättighet föreskrevs även i dataskyddsdirektivet, men genomfördes i

PUL endast beträffande direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invändningar utvidgas jämfört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

När personuppgifter behandlas för bl.a. forskningsändamål ska enligt artikel 21.6 den registrerade ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Det är inte uppenbart hur artikel 21.6 förhåller sig till artikel 21.1. Enligt artikel 21.1 ska den registrerade ha rätt att invända mot behandling som grundar sig på artikel 6.1 e eller f. Av artikel 21.6 framgår istället att om behandling sker för forskningsändamål ska den registrerade ha rätt att invända mot behandling om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Regeringen bedömer att artikel 21.6 innebär att om den registrerade invänder mot behandling för forskningsändamål så måste den personuppgiftsansvarige göra en prövning av om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om resultatet av denna bedömning blir att behandlingen inte är nödvändig så har den registrerade en rätt att invända mot behandlingen. Om så är fallet ska invändningen i nästa steg prövas enligt artikel 21.1 och den personuppgiftsansvarige måste visa avgörande berättigade skäl för att få fortsätta behandlingen. Om behandlingen däremot bedöms nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända och någon prövning enligt artikel 21.1 kommer inte ifråga. Vad som avses med begreppet ”nödvändig” har behandlats i avsnitt 7.1.2.

13.6.2. Det bör inte föreskrivas undantag från rätten att göra invändningar

Regeringens bedömning: Något undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Umeå universitet framhåller

att om en behandling av personuppgifter baseras på allmänt intresse som rättslig grund kan den registrerade inte invända mot behandlingen och forskningen kan därmed genomföras på ett förutsägbart sätt. Om behandlingen grundar sig på intresseavvägning har emellertid den registrerade en möjlighet att invända mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I enlighet med nuvarande synsätt kan en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad (se Datainspektionens informationsskrift om intresseavvägning). I utkastet till lagrådsremiss (s. 113) gör regeringen bedömningen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning om erforderliga säkerhetsåtgärder vidtas. Om denna bedömning från regeringen innebär en ändring i hur intresseavvägningen ska göras har Umeå universitet svårt att uttala sig om men universitetet vill likaväl understryka att intresseavvägning som rättslig grund kan innebära att förutsättningarna för forskningssamarbeten inte blir lika förutsägbara.

Skälen för regeringens bedömning: Enligt artikel 89.2 är det, som framgått, möjligt att i nationell rätt fastställa undantag från den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål i den utsträckning som rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådant undantag krävs för att uppnå forskningsändamålet.

Som redovisats ovan finns det en begränsning av den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål som följer direkt av artikel 21.6. Om sådan behandling är nödvändig för att utföra forskning av allmänt intresse har den registrerade inte rätt att invända mot behandling.

För sådan personuppgiftsbehandling som inte är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade en rätt att invända. Den personuppgiftsansvarige måste då, enligt artikel 21.1, kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I annat fall får den personuppgiftsansvarige inte längre behandla personuppgifterna.

Som framgår av avsnitt 7.2.2 är det regeringens bedömning att offentliga forskningsutförare som huvudregel kan använda sig av den rättsliga grunden allmänt intresse vid personuppgiftsbehandling för forskningsändamål. I sådana fall har den registrerade inte rätt att invända mot sådan behandling enligt 21.6 och någon avvägning enligt artikel 21.1 blir inte aktuell. För privaträttsliga forskningsutförare som har fått de tillstånd som krävs för ett forskningsprojekt, enligt t.ex. etikprövningslagen för behandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser, anser regeringen att grunden för behandlingen är fastställd i enlighet med svensk rätt på ett sådant sätt att de kan tillämpa den rättsliga grunden allmänt intresse. Detta innebär att den registrerade inte heller då har en rätt att invända mot behandling enligt artikel 21.6. Något behov av undantag från artikel 21 finns därmed inte för dessa situationer.

Vad som återstår är då de behandlingar av personuppgifter som avser andra slags uppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser och som utförs av privata forskningsutförare med stöd av den rättsliga grunden intresseavvägning. Den registrerade kan i ett sådant fall invända mot behandling av personuppgifter för forskningsändamål eftersom denna situation inte omfattas av artikel 21.6, och då ska en avvägning enligt artikel 21.1 göras. Forskningsutföraren ska då kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Som framgår av avsnitt 7.2.3 är det regeringens uppfattning att presumtionen är att forskning är en uppgift av allmänt intresse och att det därmed är fråga om ett berättigat intresse. Det finns därmed stora möjligheter att behandla personuppgifter efter en intresseavvägning under förutsättning att erforderliga säkerhetsåtgärder vidtas. Forskningsutföraren har enligt artikel 21.1 att bedöma om det berättigade intresset som denne grundar sin behandling på från början är avgörande och väger tyngre i det enskilda fallet. I de fall det inte väger tyngre än den registrerades intressen, rättigheter och friheter ska forskningen inte få utföras.

Umeå universitet ifrågasätter om bedömningen i utkastet till lagrådsremiss, avseende möjligheterna att i detta sammanhang behandla personuppgifter efter en intresseavvägning, innebär en ändring i hur intresseavvägningen ska göras och hänvisar till Datainspektionens informationsskrift om intresseavvägning där det framgår att en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad. Datainspektionens informationsskrift rör intresseavvägning generellt och behandlar inte specifikt forskningsändamål. Som framgår av avsnitt 7.1.3 har Artikel 29gruppen uttalat beträffande intresseavvägning att vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse kan uppstå nämner Artikel 29-gruppen behandling för bl.a. forskningsändamål.

Det är sammanfattningsvis regeringens bedömning att rätten att göra invändningar enligt artikel 21 inte kan anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Det är vidare regeringens bedömning att rätten att invända mot behandling är en viktig rättighet för den registrerade och därför bör finnas i de fall den är tillämplig vid behandling av personuppgifter för forskningsändamål.

Regeringen anser således att något undantag från rätten att invända mot personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

14. Behöver ytterligare anpassningar göras i etikprövningslagen?

14.1. Inga ytterligare anpassningar behöver göras i etikprövningslagen

Regeringens bedömning: Resterande bestämmelser i lagen om etikprövning av forskning som avser människor behöver inte anpassas med anledning av EU:s dataskyddsförordning.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Enligt Karlstads universitet skulle en direkt hänvisning till dataskyddsförordningen i 6 § etikprövningslagen kunna underlätta förståelsen för att reglerna i dataskyddsförordningen alltid måste tillämpas även i de fall där ett forskningsetiskt godkännande har inhämtats för ett forskningsprojekt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen, bland annat Regionala etikprövningsnämnden i Lund, eller har inget att invända. Stockholms universitet anför att för att etikprövning enligt etikprövningslagen ska kunna fylla sin funktion, som en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för andra forskningsändamål än klinisk läkemedelsprövning enligt dataskyddsförordningen, är det viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Det måste med andra ord säkerställas att allt som räknas som forskning enligt dataskyddsförordningen också räknas som forskning enligt definitionen i etikprövningslagen. Annars kan viss personuppgiftsbehandling för forskningsändamål som enligt dataskyddsförordningen måste omfattas av sådan skyddsåtgärd för att få utföras falla utanför etikprövningslagens tillämpningsområde. Detta skulle innebära att dessa behandlingar inte skulle få utföras enligt dataskyddsförordningen (såvida de inte skulle omfattas av andra skyddsåtgärder som uppfyller förordningens krav). Enligt Forskningsdatautredningen bör forskningsbegreppet (inom den kompletterande nationella dataskyddslagstiftningens tillämpningsområde) avgränsas på följande vis: ”Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå” (s. 97). För att uppnå den nivå av harmoni som krävs för att regleringen ska fungera som avsett föreslår Stockholms universitet att etikprövningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med denna avgränsning.

Regionala etikprövningsnämnden i Umeå påpekar att Forskningsbegreppet inte har definierats i förordningen men att det av skäl 159 framgår att man har tänkt sig en mycket vid tolkning som även omfattar exempelvis teknisk utveckling och demonstration och studier av allmänt intresse inom folkhälsoområdet. Som kontrast till detta kan man ställa etikprövningslagens definition som är tämligen snäv och utesluter till exempel kvalitetssäkring, resultatuppföljning och studentarbeten. Om man inte gör något åt detta anser etikprövningsnämnden att det kommer att bli oklart hur man ska tillämpa bestämmelserna om ändamålsbegränsning (art. 5.1 b), rättslig grund (art. 6.1 e), behandling av känsliga personuppgifter (art. 9.2 g-j) och undantag (art. 89).

Högskolan i Borås konstaterar att i utkastet till lagrådsremiss utvecklar inte regeringen sin syn på definition av ”forskningsändamål” utan hänvisar till dataskyddsförordningens definition. Regeringen föreslår vidare etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter. I etikprövningslagen finns en definition av ”forskning”. Högskolan önskar framföra vikten av ett sammanhållet förändringsarbete avseende lagar och förordningar med anledning av att dataskyddsförordningen träder i kraft.

Sveriges lantbruksuniversitet efterfrågar vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling och framför att det synes vara en av förändringarna i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete att definiera forskning. Att i etikprövningslagen definiera forskning är välkommet – men den definitionen har i sig ett oklart rekvisit i det att den talar om ”[…]samt utvecklingsarbete på vetenskaplig grund,[…]” som något som ska ses som forskning. Då denna definition synes vara så nära vi kommer att komma en definition av forskningsändamål, utan att den uttryckligen gör anspråk på att vara den definitionen i förhållande till dataskyddsförordningen, är det angeläget att det blir så tydligt som möjligt vad som utgör det, för att undvika att vi tillämpar privilegierna i dataskyddsförordningen på ett felaktigt sätt. För SLU:s del innebär det framförallt osäkerhet i hur vi ska betrakta vårt uppdrag att bedriva fortlöpande miljöanalys enligt 1 kap. 1a § förordning (1993:221) för Sveriges lantbruksuniversitet. Detta synes kunna rymmas under definitionen av forskning enligt den nya lydelse i etikprövningslagen som föreslås i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete, men är ändå särreglerat från forskningsuppdraget i förordningen för Sveriges lantbruksuniversitet. Den ökade tvärvetenskapligheten på området när det utvecklas infrastruktur för forskning gör att detta är relevant för SLU att få belyst, även om det är en mycket specifik fråga.

Skälen för regeringens bedömning: I avsnitt 12 har regeringen föreslagit att definitionen av behandling av personuppgifter i 2 § etikprövningslagen ska ändras genom att hänvisningen till 3 § PUL ska bytas ut mot en hänvisning till artikel 4.2 i dataskyddsförordningen. I nämnda avsnitt föreslås vidare att tillämpningsområdet för etikprövningslagen enligt 3 § ska utökas med anledning av att dataskyddsförordningens definition av särskilda kategorier av personuppgifter (känsliga personuppgifter) är vidare än dataskyddsdirektivets och PUL:s definitioner samt att hänvisningarna till PUL i den paragrafen ska tas bort. Regeringen har i avsnitt 13.2 föreslagit att 12 § etikprövningslagen, som reglerar att person-

uppgifter får lämnas ut för att användas i forskning om hinder inte föreligger på grund av regler om sekretess och tystnadsplikt, ska upphävas. Som framgår av det avsnittet anser regeringen att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser därför i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmelser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Det är

regeringens bedömning att övriga bestämmelser i etikprövnings-

lagen är förenliga med dataskyddsförordningen.

Karlstads universitet önskar en förtydligad koppling till dataskyddsförordningen i 6 § etikprövningslagen. Av sista meningen i 6 § framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. Detta innebär enligt förarbetena att ett godkännande vid etikprövning inte alltid är en tillräcklig förutsättning för forskningens bedrivande. Forskning som har etikgodkänts måste ändå vara förenlig med bland annat dataskyddsförordningens bestämmelser, i de delar där någon tillämplig kompletterande särreglering inte förekommer.

Detta förhållande torde enligt Karlstads universitet bli ännu mer betydelsefullt när dataskyddsförordningen börjar tillämpas, eftersom dataskyddsförordningen till skillnad från PUL inte är subsidiär i förhållande till etikprövningslagen. Regeringen instämmer i stort i det resonemang Karlstad universitet för i sitt yttrande men anser inte att en uttrycklig hänvisning till dataskyddsförordningen bör införas i den aktuella bestämmelsen. Dataskyddsförordningen är direkt tillämplig i Sverige och jämställs i den svenska rättsordningen med en lag. Att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning gäller för all forskning som etikprövningslagen omfattar, inte bara personuppgiftsbehandling för forskningsändamål, vilket innebär att det är ett stort antal författningar som kan komma ifråga utöver dataskyddsförordningen. Att enbart hänvisa till dataskyddsförordningen riskerar därför att bli missvisande i sammanhanget.

Stockholms universitet och Regionala etikprövningsnämnden i Umeå framhåller att det är viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Stockholms universitet föreslår därför att etikprövningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med den avgränsning som förts fram av Forskningsdatautredningen. I etikprövningslagen definieras forskning idag som vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Regeringen kan konstatera att forskning inte definieras i dataskyddsförordningen, men att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning i förordningen (skäl 159) och att förordningen även ska omfatta historiska forskningsändamål (skäl 160). Av dessa skäl kan utläsas att inom begreppet vetenskapliga forskningsändamål ska inordnas t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning, privatfinansierad forskning och studier som utförs av ett allmänt intresse inom folkhälsoområdet. När det gäller historiska forskningsändamål anges forskning för

historiska och genealogiska ändamål som exempel. Det är regeringens uppfattning att grundforskning, tillämpad forskning och privatfinansierad forskning samt forskning för historiska och genealogiska ändamål tydligt omfattas av etikprövningslagens definition av forskning. Beträffande teknisk utveckling och demonstration bör sådan verksamhet kunna inordnas inom ramen för forskningsdefinitionen genom formuleringen om utvecklingsarbete på vetenskaplig grund, i den mån känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas i sådan forskningsverksamhet. Vetenskapliga studier som utförs av ett allmänt intresse inom folkhälsoområdet kan enligt regeringens mening inte anses utgöra annat än sådan forskning som omfattas av etikprövningslagens definition. Det är regeringens uppfattning att det är möjligt att det skulle kunna förekomma situationer då etikprövningslagens definition av forskning inte fullt ut täcker vad som avses med forskningsändamål enligt dataskyddsförordningen, mot bakgrund av att dataskyddsförordningen inte har en tydlig definition utan enbart en riktlinje om att tolka begreppet vitt och några få exempel på vad som ska inordnas. Vilka dessa situationer skulle kunna vara har dock regeringen inte kunnat utröna, utan det får rättstillämpningen utvisa liksom behov av eventuella ytterligare lagstiftningsåtgärder.

Som framgått ovan för Forskningsdatautredningen ett resonemang kring en alternativ definition av forskning i sitt delbetänkande, vilken formulerades som ”vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå”. Utredningen föreslog dock ingen ändring i etikprövningslagen. Det saknas därför tillräckligt beredningsunderlag för en sådan justering i detta lagstiftningsärende. Därtill pågår redan en översyn av etikprövningslagen. Som Sveriges lantbruksuniversitet påpekar i sitt remissyttrande har bl.a. definitionen av forskning i 2 § etikprövningslagen setts över av Utredningen om översyn av etikprövningen, som i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104) har föreslagit en ändrad definition. Betänkandet bereds för närvarande inom Regeringskansliet. Universitetets önskan om vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling kommer att behandlas inom ramen för det lagstiftningsarbetet.

14.2. Rättsligt stöd för personuppgiftsbehandling i etikprövningsnämndernas verksamhet

Även etikprövningsnämndernas personuppgiftsbehandling behöver ha rättsligt stöd i dataskyddsförordningen och tillämplig nationell rätt. Den personuppgiftsbehandling som etikprövningsnämnderna utför i sin verksamhet utgör enligt regeringens bedömning inte behandling för forskningsändamål, så som begreppet är avsett att tolkas enligt dataskyddsförordningen. Personuppgiftsbehandling i etikprövningsnämndernas verksamhet omfattas i stället av regleringen i dataskyddsförordningen och dataskyddslagen.

15. Vilka behov finns det av sektorslagstiftning på forskningsområdet?

15.1. Det behövs för närvarande inte någon forskningsdatalag

Regeringens förslag: En bestämmelse om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, ska föras in i dataskyddslagen.

Regeringens bedömning: Utöver förslaget ovan är det för närvarande tillräckligt att etikprövningslagen och de befintliga registerförfattningarna på forskningsområdet anpassas till EU:s dataskyddsförordning. Det bör i nuläget inte införas någon ytterligare lag som kompletterar EU:s dataskyddsförordning vid personuppgiftsbehandling för forskningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att en ny lag som kompletterar dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål, forskningsdatalagen, ska införas.

Remissinstanserna: Majoriteten av remissinstanserna som yttrat sig i frågan tillstyrker eller ställer sig positiva till införandet av en särskild forskningsdatalag. Datainspektionen konstaterar att dataskyddsförordningen är direkt tillämplig men har en direktivliknande karaktär, dvs. den kräver i vissa fall kompletterande nationell lagstiftning. Om det inte säkerställs att särskild nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, finns det en risk för att behandling av personuppgifter för forskningsändamål inte kan utföras.

Uppsala universitet påpekar att genomförandet av den direktivliknande dataskyddsförordningen leder till ett mycket komplext rättsligt system där

EU-förordningen ska tillämpas parallellt med svensk lagstiftning som i sin tur är subsidiär i flera led.

Försvarsmaktens uppfattning är att svensk lagstiftning bör vara tydlig och överskådlig vilket underlättar tillämpningen. Försvarsmakten gör bedömningen att införandet av en ny separat forskningsdatalag som komplement till den föreslagna dataskyddslagen riskerar att få motsatt effekt och av det skälet förordar Försvarsmakten att innehållet i föreslagen dataforskningslag istället inarbetas i den föreslagna dataskyddslagen. Västerbottens läns landsting anser att de förändringar som föreslås bör gå att inrymma i den generella lagstiftningen i stället för att skapa en egen lag.

Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Ingen remissinstans invänder mot den lagtekniska bedömning som görs att en särskild forskningsdatalag endast skulle komma att innehålla ett fåtal bestämmelser, varav några skulle bli

av upplysningskaraktär. Bland de som ställer sig positiva till förslagen och bedömningarna finns Luleå kommun, Högskolan i Borås, Karlstads universitet, Karolinska institutet och Malmö universitet. Göteborgs universitet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsremiss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intressen av att kunna använda personuppgifter och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Stockholms läns landsting anser att regeringen fört fram vägande skäl för att inte gå vidare med den bakomliggande utredningens förslag till forskningsdatalag. Mot bakgrund av de synpunkter som redovisas i utkastet till lagrådsremiss delar Arbetsgivarverket uppfattningen att en särskild forskningsdatalag inte bör införas i nuläget. Bland de som inte har några synpunkter på eller erinran mot bedömningen finns Justitiekanslern, Kammarrätten i Stockholm och Regionala etikprövningsnämnderna i Göteborg och Linköping samt Socialstyrelsen.

Regionala etikprövningsnämnden i Lund tillstyrker bedömningen i denna del av det skäl som anges i utkastet, nämligen att en sådan lagstiftning i stort skulle innebära en onödig dubbelreglering. Nämnden konstaterar dock att avståendet från ett införande av forskningsdatalag innebär ett bekymmer i fråga om privata forskare och vilken rättslig grund de kommer att kunna använda för sin personuppgiftsbehandling.

Flera remissinstanser, Kalmar läns landsting, Lunds universitet, Stockholms universitet, Vinnova, Sveriges lantbruksuniversitet, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Läkemedelsindustriföreningen och Sveriges Kommuner och Landsting (SKL), vidhåller sin tidigare redovisade positiva inställning till införandet av en särskild forskningsdatalag och de framhåller att en särskild forskningsdatalag skulle vara pedagogisk, bidra till tydlighet och underlätta för forskarna att tillämpa dataskyddsförordningen. SKL har dock inget att erinra mot att behövliga regler istället inarbetas i andra lagar om en ny forskningsdatalag bara skulle innehålla ett fåtal paragrafer, varav ett par skulle ha karaktären av upplysningsbestämmelser. Regionala etikprövningsnämnden i Umeå anser att lagstiftningen hade vunnit i klarhet om det hade funnits en forskningsdatalag eller ett avgränsat kapitel med motsvarande innehåll i dataskyddslagen. Västra Götalands läns landsting avstyrker regeringens bedömning i denna del och framhåller att det finns ett behov av att införa en forskningsdatalag för att undanröja oklarheter och gråzonsproblematik.

Skälen för regeringens förslag och bedömning

En forskningsdatalag skulle innehålla få bestämmelser

Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget att en ny forskningsdatalag ska införas. Regeringen har i tidigare avsnitt analyserat i vilken mån de möjligheter till nationell reglering som finns enligt dataskyddsförordningen när det gäller villkoren för behandling av personuppgifter för forskningsändamål kan och bör utnyttjas. Regeringen har då bedömt, mot bakgrund av remissutfallet avseende de enskilda bestämmelserna, att flera av de bestämmelser som utredningen har föreslagit ska ingå i en forskningsdatalag inte bör införas.

Mot den bakgrunden kan det övervägas om det är befogat att införa en forskningsdatalag eller om den eller de bestämmelser om behandling av personuppgifter för forskningsändamål som bedöms behövas bör placeras i andra lagar, t.ex. dataskyddslagen, som Försvarsmakten och Västerbottens läns landsting har föreslagit.

Som framgår av avsnitt 9.3 föreslår regeringen att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd). En motsvarande bestämmelse fanns i PUL, men då PUL har upphävts måste bestämmelsen föras in i en annan lag.

I avsnitt 10.3 har regeringen bedömt att etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning. Regeringen har vidare bedömt att redan regleringen i etikprövningslagen, med nödvändiga anpassningar till dataskyddsförordningen, måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j i dataskyddsförordningen. Det innebär att en bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag anges att känsliga personuppgifter med stöd av artikel 9.2 j i dataskyddsförordningen får behandlas, om behandlingen är nödvändig för andra forskningsändamål än klinisk läkemedelsprövning och om behandlingen har godkänts enligt etikprövningslagen, närmast får karaktären av en upplysningsbestämmelse.

I avsnitt 11.2 har regeringen gjort bedömningen att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen. Även i detta fall gör regeringen bedömningen att en bestämmelse i en ny forskningsdatalag som hänvisar till etikprövningslagen skulle ha karaktären av en upplysningsbestämmelse eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1.

Regeringen konstaterar att upplysningsbestämmelser bara bör införas om de har ett särskilt upplysningsvärde. Dataskyddsförordningen började tillämpas den 25 maj 2018 och PUL upphörde då att gälla. Regeringen konstaterar att en forskningsdatalag bara skulle innehålla dels bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd), dels ett par upplysningsbestämmelser.

Om en forskningsdatalag införs bedöms det därutöver behövas bestämmelser som reglerar lagens förhållande till dataskyddsförordningen, dataskyddslagen och annan nationell reglering som innehåller bestämmelser om personuppgiftsbehandling för forskningsändamål samt författningens tillämpningsområde. Innan regeringen tar ställning till om det finns skäl att införa en lag som huvudsakligen kommer att innehålla upplysningsbestämmelser bör frågan om vilket tillämpningsområde en sådan lag skulle ha, behandlas.

Frågor om det territoriella tillämpningsområdet

Vare sig Dataskyddsutredningen eller Forskningsdatautredningen har lämnat förslag om det territoriella tillämpningsområdet för dataskyddslagen respektive forskningsdatalagen. Två promemorior remitterades därför, dels promemorian Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39), dels Kompletterande promemoria till betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). På grundval av den förstnämnda promemorian har det i dataskyddslagen införts kompletterande bestämmelser om tillämpningsområdet för den lagen. I den andra promemorian föreslås en bestämmelse som innebär att forskningsdatalagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Det innebär att etableringslandsprincipen tillämpas och att principerna i dataskyddsförordningen och dataskyddslagen följs.

Majoriteten

av de remissinstanser som yttrat sig tillstyrker, ställer sig

positiva till eller har inte något att invända mot förslaget. Flera remissinstanser, som Forskningsrådet för hälsa, arbetsliv och välfärd (Forte),

Karlstads universitet, Lunds universitet, Mittuniversitet, Stockholms universitet, Centrala etikprövningsnämnden och Regionala etikprövningsnämnden i Umeå, har emellertid påpekat att det i promemorian föreslagna tillämpningsområdet innebär att det kommer att finnas en diskrepans i förhållande till etikprövningslagens tillämpningsområde. Det föreslagna tillämpningsområdet för forskningsdatalagen, som innebär att principerna i dataskyddsförordningen och dataskyddslagen ska följas, innebär att lagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behandlingen utförs inom ramen för verksamhet som bedrivs vid verksamhetsställen här i landet, oavsett var behandlingen av personuppgifter äger rum. Etikprövningslagen tillämpas i stället på forskning som ska utföras i Sverige (5 § etikprövningslagen). Skillnaden innebär således att forskningsdatalagen skulle bygga på var den personuppgiftsansvarige är etablerad och att behandling av personuppgifter som sker inom ramen för den verksamhet som den personuppgiftsansvarige bedriver skulle omfattas av lagen oberoende av var personuppgiftsbehandlingen faktiskt äger rum, medan regleringen i etikprövningslagen bygger på var forskningen som innefattar personuppgiftsbehandling faktiskt utförs.

I de allra flesta fall skulle den föreslagna bestämmelsen om forskningsdatalagens tillämpningsområde innebära att regleringen i den lagen och etikprövningslagen är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som sker inom ramen för forskningsverksamhet som bedrivs av en forskningsutförare som har verksamhetsställe i Sverige rent faktiskt äger rum utanför Sverige. Etikprövningslagen är då inte tillämplig. Även den motsatta situationen tas upp av remissinstanserna, dvs. att forskning som innefattar behandling av personuppgifter till någon del sker i Sverige men inte inom ramen för ett verksamhetsställe här. Då krävs ett etikgodkännande enligt etikprövningslagen men forskningsdatalagen är inte tillämplig. Det kan alltså förekomma

situationer då regleringen i lagarna inte är helt förenliga. För att åstadkomma att regleringen i lagarna är förenliga med varandra krävs en översyn av tillämpningsområdet för etikprövningslagen. Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvudmannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterligare övervägande behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle ske av forskning som ska utföras i Sverige. Ett beredningsunderlag för en anpassning av etikprövningslagen till principerna som gäller för tillämpningsområdet för dataskyddsförordningen och som föreslagits för den föreslagna forskningsdatalagen saknas i nuläget. En forskningsdatalag skulle således komma att ha ett tillämpningsområde som inte helt överensstämmer med tillämpningsområdet för etikprövningslagen, som lagen skulle hänvisa till.

I en situation där personuppgiftsbehandlingen i forskningsverksamhet som bedrivs vid ett verksamhetsställe i Sverige utförs utanför Sverige och forskningsutföraren inte kan få ett etikgodkännande för en behandling av känsliga personuppgifter eller ett tillstånd från Läkemedelsverket behöver den personuppgiftsansvarige förlita sig på samtycke från de registrerade enligt artikel 6.1 a i dataskyddsförordningen. Som framgår av avsnitt 7.2 bör dataskyddsförordningen normalt inte innebära något hinder för forskningsaktörer att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningsutförare.

Det bör i nuläget inte införas en forskningsdatalag

En särskild forskningsdatalag skulle visserligen, som ett antal remissinstanser påtalar, kunna skapa klarhet kring rättsläget nu när dataskyddsförordningen har börjat tillämpas och PUL har upphävts. En forskningsdatalag skulle emellertid som angivits endast komma att innehålla ett fåtal paragrafer, varav två bestämmelser har karaktären av upplysningsbestämmelser. Endast den bestämmelse om användningsbegränsning som har funnits i PUL behövs i sak (bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen). Det upplysningsvärde som upplysningsbestämmelserna skulle kunna ha uppväger dock enligt regeringen inte den förvirring som skulle kunna uppstå om den lag som innehåller upplysningsbestämmelserna inte har helt samma tillämpningsområde som de lagar som den hänvisar till. Den bestämmelse om användningsbegränsning som har funnits i PUL kan vidare med fördel placeras i dataskyddslagen, då den lagen har ett motsvarande tillämpningsområde som föreslogs i promemorian för forskningsdatalagen. I 4 kap. dataskyddslagen finns det bestämmelser om användningsbegränsningar vid behandling av personuppgifter för statistik- och arkivändamål. Det framstår som logiskt att det kapitlet kompletteras med en bestämmelse om användningsbegränsning vid behandling av personuppgifter för forskningsändamål.

Det är därför regeringens sammantagna bedömning att en särskild forskningsdatalag inte bör införas i nuläget. Flertalet remissinstanser har tillstyrkt, inte haft några synpunkter på eller erinran mot denna bedömning.

Det sagda innebär att när det gäller personuppgiftsbehandling för andra forskningsändamål än kliniska läkemedelsprövningar kommer PUL och etikprövningslagen att ersättas av dataskyddsförordningen, dataskyddslagen och en uppdaterad etikprövningslag.

När det gäller kliniska läkemedelsprövningar kommer PUL, etikprövningslagen och läkemedelslagen att ersättas av EU:s förordning om kliniska prövningar av humanläkemedel, den föreslagna lagen med kompletterande bestämmelser om etisk granskning till den nämnda EU-förordningen, en uppdaterad läkemedelslag samt dataskyddsförordningen och dataskyddslagen.

15.2. Sekretess ska gälla för uppgifter som behandlas i strid med personuppgiftsregleringen

Regeringens förslag: Sekretess ska gälla för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med etikprövningslagen i fråga om känsliga personuppgifter eller uppgifter om lagöverträdelser.

Regeringens bedömning: Den tystnadsplikt som följer av sekretessbestämmelsen bör inte inskränka den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Utredningen föreslår inte någon sådan bestämmelse. Remissinstanserna: Arbetsgivarverket och Arbetsförmedlingen tar upp behovet av att göra en ändring i 21 kap. 7 § OSL, utöver de ändringar i bestämmelsen som Dataskyddsutredningen föreslagit i sitt betänkande

SOU 2017:39. Enligt 21 kap 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Dataskyddsutredningen har i betänkandet föreslagit att bestämmelsen i 21 kap 7 § OSL i stället för att hänvisa till personuppgiftslagen, bör hänvisa till dataskyddsförordningen och dataskyddslagen. Eftersom 19 och 21 §§ PUL, i de delar som anger att känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen, enligt utredningens förslag i stället föreslås flyttas över till forskningsdatalagen, framhåller Arbetsgivarverket och Arbetsförmedlingen behovet av att det i 21 kap 7 § OSL införs en hänvisning även till forskningsdatalagen. Detta i syfte att undvika att sekretessbelagda känsliga personuppgifter lämnas ut för forskningsändamål utan att detta är förenligt med vad som anges i forskningsdatalagen.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. I utkastet till lagrådsremiss fanns inte någon bedömning angiven.

Remissinstanserna: Datainspektionen är positiv till att sekretesskyddet bevaras men anser att det finns anledning att analysera vilka motsvarande

skyddsåtgärder som behövs när enskilda utförare av forskning behandlar personuppgifter. Lunds universitet anser att förslaget till ändring i offentlighets- och sekretesslagen är nödvändigt. Svenska Tidningsutgivareföreningen har inget att invända mot förslaget men framhåller att lagrådsremissen bör kompletteras med ett förtydligande att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande till medier som omfattas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).

Kungl. Tekniska högskolan (KTH) anser att hänvisningen till etikprövningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighets- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation, en behandling för forskningsändamål som inte har godkänts enligt etikprövningslagen, som avsikten är att bestämmelsen ska reglera. KTH framhåller dessutom att det i bestämmelsen även bör hänvisas till 3 § i etikprövningslagen.

Skälen för regeringens förslag: Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL. Det får numera anses fastslaget i praxis att det som ska bedömas är huruvida mottagarens avsedda behandling av de personuppgifter som begärs ut uppfyller kraven enligt PUL (HFD 2014 ref. 66). Eftersom PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen har det även gjorts en följdändring i 21 kap. 7 § OSL, som innebär att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

I propositionen Ny dataskyddslag konstaterade regeringen att det kommer att finnas andra författningar än dataskyddslagen i svensk rätt som innehåller bestämmelser om behandling av personuppgifter. Så var fallet redan tidigare, men bestämmelsen i 21 kap. 7 § OSL hänvisade i sin tidigare lydelse bara till PUL. Då Dataskyddsutredningen inte föreslagit att sekretessbestämmelsens tillämpningsområde ska utsträckas till att även omfatta t.ex. behandling av utlämnade uppgifter som kan antas strida mot registerförfattningar konstaterade regeringen i propositionen att konsekvenserna av en sådan utvidgning inte var utredda och regeringen lämnade därför inte något förslag till utvidgning av bestämmelsens tillämpningsområde i propositionen.

PUL innehöll bestämmelser som särskilt reglerade möjligheten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL).

Dataskyddsförordningen anger särskilda villkor som gäller vid behandling av personuppgifter för forskningsändamål, som t.ex. att sådan behandling ska omfattas av lämpliga skyddsåtgärder och att behandling av känsliga personuppgifter för sådant ändamål ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, dvs. behandlingen måste ha stöd i nationell rätt, och den måste innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Förordningen anger däremot inte mer preciserat

vilka skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för forskningsändamål.

Den föreslagna dataskyddslagen innehåller inga bestämmelser som särskilt reglerar behandling av personuppgifter för forskningsändamål. Som regeringen närmare utvecklar i avsnitt 10.3 och 11.2 gör regeringen bedömningen att den reglering som finns i etikprövningslagen, som anger att forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bara får utföras om den har godkänts vid en etikprövning (se 3 och 6 §§etikprövningslagen) – med nödvändiga anpassningar till dataskyddsförordningen – ger det stöd som krävs i nationell rätt enligt dataskyddsförordningen för att behandling av sådana uppgifter ska vara tillåten. Regeringen gör därför i avsnitt 15.1 bedömningen att några bestämmelser som motsvarar 19 och 21 §§ PUL inte behöver överföras till en ny forskningsdatalag. Om en hänvisning till etikprövningslagens bestämmelser om krav på godkännande av forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inte tas in i 21 kap. 7 § OSL skulle det innebära en ändring i sak i förhållande till gällande rätt, på så vis att det sekretesskydd som gäller idag om det kan antas att en känslig personuppgift eller uppgifter om lagöverträdelser efter ett utlämnande kommer att behandlas för forskningsändamål utan ett godkännande enligt etikprövningslagen, inte längre skulle gälla. Regeringen anser därför, i linje med Arbetsgivarverkets och Arbetsförmedlingens synpunkter, att 21 kap. 7 § OSL bör ändras så att det ska gälla sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen.

KTH anser att hänvisningen till etikprövningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighet- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation som avsikten är att bestämmelsen ska reglera. KTH anser att det i 21 kap. 7 § OSL även bör hänvisas till 3 § etikprövningslagen.

Av 6 § etikprövningslagen framgår att forskning som avses i 3–5 §§ i den lagen bara får utföras om den har godkänts vid etikprövning. Bestämmelsen i 3 § anger att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Enligt 4 § ska lagen också tillämpas på forskning som innebär ett fysiskt ingrepp på en forskningsperson, utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Bestämmelsen i 5 § reglerar lagens geografiska tillämpningsområde. Mot bakgrund av att 21 kap. 7 § OSL reglerar sekretessen för personuppgifter, att 6 § etikprövningslagen innehåller ett krav på att forskning som avses i 3–5 §§ bara får utföras bara om den har godkänts vid en etikprövning och då det av dessa paragrafer enbart är 3 § som reglerar personuppgifter anser regeringen att det är tillräckligt att i 21 kap. 7 § OSL hänvisa till 6 § etikprövningslagen.

Hänvisningen innebär i praktiken att det gäller sekretess för känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, om det kan antas att sådana uppgifter efter ett utlämnande kommer att behandlas utan ett godkännande enligt 6 § etikprövningslagen.

Rätten att meddela och offentliggöra uppgifter

Sekretess innebär både tystnadsplikt och handlingssekretess (3 kap. 1 § OSL). Den tystnadsplikt som följer av en sekretessbestämmelse har inte företräde framför rätten enligt 1 kap. 1 § TF och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen (YGL) att meddela och offentliggöra uppgifter, om inte annat anges i TF, YGL eller OSL. Handlingssekretessen har dock alltid företräde framför rätten att meddela och offentliggöra uppgifter. Det kan således vara tillåtet att muntligen t.ex. lämna en uppgift till en journalist eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna en allmän handling som den sekretessbelagda uppgiften framgår av till t.ex. en journalist eller att t.ex. själv publicera handlingen.

Stor återhållsamhet ska iakttas när det övervägs om en inskränkning ska göras i rätten att meddela och offentliggöra uppgifter. Faktorer som bör beaktas vid sådana överväganden är bl.a. vilken styrka sekretessen har, om uppgiften har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.). Ändringen i 21 kap. 7 § OSL föreslås för att en ändring i sak inte ska uppstå i förhållande till vad som gällde fram till den 25 maj 2018 då dataskyddsförordningen började tillämpas, PUL upphävdes och följdändringen i 21 kap. 7 § OSL trädde i kraft. Regeringen har inte tidigare funnit skäl för att inskränka rätten att meddela och offentliggöra uppgifter när det gäller den tystnadsplikt som följer av bestämmelsen i 21 kap. 7 § OSL. Det finns inte skäl att frångå den bedömning som tidigare har gjorts. Denna rätt bör även fortsättningsvis ha företräde framför den tystnadsplikt som följer av den föreslagna bestämmelsen. Detta innebär, som Svenska Tidningsutgivareföreningen påtalar, att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande av uppgifter till medier som omfattas av TF eller YGL med stöd av rätten att meddela och offentliggöra uppgifter.

Hänvisningar till S15-2

  • Prop. 2017/18:298: Avsnitt 19.3

16. Anpassningar av vissa registerförfattningar

16.1. Lagen om rättspsykiatriskt forskningsregister ska anpassas till dataskyddsförordningen

16.1.1. Innehållet i lagen och Forskningsdatautredningens uppdrag

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §).

Bakgrunden till lagen var ett behov av förbättrade möjligheter till forsknings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV påtalade för regeringen under tidigt 1990-tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betänkandet Rättspsykiatriskt forskningsregister (SOU 1996:72). Regeringen anpassade förslagen i utredningens betänkande till PUL, vilken är baserad på det upphävda dataskyddsdirektivet. Lagen om rättspsykiatriskt forskningsregister är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet.

Lagen om rättspsykiatriskt forskningsregister innehåller bl.a. bestämmelser om för vilka ändamål registret får användas (3 §), vilka uppgifter som får finnas i registret (4–9 §§), vilka myndigheter som ska lämna uppgifter till registret (10 §), vilken information som ska lämnas till den registrerade (12 §), utlämnande av uppgifter från registret (13 §), sekretess (14 §), rättelse och skadestånd (15 §) och överklagande (16 §).

I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.

Enligt direktiven till Forskningsdatautredningen skulle utredningen undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag, föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen skulle börja tillämpas, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag. Utredningen har redovisat förslaget om en anpassning av lagen till dataskyddsförordningen i sitt delbetänkande SOU 2017:50 och det förslaget behandlas nedan. Den del av uppdraget som avser att analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag har redovisats den 5 juni 2018 i betänkandet Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Förslaget i det betänkandet behandlas inte i detta lagstiftningsärende.

16.1.2. Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om rättspsykiatriskt forskningsregister är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig tillstyrker allmänt utredningens förslag eller ser allmänt positivt på förslagen eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt.

Endast några enstaka remissinstanser

framför synpunkter på utredningens förslag till anpassning av lagen.

Centrala etikprövningsnämnden, Statens väg- och transportforskningsinstitut, Sveriges geologiska undersökningar och Verket för innovationssystem (Vinnova) tillstyrker förslagen till anpassningar av registerförfattningen. Även RMV ställer sig positivt till förslaget om anpassning av bestämmelserna i lagen men framhåller med avseende på utredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna:

Flertalet remissinstanser tillstyrker, har inga syn-

punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns lands-

ting, Västra Götalands läns landsting och Karlstads universitet. Ingen remissinstans ställer sig negativ till de föreslagna ändringarna i lagen och bedömningarna som gjorts i utkastet till lagrådsremiss.

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, som redogjorts för, enligt artikel 6.2 och 6.3 att behålla eller införa mer specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning i artikel 6.1 c och e.

Bedömningarna som gjordes vid införandet av lagen om rättspsykiatriskt forskningsregister baserades på dataskyddsdirektivet och PUL (se prop. 1998/99:72). Det var regeringens bedömning vid införandet av lagen om rättspsykiatriskt forskningsregister att den behandling av personuppgifter som lagen omfattade var nödvändig för att utföra en uppgift av viktigt allmänt intresse. Artikel 8.4 i dataskyddsdirektivet gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Beträffande ändamålet utvecklingsarbete anförde regeringen i propositionen som ligger till grund för lagen att det är av stor vikt att RMV har ett bra underlag för sitt arbete med uppföljning, utvärdering och kvalitetssäkring. Att RMV kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedömningar ansågs vara viktigt både för samhället och för de enskildas rättssäkerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt intresse att det motiverar ett undantag i enlighet med artikel 8.4 i dataskyddsdirektivet från förbudet mot behandling av känsliga personuppgifter. Regeringen gjorde även bedömningen att behandlingen av personuppgifter i enlighet med den föreslagna lagen i alla delar är förenlig med artikel 8 i Europakonventionen. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med lagen om rättspsykiatriskt forskningsregister är ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet.

RMV framhåller med avseende på Forskningsdatautredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas. I avvaktan på vidare beredning av Forskningsdatautredningens slutbetänkande, där utredningen redovisar sitt uppdrag att analysera det långsiktiga behovet av en särskild lag på området, finns det enligt regeringens uppfattning inte skäl att utifrån regleringen i dataskyddsförordningen nu göra någon annan bedömning än att ändamålen med lagen är ett viktigt allmänt intresse.

Registerlagen reglerar en uppgift av allmänt intresse. Som regeringen närmare kommer att redogöra för längre fram i detta avsnitt innehåller registerlagen huvudsakligen sådana särskilda bestämmelser som anpassar tillämpningen av bestämmelserna i dataskyddsförordningen och som den i den nationella rätten fastställda rättsliga grunden att utföra en uppgift av allmänt intresse får innehålla enligt artikel 6.3. Regeringens övergripande uppfattning är att regleringen är proportionell i förhållande till ändamålet. Regeringen delar därför utredningens bedömning att registerlagen utgör en sådan tillåten specifik nationell reglering för att närmare fastställa hur

förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Regleringen av personuppgiftsbehandling i registerlagen måste uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande analyseras registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

16.1.3. Lagens inledande bestämmelser bör behållas

Regeringens bedömning: De inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om rättspsykiatriskt forskningsregister anges att RMV får för de ändamål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. I andra stycket anges att RMV är personuppgiftsansvarigt för registret.

Den inledande paragrafens första stycke anger för vilken verksamhet lagen gäller. Det är regeringens uppfattning att bestämmelser i nationell kompletterande lagstiftning till dataskyddsförordningen som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Av 1 § framgår att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikeln framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i dataskyddsförordningen definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel 2.1 i registerlagen. Det är därför regeringens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten. I 1 § andra stycket lagen om rättspsykiatriskt forskningsregister anges att det är RMV som är personuppgiftsansvarigt för registret. 1 3 § anges att registret endast får användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Genom bestämmelserna om lagens tillämpningsområde och ändamålen för registret ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut den personuppgiftsansvarige direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas i sin helhet.

16.1.4. Hänvisningar till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om rättspsykiatriskt forskningsregister ska tas bort och, där det är lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 2 § i lagen om rättspsykiatriskt forskningsregister anges att PUL gäller vid behandling av personuppgifter för registret, om inget annat följer av lagen om registret. Med anledning av att

PUL upphävts när dataskyddsförordningen börjat tillämpas bör hänvisningen till PUL tas bort.

Vissa bestämmelser i registerlagen innehåller också hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till PUL avseende information som ska lämnas till den registrerade (12 §), i fråga om rättelse och skadestånd (15 §) samt hänvisningen till 26 och 28 §§ PUL i bestämmelsen om överklagande (16 §). Dessa hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen, se respektive avsnitt nedan.

16.1.5. Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen

Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om rättspsykiatriskt forskningsregister som tydliggör att lagen kompletterar dataskyddsförordningen.

Det ska också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forskningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte något annat följer av lagen om rättspsykiatriskt forskningsregister.

Utredningens förslag överensstämmer i sak med regeringens förslag.

Utredningens förslag till lagtext har formulerats på ett annat sätt än regeringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om rättspsykiatriskt forskningsregister införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock i likhet med utredningen att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör registerlagens förhållande till dataskyddsförordningen och det blir tydligt att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.

Dataskyddslagen kompletterar dataskyddsförordningen på en generell nivå i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om

rättspsykiatriskt forskningsregister bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte avvikande bestämmelser finns i lagen om rättspsykiatriskt forskningsregister. En bestämmelse som upplyser om detta bör införas i sistnämnda lag. I dataskyddslagen finns det generella bestämmelser som utgör tillåtna specificeringar av och undantag från dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Dataskyddslagens bestämmelser gäller därmed i den mån inte lagen om rättspsykiatriskt forskningsregister, eller annan författning, föreskriver annat. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i lagen som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forskningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om rättspsykiatriskt forskningsregister.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om rättspsykiatriskt forskningsregister förhåller sig till brottsdatalagen.

Brottsdatalagen ska gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den ska också gälla för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som 1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Rättsmedicinalverket ansvarar bl.a. för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål,

m.m., rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, verksamhet med utfärdande av sådana intyg som avses i lagen (2005:225 ) om rättsintyg i anledning av brott, rättsmedicinsk medverkan i övrigt på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen och rättskemiska och rättsgenetiska undersökningar. Myndigheten ska också ansvara för utvecklingsarbete och stöd åt forskning av betydelse för verksamheten (se 1 och 2 §§ förordningen [2007:976] med instruktion för Rättsmedicinalverket). Verksamheten bidrar till utredningen och lagföringen av brott och ger underlag för beslut om påföljder för brott. Rättsmedicinalverket har alltså vissa arbetsuppgifter som gör att brottsdatalagen blir tillämplig. Av de inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister framgår emellertid att den verksamhet lagen specifikt reglerar och som lagens tillämpningsområde är avgränsat till är verksamheten med förandet av det rättspsykiatriska forskningsregistret. Som nämnts får det rättspsykiatriska forskningsregistret endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin och Rättsmedicinalverkets utvecklingsarbete. Lagen om rättspsykiatriskt forskningsregister reglerar således inte den verksamhet hos Rättsmedicinalverket som det främst är aktuellt att brottsdatalagen kan bli tillämplig på. I brottsdatalagen anges vidare att om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla (1 kap. 5 §). Om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en författning som reglerar ett visst register gäller de i stället för bestämmelserna i brottsdatalagen. En bestämmelse som reglerar lagens förhållande till andra författningar finns således i brottsdatalagen. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om rättspsykiatriskt forskningsregister införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen.

16.1.6. Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om rättspsykiatriskt forskningsregister kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forskningsregistret får enligt första punkten endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller, enligt andra

punkten, för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete).

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gällde enligt PUL (9 §), som baserades på dataskyddsdirektivet.

Formuleringen av ändamålet har vid införandet av lagen om rättspsykiatriskt forskningsregister bedömts uppfylla kraven enligt dataskyddsdirektivet och PUL. Regeringen framhöll att ändamålen borde preciseras så noga som möjligt av flera skäl, först och främst för att värna om skyddet för den personliga integriteten (prop. 1998/99:72 s. 36 f.).

När det gäller frågan hur specificerat ett ändamål behöver vara för att uppfylla kravet i artikel 5.1 b kan noteras att det i skäl 33 anges att det ofta inte är möjligt att fullt ut identifiera en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning. I den första punkten har ändamålet preciserats till behandling av personuppgifter för forskning inom rättspsykiatrin. Personuppgiftsbehandling enligt lagen sker inte med stöd av samtycke men enligt regeringens uppfattning kan skäl 33 ge vägledning för hur man ska se på ändamålsbeskrivning generellt vid behandling av personuppgifter för forskningsändamål oavsett vilken grund som behandlingen baseras på. Ändamålet har angivits vara forskning inom rättspsykiatrin. Området för forskningen har således preciserats. Regeringen anser därför att ändamålsbeskrivningen i första punkten är förenlig med dataskyddsförordningen och kan behållas. Det krävs också att forskningen och behandlingen har godkänts enligt etikprövningslagen för att uppgifterna i registret ska få användas. Detta är ett villkor, en skyddsåtgärd, som infördes till skydd för den registrerade mot bakgrund av att registret innehåller mycket känsliga personuppgifter.

När det gäller ändamålet användning i Rättsmedicinalverkets utvecklingsarbete ansågs ändamålet vara ett viktigt allmänt intresse då lagen infördes och därmed berättigat.

Regeringen delar utredningens bedömning att kraven på tillräckligt preciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet och att regeringens och riksdagens redan gjorda bedömningar därför är fortsatt giltiga och förenliga med dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas.

Finalitetsprincipen har begränsats i lagen

Av propositionen med förslaget till lag om rättspsykiatriskt forskningsregister framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de föreslagna två ändamålen (prop. 1998/99:72 s. 33). De uppräknade ändamålen och tillåtna behandlingarna i lagen är således uttömmande. Detta innebär en begränsning av finalitetsprincipen enligt

dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b).

Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med dataskyddsförordningen och därmed kan behållas.

16.1.7. Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om vilka uppgifter om registrerade personer som får registreras kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 4 § lagen om rättspsykiatriskt forskningsregister anges att registret endast får innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I 4 § andra stycket anges att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personuppgifter från det brottmålet föras in i registret. I 5–9 §§ anges därefter vilka uppgifter för varje person som får registreras i registret. Majoriteten av de slags uppgifter som anges i 5–9 §§ registerlagen är sådana uppgifter som kategoriserades som känsliga personuppgifter enligt 13 § PUL (artikel 8.1 i dataskyddsdirektivet) eller personuppgifter om lagöverträdelser m.m. enligt 21 § PUL. Motsvarande bestämmelser beträffande särskilda kategorier av personuppgifter (känsliga personuppgifter) finns i artikel 9.1 i dataskyddsförordningen och beträffande personuppgifter om lagöverträdelser m.m. i artikel 10 i dataskyddsförordningen.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös

eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 9.2 räknas ett antal undantag från förbudet upp. Förbudet gäller bl.a. inte om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g) och inte heller om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål (artikel 9.2 j). I båda dessa fall anges det att behandlingen ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla lämpliga och särskilda skyddsåtgärder. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 i dataskyddsförordningen förtydligas bl.a. att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det.

Av artikel 10 i dataskyddsförordningen framgår att behandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts.

Som redogjorts för i avsnittet om ändamålsbestämmelsen i 3 § lagen om rättspsykiatriskt forskningsregister har regeringen i samband med införandet av lagen och då ändamålet med personuppgiftsbehandlingen enligt lagen fastställdes gjort bedömningen att behandling av personuppgifter för forskningsändamål ur det rättspsykiatriska forskningsregistret liksom behandling av personuppgifter ur registret för utvecklingsarbete inom RMV är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt intresse. Det väl avgränsade ändamålet med behandlingen samt den strikta bedömningen av vilka uppgifter som får registreras för varje person bedömdes av regeringen utgöra ett fullgott skydd för de registrerades personliga integritet. Regeringen och riksdagen fann således vid införandet av registerlagen att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas.

När det gäller behandling av känsliga personuppgifter i registret för utvecklingsarbete inom RMV enligt 3 § andra punkten finns det ingen anledning att göra en annan bedömning än att det är ett sådant viktigt allmänt intresse att behandlingen är tillåten även enligt artikel 9.2 g i dataskyddsförordningen. Genom artikel 9.2 j finns vidare ett särskilt stöd i dataskyddsförordningen för behandling av känsliga personuppgifter i det rättspsykiatriska forskningsregistret för forskning inom rättspsykiatrin enligt 3 § första punkten. Både när det gäller forskning och utvecklingsarbete inom

RMV sker behandlingen av känsliga personuppgifter på grundval av bestämmelser i nationell rätt. Det är även nu regeringens bedömning att de aktuella bestämmelserna står i proportion till det eftersträvade syftet med behandling av personuppgifter och är förenliga med det väsentliga innehållet i rätten till dataskydd. Som kommer att framgå av den följande redogörelsen för bestämmelserna i lagen innehåller den också ett antal bestämmelser om skyddsåtgärder.

I 5 § lagen om rättspsykiatriskt forskningsregister anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § PUL angavs att uppgifter om personnummer eller samordningsnummer fick behandlas utan samtycke bara när det var klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen i 22 § PUL infördes med stöd av artikel 8.7 i dataskyddsdirektivet som angav att medlemsstaterna skulle bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering fick behandlas. Bestämmelsen i 5 § lagen om rättspsykiatriskt forskningsregister är således införd efter en bedömning utifrån kraven i PUL.

Behandling av nationella identifikationsnummer regleras i artikel 87 i dataskyddsförordningen, som anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor sådana identifikationsnummer får behandlas. Sådan behandling får endast ske med iakttagande av lämpliga skyddsåtgärder. I dataskyddslagen har det införts en motsvarande bestämmelse till bestämmelsen i 22 § PUL. Bestämmelsen anger att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av uppgifter om personnummer och samordningsnummer är tillåten (3 kap. 10 och 11 §§ dataskyddslagen).

Eftersom motsvarande möjligheter till undantag från förbudet mot behandling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer som finns i dataskyddsdirektivet finns i dataskyddsförordningen anser regeringen, i likhet med utredningen, att de bedömningar som gjordes vid införandet av bestämmelserna om vilka uppgifter om registrerade personer som ska finnas i registret kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare regeringens bedömning att dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i registerlagen genom kravet på etikprövning samt regleringarna avseende direktåtkomst, sekretess och restriktionerna vid utlämnande av uppgifter.

När det gäller uppgifter i registret som utgör uppgifter om lagöverträdelser enligt artikel 10 i dataskyddsförordningen sker behandlingen under kontroll av myndighet och lagen uppfyller dessutom som nämnts enligt regeringens bedömning kravet på att nationell rätt ska innehålla lämpliga skyddsåtgärder.

Sammanfattningsvis delar därför regeringen utredningens bedömning att bestämmelserna i 4–9 §§ registerlagen är förenliga med dataskyddsförordningen och kan och bör behållas som tillåten specificerande nationell reglering enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

16.1.8. Andra myndigheters uppgiftsskyldighet bör behållas

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om att Socialstyrelsen, Kriminalvården respektive

Statens Institutionsstyrelse ska lämna uppgifter till det rättspsykiatriska forskningsregistret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Av 10 § lagen om rättspsykiatriskt forskningsregister framgår att Socialstyrelsen, Kriminalvården respektive

Statens institutionsstyrelse ska lämna vissa uppgifter (enligt 6–9 a §§ i lagen) till det rättspsykiatriska forskningsregistret.

Ett skäl för att författningsreglera tillförande av uppgifter till registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet skulle fungera i praktiken. En sådan reglering är dock också nödvändig i många fall för att uppgifter ska kunna tillföras registret utan hinder av att sekretess gäller för uppgifterna (prop. 1998/99:72 s. 46 f.). Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400, OSL) får en uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten följer av lag eller förordning. Bestämmelsen i 10 § lagen om rättspsykiatriskt forskningsregister är således en sådan sekretessbrytande författningsreglering som gör det möjligt för de aktuella myndigheterna att lämna även sekretessbelagda uppgifter till registret. Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt regeringens uppfattning en sådan tillåten specifik nationell bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.1.9. Bestämmelsen om direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 11 § lagen om rättspsykiatriskt forskningsregister får

endast RMV ha direktåtkomst till uppgifter i

det rättspsykiatriska forskningsregistret. Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, dataskyddsdirektivet eller i PUL finns det särskilda bestämmelser som direkt rör denna form av behandling.

Begränsningen i 11 § är ett villkor som gäller för behandlingen och en sådan skyddsåtgärd som krävs enligt dataskyddsförordningen vid all behandling av personuppgifter för forskningsändamål och som särskilt krävs vid behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Det är regeringens uppfattning att bestämmelsen i sak är förenligt med dataskyddsförordningen och att den är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g, då behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, eller undantaget i artikel 9.2 j, då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål, ska kunna tillämpas och behandlingen enligt lagen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas.

16.1.10. Bestämmelsen om vilken information som ska lämnas ska anpassas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om vilken information som ska lämnas till den registrerade ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av dataskyddsförordningen. Hänvisningen till personuppgiftslagen ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Av 12 § lagen om rättspsykiatriskt forskningsregister framgår vilken information om behandlingen som

RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade har således rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har stärkts i detta avseende.

Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant genomfördes genom 23–25 §§ PUL.

Viss information som ska lämnas enligt 12 § lagen om rättspsykiatriskt forskningsregister motsvaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i lagen om rättspsykiatriskt forskningsregister inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade kan enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock, som utredningen föreslagit, bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Det innebär att punkt 1 om att RMV är personuppgiftsansvarigt, punkt 2 om ändamålen med behandlingen, punkt 3 om vilken typ av uppgifter behandlingen avser och punkt 4 om mottagarna av uppgifterna bör utgå.

När det gäller 12 § punkt 6 i registerlagen om information som ska lämnas efter ansökan samt om rättelse och skadestånd finns motsvarande bestämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskyddsförordningen. Dessa delar av punkten bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att berörda bestämmelserna finns i PUL måste slutligen ersättas med en hänvisning till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Till skillnad från artikel 14 i dataskyddsförordningen innehåller 12 § lagen om rättspsykiatriskt forskningsregister inget undantag från när information ska lämnas. Artikel 14.5 i dataskyddsförordningen anger undantag från kravet att lämna information. Genom att artikel 14 i dataskyddsförordningen är direkt tillämplig, då förordningen började tillämpas den 25 maj 2018, är även bestämmelserna om undantag då information inte behöver lämnas direkt tillämpliga.

Hänvisningar till S16-1-10

16.1.11. Bestämmelsen om utlämnande av uppgifter bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om utlämnande av uppgifter kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 13 § första stycket lagen om rättspsykiatriskt forskningsregister ska RMV till Socialstyrelsen, Kriminalvården och Statens institutionsstyrelse, på medium för automatiserad behandling, lämna de uppgifter som är nödvändiga för att dessa myndigheter ska kunna lämna uppgifter enligt 10 § till det rättspsykiatriska forskningsregistret. Av 13 § andra stycket i paragrafen framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på medium för automatiserad behandling endast om uppgifterna ska användas för det ändamål som anges i 3 § punkten 1, dvs. för forskning inom rättspsykiatrin.

Regleringen i bestämmelsens första stycke syftar till att RMV ska underlätta för de berörda myndigheterna att i sin tur lämna uppgifter till registret enligt 10 § registerlagen, genom att RMV ska lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behandling. En sådan reglering påverkas inte av dataskyddsförordningen.

När det gäller regleringen i andra stycket om att uppgifter från registret, utöver vad som anges i första stycket, endast får lämnas ut på medium för automatiserad behandling om uppgifterna ska användas för forskning inom rättspsykiatrin, anförde regeringen i propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på medium för automatiserad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikprövning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om användning i enlighet med registrets ändamål.

Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförordningen. En sådan skyddsåtgärd bör liksom skyddsåtgärden i 11 § enligt regeringens bedömning rymmas inom den tillåtna specificeringen i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Sammantaget delar regeringen utredningens bedömning att bestämmelsen om utlämnande av uppgifter kan och bör behållas.

16.1.12. Upplysningen om sekretess bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som upplyser om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret i offentlighets- och sekretesslagen kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL.

Sekretess är en skyddsåtgärd såväl enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen i 14 § lagen om rättspsykiatriskt forskningsregister är enligt regeringens bedömning, i likhet med bestämmelserna i 11 och 13 §§, en sådan specificering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.1.13. Bestämmelsen om rättelse och skadestånd ska upphävas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 15 § lagen om rättspsykiatriskt forskningsregister hänvisas till att bestämmelserna i PUL om rättelse och skadestånd ska gälla vid behandling av personuppgifter enligt den förstnämnda lagen.

Bestämmelserna om rättelse och skadestånd i PUL fanns i 28 § respektive 48 §. Bestämmelsen om rättelse i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen och bestämmelsen i 48 § PUL om skadestånd gällde endast om behandling skett i strid med den lagen. För att bestämmelserna om rättelse

och skadestånd skulle vara tillämpliga även vid behandling i strid med lagen om rättspsykiatriskt forskningsregister krävdes det därför att det särskilt angavs att bestämmelserna i PUL gäller om behandling av personuppgifter sker i strid med lagen om rättspsykiatriskt forskningsregister. Det är skälet till att hänvisningen i 15 § har införts.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16.

Vid införandet av lagen om rättspsykiatriskt forskningsregister har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. När dataskyddsförordningen nu börjat tillämpas gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte ska införas i svensk rätt.

Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om rätt till rättelse bör därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen. I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd. Dessutom har det i dataskyddslagen införts en bestämmelse som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om rättspsykiatriskt forskningsregister.

Detta innebär sammantaget att bestämmelsen i 15 § registerlagen bör upphävas i dess helhet och inte ersättas med någon hänvisning till dataskyddsförordningen.

16.1.14. Bestämmelsen om överklagande ska upphävas

Regeringens förslag: Bestämmelsen om överklagande i lagen om rättspsykiatriskt forskningsregister ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Enligt 16 § lagen om rättspsykiatriskt forskningsregister får beslut av RMV om information som ska lämnas ef-

ter ansökan enligt 26 § PUL och om rättelse enligt 28 § samma lag överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Av propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister framgår att bestämmelsen om skadestånd ursprungligen infördes i lagen för att några bestämmelser om överklagande i de angivna situationerna inte fanns i PUL vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt berörde den enskilde skulle kunna överklagas. Efter att bestämmelsen i lagen om rättspsykiatriskt forskningsregister infördes kom dock en bestämmelse med motsvarande innehåll att införas i PUL genom 52 §. Någon motsvarande reglering fanns dock inte i dataskyddsdirektivet.

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel. I artikel 79.2 i dataskyddsförordningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas.

I dataskyddslagen finns bestämmelser om överklagande som i sak motsvarar 52 § PUL (7 kap. 2 § dataskyddslagen). Då dataskyddslagen ska gälla i den mån inte annat föreskrivs i lagen om rättspsykiatriskt forskningsregister är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Regeringen anser därför att bestämmelsen om överklagande i 16 § lagen om rättspsykiatriskt forskningsregister bör upphävas.

16.2. Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningen

16.2.1. Innehållet i lagen

Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013. Lagens syfte är att ge ett tydligt lagstöd för register som förs med de registrerades samtycke i syfte att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt och skydda den enskildes personliga integritet i sådan verksamhet.

Känsliga personuppgifter samlas enligt lagen in med uttryckligt samtycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forskningsprojekt som har godkänts vid en etikprövning. Lagen innehåller bl.a. bestämmelser om för vilka ändamål personuppgifterna får behandlas (5–8 §§), vilka personuppgifter som får finnas i register enligt lagen (9 §), intern elektronisk åtkomst (10 §), gallring (12 §), samtycke och information (14 och 15 §§), utplåning av uppgifter (16 §) och skadestånd (17 §).

Regeringen beslutar vilka universitet och högskolor som ska få föra register i enlighet med lagen och vilka register som får föras. Föreskrifter om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Lagen är tidsbegränsad och har förlängts vid två tillfällen, senast genom beslut av riksdagen i november 2017, till att gälla till och med den 31 december 2020. Skälet till att lagen är tidsbegränsad är det utredningsarbete som påbörjades år 2013, när regeringen gav en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning (dir. 2013:08). Utredningen, som tog sig namnet Registerforskningsutredningen (U 2013:01) lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45).

Forskningsdatautredningen fick den 7 juli 2016 i uppdrag att bl.a. analysera vilken svensk reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den övergripande reglering som Dataskyddsutredningen skulle komma att föreslå. När det gäller lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skulle utredningsarbetet bedrivas i två steg. I ett första skede skulle utredningen analysera vilka anpassningar som behövde göras i den lagen inför att dataskyddsförordningen skulle börja tillämpas. I ett andra skede skulle utredningen utreda i vilken mån förslagen som lämnades i Registerforskningsutredningens betänkande SOU 2014:45 är förenliga med dataskyddsförordningen och kan ligga till grund för en långsiktig reglering av forskningsdatabaser. Uppdraget i den första delen redovisades i det delbetänkande som ligger till grund för denna proposition. Uppdraget i den andra delen redovisades i betänkandet Rätt att forska – En långsiktig reglering av forskningsdatabaser (SOU 2018:36) den 5 juni 2018. Det sistnämnda betänkandet behandlas inte i denna proposition.

16.2.2. Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig är generellt positiva utredningens förslag eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland andra Justitiekanslern har inga synpunkter på förslagen och bedömningarna beträffande lagen.

Centrala etikprövningsnämnden, Statens väg- och transportforskningsinstitut, Sveriges geologiska undersökningar och Verket för innovationssystem (Vinnova) tillstyrker förslagen till anpassningar av lagen. Skåne läns landsting, Västra Götalands läns landsting, Svenska läkaresällskapet och Sveriges Kommuner och Landsting (SKL)

stöder eller välkomnar

utredningens bedömning att lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna

:

Flertalet remissinstanser tillstyrker, har inga syn-

punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns landsting, Västra Götalands läns landsting och Karlstads universitet. Datainspektionen vidhåller sin ståndpunkt att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser.

Skälen för regeringens bedömning: Dataskyddsförordningen är som nämnts direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning i artikel 6.1 c och e.

Av motiven till lagen framgår explicit att det är regeringens bedömning att ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till specifika forskningsprojekt som har godkänts vid etikprövning är ett sådant viktigt allmänt intresse som avsågs i artikel 8.4 i dataskyddsdirektivet. Artikel 8.4 gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa utgör ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet. Regeringen delar utredningens bedömning att det inte torde föreligga någon skillnad i sak avseende innebörden i begreppet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen.

Personuppgiftsbehandlingen enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är alltså enligt regeringens bedömning laglig enligt artikel 6.1 e då den bedömts vara nödvändig för ett utföra en uppgift av allmänt intresse. Lagen innehåller ett antal bestämmelser som anger bl.a. ändamålet, vilka uppgifter som får finnas i registret och andra villkor som gäller för behandling av uppgifter i registret. Sådana bestämmelser är möjliga att ha i nationell rätt när grunden för behandlingen är att den är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.2 och 6.3. Regeringen anser också att regleringen är proportionell i förhållande till ändamålet. Regeringen delar därför utredningens bedömning att lagen utgör en sådan tillåten specifik nationell

reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Datainspektionen ifrågasätter med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Regeringen anser till skillnad från Datainspektionen att ändamålsbestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.).

Behandling av personuppgifter ska enligt 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ändamål och är ett krav som stärker skyddet för den registrerades integritet.

Utgångspunkten för lagen har varit att det ska vara en samtyckesbaserad reglering. Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av personuppgifter för forskningsändamål. I sammanhanget bör även skäl 43 i dataskyddsförordningen beaktas. Av skäl 43 framgår som nämnts att samtycke inte bör vara en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskild om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt. Möjligheten att använda samtycke som rättslig grund har behandlats närmare i avsnitt 7.1.1 och 7.2.1. När det gäller offentliga forskningsutförare kan det, som framgår av sistnämnda avsnitt, enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För offentliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant organ. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. De universitet och högskolor som omfattas av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är i och för sig myndigheter men med hänsyn till hur starkt frivilligheten framhålls i lagen är det regeringens bedömning att det inte kan anses föreligga betydande ojämlikhet mellan den enskilde och den personuppgiftsansvarige i de fall lagen omfattar.

Den personuppgiftsbehandling som lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande kommer regeringen att gå igenom lagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

16.2.3. Bestämmelsen om lagens syfte bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens syfte kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt och att skydda den enskildes personliga integritet i sådan verksamhet. Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan kan sägas ange en grund för bestämmelserna om för vilka ändamål behandling av personuppgifter enligt lagen får ske. Att i nationell lag fastställa syftet med en behandling som grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse är tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt regeringens bedömning kan och bör därför bestämmelsen behållas.

16.2.4. Bestämmelsen om lagens tillämpningsområde bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens tillämpningsområde kan och bör behållas.

Utredningens förslag överensstämmer delvis med regeringens bedömning. Utredningen har föreslagit att andra stycket i bestämmelsen ska tas bort men bedömt att bestämmelsen i övrigt kan behållas.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges lagens tillämpningsområde. Lagen gäller enligt 2 § första stycket behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes

uttryckliga samtycke sker i sådant syfte som anges i 1 §, dvs. att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet. Vidare är lagen enligt 2 § andra stycket tillämplig bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. I 2 § tredje stycket anges att regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen, och vilka register enligt lagen som får föras.

I 3 § anges att PUL gäller vid behandling av personuppgifter, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Som regeringen återkommer till i nästa avsnitt ska hänvisningarna till PUL tas bort och ersättas av en upplysning om att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kompletterar dataskyddsförordningen.

Regeringen delar utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.

Formuleringen i 2 § andra stycket motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Andra stycket i den aktuella bestämmelsen förtydligar att helt manuell behandling av personuppgifter som inte ingår i någon samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier faller utanför lagens tillämpningsområde. Regeringen anser till skillnad från utredningen att andra stycket i bestämmelsen bör behållas för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade.

Sammanfattningsvis är det därför regeringens bedömning att bestämmelsen i sin helhet kan och bör behållas.

16.2.5. Hänvisningarna till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 3 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att PUL gäller vid all behandling av personuppgifter, om inte annat följer av den förstnämnda lagen. Då PUL har upphävts ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till PUL i 3 § ska tas bort. Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till 28 § PUL i fråga om rättelse (13 §), 26 § PUL om information efter ansökan (14 § andra stycket p. 7) och 48 § PUL om skadestånd (17 §). Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen (2018:218), se respektive avsnitt nedan.

16.2.6. Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen

Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, som tydliggör att den lagen kompletterar dataskyddsförordningen.

I lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska det också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen.

Utredningens förslag överensstämmer i sak med regeringens förslag.

Utredningens förslag till lagtext har formulerats på ett annat sätt än regeringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock, i likhet med utredningen, att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen.

En sådan bestämmelse tydliggör

lagens förhållande till dataskyddsförordningen och det blir tydligt att lagen inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.

Genom dataskyddslagen har det som tidigare nämnts införts en lag som på generell nivå kompletterar dataskyddsförordningen i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till den lagen. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförordningen finns det i dataskyddslagen generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges det att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i den lagen som anger att vid behandling av personuppgifter enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen,

om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förhåller sig till brottsdatalagen.

Brottsdatalagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som

1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjukdomar och människors hälsa i övrigt och för att lämna ut uppgifter för sådan forskning. Statliga universitet och högskolor kan inte sägas ha någon sådan brottsbekämpande eller brottsutredande uppgift som anges i brottsdatalagen och är därmed inte någon sådan behörig myndighet på vars verksamhet brottsdatalagen är tillämplig. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen.

16.2.7. Bestämmelsen om vilka som är personuppgiftsansvariga bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka som är personuppgiftsansvariga kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att de universitet och högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i dataskyddsförordningen att ange vem som är personuppgiftsansvarig i den nationella rätten. I 5–8 §§ lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges för vilka ändamål personuppgifter får behandlas enligt lagen. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka som är personuppgiftsansvariga. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas.

16.2.8. Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen.

Ingen annan remissinstans kommenterar bedöm-

ningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen vidhåller sin ståndpunkt att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser. Ingen annan remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gäller enligt PUL (9 §), som baseras på dataskyddsdirektivet.

De primära ändamål som personuppgifter får behandlas för enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, anges i 5 §. De är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndighet och att forskningen och personuppgiftsbehandlingen är godkända enligt etikprövningslagen. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men de får vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. Regeringen anser att dessa ändamålsbestämmelser är tillräckligt preciserade för att uppfylla kraven i dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör därför behållas.

Datainspektionen ifrågasätter med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med data-

skyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Som regeringen redan har anfört i avsnitt 16.2.2 anser regeringen till skillnad från Datainspektionen att ändamålsbestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.). Det har sedan dess inte tillkommit någon praxis från EU-domstolen som ger anledning till någon annan bedömning än tidigare. Mot denna bakgrund delar inte regeringen Datainspektionens uppfattning.

Sekundära ändamål och finalitetsprincipen

Termen sekundära ändamål avser myndigheters utlämnande av personuppgifter för att tillgodose andras behov. Ett sekundärt ändamål enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är enligt 7 § första stycket utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Personuppgifter som registrerats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är regeringens bedömning att bestämmelsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad.

Personuppgifter som behandlas för det primära ändamålet att ingå i ett register enligt lagen eller för att lämnas ut för sådan forskning som lagen avser får enligt 8 § första stycket i registerlagen, utöver vad som anges i 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse har förts in i lagen för att undvika konflikt med andra lagar som innebär en uppgiftsskyldighet. Det kan bl.a. finnas en skyldighet att lämna uppgifter till tillsynsmyndigheten, dvs. Datainspektionen. Bestämmelsen är enligt regeringens uppfattning en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 som kan kvarstå oförändrad.

De uppräknade ändamålen och tillåtna behandlingarna i lagen är enligt 8 § andra stycket uttömmande. Det innebär en begränsning av finalitetsprincipen enligt dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b). Mot bakgrund av att ändamålen med behandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas.

16.2.9. Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka personuppgifter som får finnas i registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka uppgifter som får finnas i ett register som förs med stöd av lagen. Uppräkningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräkning råder det enligt regeringens uppfattning inget tvivel om att uppgifterna som samlas in med stöd av lagen utgörs av huvudsakligen känsliga personuppgifter, enligt definitionen i 13 § PUL där bland annat personuppgifter om hälsa ingick. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (särskilda kategorier av uppgifter). Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier uppgifter som omfattas av det principiella förbudet mot behandling, jämfört med motsvarande reglering i dataskyddsdirektivet och PUL. I 3 kap. 1 § dataskyddslagen anges att med känsliga uppgifter avses i den lagen sådana uppgifter som avses i artikel 9.1.

I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga undantag från förbudet i artikel 9.1, till exempel om den registrerade har lämnat sitt samtycke (artikel 9.2 a) eller om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i artikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att

förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det.

Motsvarande förbud mot behandling av känsliga personuppgifter fanns i dataskyddsdirektivets artikel 8.1, vilken införlivades i svensk rätt genom 13 § PUL. Undantag från förbudet var bland annat möjligt om den registrerade lämnat sitt uttryckliga samtycke (artikel 8.2 a i dataskyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirektivet).

I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerlagen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet. De bestämmelser som finns i registerlagen bl.a. ifråga om information, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas enligt registerlagen.

Eftersom motsvarande möjligheter till undantag finns i dataskyddsförordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter enligt registerlagen finns således i artikel 9.2 a i dataskyddsförordningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskyddsförordningen.

16.2.10. Begränsningen av intern elektronisk åtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om begränsning av intern elektronisk åtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 10 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförordningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att reglera i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g när en behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i artikel 9.2 j när en behandling är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas.

16.2.11. Förbudet mot direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om förbud mot utlämnande genom direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 11 § i registerlagen får utlämnande genom direktåtkomst till personuppgifter i registret inte förekomma. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförordningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g då behandlingen är

nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i artikel 9.2 j då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen enligt lagen vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är en sådan bestämmelse. Mot den angivna bakgrunden kan och bör bestämmelsen behållas.

I ett beslut i ett tillsynsärende gällande personuppgiftsbehandlingen i det s.k. LifeGene-registret har Datainspektionen konstaterat att Karolinska institutet, som är personuppgiftsansvarigt, medger deltagare i projektet att via en personlig hemsida på egen hand söka efter uppgifter om sig själva som finns i registret. Enligt Datainspektionen är det fråga om att institutet ger deltagarna direktåtkomst till uppgifter i registret utan lagligt stöd (beslut av Datainspektionen 6 februari 2015, dnr 708-2014). Frågan om förbudet mot direktåtkomst enligt bestämmelsen även fortsättningsvis bör gälla mot den enskilde själv övervägdes av Forskningsdatautredningen i samband med utredningens slutbetänkande (SOU 2018:36).

16.2.12. Bestämmelsen om gallring ska anpassas

Regeringens förslag: Terminologin i bestämmelsen om gallring i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningens terminologi.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Enligt 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska personuppgifter gallras när de inte längre behövs för de ändamål som avses i 5 § 1 och 2, dvs. att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och att lämna ut uppgifter för sådan forskning i den utsträckning och på det sätt som anges i 6 §. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller

historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Motsvarande bestämmelse finns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskyddsförordningen. Regeringen anser att bestämmelserna i 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, dvs. att personuppgifter ska gallras så snart de inte längre behövs, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, utgör en sådan nationell bestämmelse om lagringstid som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundas på en uppgift av allmänt intresse. Tidigare bedömningar och avvägningar mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallringsbestämmelsen i registerlagen, är fortfarande relevanta och balanserade. Det är därför regeringens bedömning att bestämmelsen om gallring inte behöver ändras i sak.

I dataskyddsförordningen används formuleringen ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”, vilket i viss mån skiljer sig från dataskyddsdirektivet, där formuleringen ”historiska, statistiska eller vetenskapliga ändamål” används. Formuleringen i 12 § registerlagen bör anpassas till dataskyddsförordningen.

16.2.13. Bestämmelsen om rättelse ska upphävas

Regeringens förslag: Bestämmelsen om rättelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 13 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att bestämmelserna om rättelse i 28 § PUL ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den förstnämnda lagen.

Bestämmelsen i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen. För att bestämmelserna om rättelse skulle vara tillämpliga även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det i den lagen särskilt

angavs att bestämmelserna i 28 § PUL gäller om behandling av personuppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16. Till skillnad från vad som gäller enligt PUL är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det finns därför inte skäl att införa motsvarande hänvisning till dataskyddsförordningen.

Vid införandet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. Enligt dataskyddsförordningen gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte heller ska införas i svensk rätt.

Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om rätt till rättelse ska därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen.

16.2.14. Bestämmelsen om samtycke och information ska anpassas

Regeringens förslag: Bestämmelsen om samtycke och information i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Den hänvisning till personuppgiftslagen som finns ska tas bort.

Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslagen särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 14 § första stycket lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa

anges att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt lagen utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen. Av andra stycket i paragrafen framgår vilken information som ska lämnas till en person innan han eller hon lämnar sitt samtycke. I uppräkningen av vilken information som ska lämnas till den enskilde finns en hänvisning till bl.a. 26 § PUL. I den paragrafen fanns bestämmelser om vilken information som ska lämnas till den registrerade efter ansökan.

Det följer av 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa att kravet på samtycke till behandling i 14 § gäller såväl personuppgifter som inhämtas från den registrerade som personuppgifter som inhämtas från annan än den registrerade.

Det är regeringens bedömning att bestämmelsen i 14 § första stycket om att samtycke krävs för behandling av personuppgifter enligt lagen är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

I artikel 13 i dataskyddsförordningen anges vilken information som den personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter samlas in från den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än motsvarande bestämmelse som fanns i artikel 10 i dataskyddsdirektivet. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har samlats in från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information i en sådan situation är mer utförlig än motsvarande som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade har således i båda fallen rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har stärkts i detta avseende.

Uppräkningen av vilken information som ska lämnas enligt 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skiljer sig i viss mån åt från den uppräkning som finns i artiklarna 13 och 14 i dataskyddsförordningen. Viss information som ska lämnas enligt 14 § registerlagen motsvaras av information enligt de direkt tillämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen medan vissa punkter i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Enligt regeringens bedömning innebär detta att

14 § andra stycket punkt 2 om för vilka ändamål behandling kan ske och vilka uppgifter som får registreras och punkt 7 om rätten till information bör anpassas till dataskyddsförordningen genom att den del i punkt 2 som avser för vilka ändamål behandling kan ske stryks och att hänvisningen till 26 § PUL i punkt 7 stryks. Vidare bör punkt 4 om vem som är personuppgiftsansvarig, punkt 5 om hur länge uppgifterna sparas, punkt 6 om rätten till rättelse och punkt 10 om rätten att få uppgifter utplånade utgå.

Vidare skiljer sig bestämmelsen i 14 § i registerlagen från artiklarna 13 och 14 i dataskyddsförordningen på så sätt att den anger att informationen ska ha lämnats innan den registrerade ger sitt samtycke till behandlingen av personuppgifter. I artikel 13 i dataskyddsförordningen anges det att informationen ska lämnas när personuppgifterna erhålls när det är fråga om uppgifter som samlas in från den registrerade och i artikel 14 anges det att informationen ska lämnas inom en rimlig period, dock senast inom en månad, när uppgifterna inte har samlats in från den registrerade. Bestämmelsen i registerlagen begränsar inte den registrerades rätt till information. Liksom att samtycke är en förutsättning för att personuppgifter ska få behandlas enligt lagen är ett krav som stärker den registrerades integritet är även kravet på att informationen lämnas innan den registrerade lämnar sitt samtycke ett krav som stärker den registrerades rättigheter. Denna del av bestämmelsen är därmed enligt regeringens uppfattning en tillåten precisering för att anpassa tillämpningen i nationell rätt enligt artikel 6.2 och 6.3 och den kan och bör behållas.

16.2.15. Bestämmelsen om information om utlämnande till forskning bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om att den registrerade ska få information om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Den registrerade har enligt 15 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.

Bestämmelsen kan sägas vara en specificering av den rättighet som anges i artikel 15.1 c i dataskyddsförordningen, dvs. att den registrerade ska ha rätt att få information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut. Bakgrunden till bestämmelsen i registerlagen är bedömningen att den registrerade kan behöva få tillgång till information om till vilka forskningsprojekt uppgifter

om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter. Bestämmelsen är, enligt regeringens bedömning, en sådan nationell specificering som är tillåten enligt skäl 8 samt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.2.16. Bestämmelsen om utplåning ska upphävas

Regeringens förslag: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om den registrerades rätt till utplåning av uppgifter ska upphävas.

Utredningens förslag överensstämmer inte med regeringens förslag.

Utredningen har föreslagit att bestämmelsen om den registrerades rätt till utplåning av uppgifter ska ändras på så sätt att första meningen i paragrafen ersätts med en inledande upplysning om artikeln i dataskyddsförordningen som reglerar rätten till radering men att bestämmelsen i övrigt behålls och att begreppet utplåna genomgående ersättas med begreppet radera i enlighet med terminologin i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Av 16 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa framgår att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen ställs vidare vissa formella krav på hur en begäran om utplåning ska vara utformad. Det ställs också krav på att den personuppgiftsansvarige utplånar uppgifterna i enlighet med begäran om inom två månader från det att begäran gjordes och sänder en bekräftelse till den registrerade på att utplåning har skett. Dessutom ställs det vissa krav på innehållet i bekräftelsen som ska sändas till den registrerade.

Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i dataskyddsförordningen såtillvida att den registrerade har en ovillkorlig rätt att få sina uppgifter utplånade. Enligt artikel 17 i dataskyddsförordningen har den registrerade rätt att få sina personuppgifter raderade om någon av ett antal uppräknade situationer föreligger. Rätten till radering gäller inte heller enligt artikel 17.3 i den utsträckning som behandlingen är nödvändig för något av ett antal uppräknade skäl, bl.a. om den är nödvändig för vetenskapliga eller historiska forskningsändamål i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Den registrerades rätt till utplåning enligt registerlagen avviker alltså från vad som anges i den direkt tillämpliga artikel 17 i dataskyddsförordningen. Denna del av paragrafen är därför enligt regeringens bedömning inte förenlig med dataskyddsförordningen. Resterande del av paragrafen

innehåller bestämmelser som närmare reglerar förfarandet vid en begäran om utplåning. Det ställs krav på den registrerade som går utöver vad som framgår av dataskyddsförordningen genom kraven på att begäran ska göras skriftligen och vara undertecknad av den registrerade. I artikel 17 i dataskyddsförordningen anges dessutom att den registrerade har rätt att få sina personuppgifter raderade utan onödigt dröjsmål när någon av de uppräknade situationerna föreligger medan det i bestämmelsen i registerlagen anges att ett utplånande ska ske inom två månader från det att begäran gjordes. Enligt regeringens bedömning finns det inte någon grund i dataskyddsförordningen för att i nationell rätt ställa sådana ytterligare krav på den registrerade eller begränsa rättigheten på sådant sätt. Bestämmelsen kan därför inte behållas utan ska upphävas. Den motsvarande rätten till radering kommer därmed att följa direkt av dataskyddsförordningen.

16.2.17. Bestämmelsen om skadestånd ska upphävas

Regeringens förslag: Bestämmelsen om skadestånd i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 17 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att bestämmelserna i 48 § PUL om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelsen i 48 § PUL gällde endast om behandling skett i strid med den lagen. För att bestämmelsen om skadestånd skulle vara tillämplig även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det särskilt angavs att bestämmelserna i PUL gäller om behandling av personuppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar nu när PUL har upphävts.

I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd.

Dessutom har det i dataskyddslagen införts en bestämmelse i dataskyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i data-

skyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelsen om skadestånd i 17 § i registerlagen bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.

17. Ikraftträdande- och övergångsbestämmelser

17.1. Lagändringarna ska träda i kraft den 1 januari 2019

Regeringens förslag: Ändringarna i lagen om rättspsykiatriskt forskningsregister, etikprövningslagen, offentlighets- och sekretesslagen, lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt i lagen med kompletterande bestämmelser till

EU:s dataskyddsförordning ska träda i kraft den 1 januari 2019.

Utredningens förslag överensstämmer inte med regeringens förslag.

Utredningen föreslår att forskningsdatalagen och lagändringarna ska träda i kraft den 25 maj 2018.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig instämmer i förslaget eller har inget att invända. Lunds universitet framför att det har implikationer för forskningen att förändringarna i etikprövningslagen (liksom de övriga förslagen) föreslås träda i kraft 1 januari 2019, eftersom Sverige därmed kommer att sakna kompletterande bestämmelser till dataskyddsförordningen från det att dataskyddsförordningens bestämmelser börjar tillämpas den 25 maj till årets slut. Detta är problematiskt på flera sätt. Ett av problemen är att etikprövningslagen inte kommer att ha anpassats till förordningens utökade lista på ”känsliga personuppgifter”. En än mer grundläggande fråga är enligt universitetet om det alls är möjligt att erhålla etiskt tillstånd så länge etikprövningslagen hänvisar till den upphävda personuppgiftslagen. Universitet anser att man bör undersöka om det finns möjlighet att låta förändringarna träda i kraft tidigare än vad som nu föreslagits. Skulle detta inte vara möjligt behöver svenska universitet och högskolor vägledning för den period då förslagen inte hunnit träda i kraft. Även Stockholms universitet, Regionala etikprövningsnämnden i Uppsala och Läkemedelsindustriföreningen påpekar att det senare ikraftträdandet av ändringarna i etikprövningslagen innebär att nationell rätt inte kommer att innehålla någon reglerad skyddsåtgärd för behandling av de kategorier av känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen som inte omfattas av 13 § PUL.

Även dessa remissinstanserna efterlyser vägledning för dem som har att tillämpa regleringen under denna övergångsperiod. Regionala etikprövningsnämnden i Umeå konstaterar att fram till dess att lagändringarna träder i kraft är en etikgranskning enligt 3 § etikprövningslagen på sin höjd är möjlig till den del projektet behandlar känsliga personuppgifter enligt PUL-uppräkningen. Om ett projekt även innefattar behandling av t.ex. genetiska uppgifter kommer den delen att bli föremål för etikprövningsnämndens prövning endast som en del i den allmänna avvägningen av risk mot värde i 9 § etikprövningslagen. Nämnden anför att det får bli den personuppgiftsansvariges eget ansvar att se till att det finns rättslig grund och erforderligt samtycke m.m.

Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. I samband med att dataskyddslagen trädde i kraft den 25 maj 2018 upphävdes PUL. Av p 5 i övergångsbestämmelserna framgår dock att PUL fortsatt ska gälla efter den 25 maj 2018 i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till PUL. Som framgått av avsnitt 12 och 16 finns sådana hänvisningar i etikprövningslagen, lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Detta innebär att etikprövning enligt etikprövningslagen ska hanteras i enlighet med dessa lagars nuvarande lydelse till dess förslagen om ändrade lydelser i dessa lagar träder i kraft.

Förslagen bör träda i kraft så snart som möjligt. Med hänsyn till den tid som lagstiftningsprocessen tar föreslås att ändringarna ska träda i kraft den 1 januari 2019. Det är regeringens bedömning att det inte är möjligt med ett tidigare ikraftträdande. Som några remissinstanser har påpekat innefattar uppräkningen i artikel 9.1 i dataskyddsförordningen några fler kategorier uppgifter än 13 § PUL, nämligen behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning. Fram till dess att ändringen i etikprövningslagen träder i kraft kommer nationell rätt inte att innehålla någon reglerad skyddsåtgärd i form av etikprövning för behandling av de kategorier av känsliga personuppgifter som anges i artikel 9.1 men som inte omfattas av 13 § PUL. Det är dock regeringens uppfattning att tilläggen i artikel 9.1 jämfört med 13 § PUL inte innebär några stora skillnader i praktiken. Personuppgifter om sexuell läggning har i svensk rätt ansetts ingå i kategorin sexualliv (prop. 2017/18:115 s. 19). Genetiska uppgifter avslöjar ofta uppgifter om hälsa och/eller etniskt ursprung och utgör i dessa fall känsliga uppgifter inom även PUL:s tillämpningsområde. Biometriska uppgifter för att entydigt identifiera en fysisk person är en ny kategori i sammanhanget och definieras i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel

4.14). Regeringen har ingen uppfattning om i vilken utsträckning sådana personuppgifter behandlas för forskningsändamål. Det kan dock inte uteslutas att det kan förekomma behandling av känsliga personuppgifter för forskningsändamål som faller utanför etikprövningslagens nuvarande tillämpningsområde. I sådana situationer måste den personuppgiftsansvarige bedöma om övriga befintliga skyddsåtgärder, t.ex. sekretessreglering, kan anses tillräckliga i sammanhanget. Som Regionala etikprövningsnämnden i Umeå påpekar är det ett ansvar för varje forskningsutförare som är personuppgiftsansvarig att se till att behandlingen sker i enlighet med dataskyddsförordningen. Om den personuppgiftsansvarige vid en bedömning av den enskilda situationen kommer fram till att befintliga skyddsåtgärder inte kan anses tillräckliga för att kunna grunda behandlingen på artikel 9.2 j, så kan den personuppgiftsansvarige behöva inhämta den registrerades samtycke för att behandlingen ska vara tillåten enligt dataskyddsförordningen.

När det gäller den generella skyddsåtgärden att uppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen kommer regleringen i PUL av denna skyddsåtgärd att gälla vid behandling som omfattas av lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa genom hänvisningen till PUL i dessa lagar. Vid behandling av personuppgifter för forskningsändamål i övriga fall blir konsekvensen att under den aktuella perioden fram till att ändringen i dataskyddslagen träder i kraft kommer någon bestämmelse med en sådan skyddsåtgärd inte att gälla. Det kan i detta sammanhang påminnas om det generella kravet i artikel 89.1 i dataskyddsförordningen på att behandling av personuppgifter för forskningsändamål ska omfattas av skyddsåtgärder.

17.2. Övergångsbestämmelser behövs inte

Regeringens bedömning: Övergångsbestämmelser behövs inte.

Utredningens bedömning överensstämmer delvis med regeringens bedömning. Utredningen har angivit att dataskyddsförordningen inte ger utrymme för några övergångsbestämmelser.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens bedömning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig instämmer i bedömningen eller har inget att invända.

Skälen för regeringens bedömning: Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tillämpas. Dataskyddsförordningen ger därmed mycket begränsat utrymme för övergångsbestämmelser

Det är regeringens bedömning att några övergångsbestämmelser inte behövs i de lagar som föreslås anpassas till dataskyddsförordningen.

18. Konsekvenser

18.1. Övergripande konsekvenser

Inledningsvis kan regeringen konstatera att dataskyddsförordningen i sig kommer att leda till stora konsekvenser för både det allmänna och enskilda. Dessa behandlas dock inte i detta lagstiftningsärende.

Dataskyddsförordningen är direkt tillämplig men lämnar vissa möjligheter till nationella kompletterande och specificerande bestämmelser. När det gäller personuppgiftsbehandling för just forskningsändamål ger dataskyddsförordningen i flera fall utrymme för kompletterande nationell lagstiftning. Om dessa möjligheter inte tas till vara kommer förutsättningarna för att behandla personuppgifter för forskningsändamål att kraftigt försämras jämfört med idag. Det är därför inte är ett rimligt alternativ att någon nationell reglering inte kommer till stånd. De förslag till ändringar i etikprövningslagen, offentlighets- och sekretesslagen och dataskyddslagen som regeringen lämnar i denna proposition utgör de nödvändiga kompletterande nationella bestämmelser som krävs för att den samlade dataskyddsregleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri och rättigheter. Regeringen föreslår även vissa anpassningar av registerförfattningar till dataskyddsförordningen. Majoriteten av bestämmelserna i registerförfattningarna kvarstår oförändrade. Förslagen i övrigt är nödvändiga följder av eller anpassningar till dataskyddsförordningen och till att PUL upphävts. Någon ändring i sak i förhållande till vad som gäller idag är inte avsedd.

En allmän utgångspunkt för regeringen har varit att bibehålla de rättigheter och skyldigheter i samband med personuppgiftsbehandling för forskningsändamål som finns i dag, inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. Varken möjligheterna till sådan personuppgiftsbehandling, eller den enskildes integritetsskydd ska försämras jämfört med dagens situation. De ändringar som regeringen föreslår i de aktuella författningarna motsvarar därför i stort sett de tidigare bestämmelserna i PUL och de andra aktuella författningarna.

Mot bakgrund av detta är det regeringens bedömning att förslagen i propositionen inte får några övergripande konsekvenser varken för det allmänna eller för enskilda forskningsutförare.

Som framgått i avsnitt 17 har lagändringarna inte kunnat träda i kraft den 25 maj 2018 då dataskyddsförordningen började tillämpas utan lagändringarna föreslås träda i kraft den 1 januari 2019. Konsekvenserna av detta har behandlats i avsnitt 17.1.

18.2. Konsekvenser för den personliga integriteten

Dataskyddsförordningens bestämmelser innebär i sig en förstärkning av den registrerades rätt till information och tillgång till personuppgifter jämfört med motsvarande reglering i den nu upphävda PUL.

Vid personuppgiftsbehandling för forskningsändamål möjliggör dataskyddsförordningen att undantag från vissa av den registrerades rättigheter kan föreskrivas i nationell rätt. Regeringen har bedömt att några sådana undantag inte ska införas i svensk rätt, utan att den registrerades rättigheter ska lämnas intakta enligt förordningen.

När det gäller den generella skyddsåtgärd i form av en användningsbegränsning som regeringen föreslår ska införas i dataskyddslagen utgör det ett visst utökat skydd för den registrerade att undantaget för myndigheters användning av personuppgifter i allmänna handlingar, som framgått av motsvarande skyddsåtgärd i PUL, inte föreslås införas i dataskyddslagen.

Det är regeringens uppfattning i övrigt att det befintliga skyddet i nuvarande reglering för den personliga integriteten bibehålls i och med de föreslagna ändringarna i etikprövningslagen och offentlighets- och sekretesslagen och anpassningarna av de övriga författningarna.

18.3. Ekonomiska konsekvenser och konsekvenser i övrigt

Regeringen bedömer att de ekonomiska konsekvenserna av förslagen i denna proposition blir ytterst begränsade. Initialt kan förslagen innebära ökade kostnader för bland annat utbildning av personal i det nya dataskyddsregelverket. Dessa bedöms dock vara av den omfattningen att de ryms inom befintliga ekonomiska ramar.

Förslagen bedöms inte få några andra ekonomiska konsekvenser eller några konsekvenser för företag eller konkurrensförhållanden, den kommunala självstyrelsen, jämställdheten mellan män och kvinnor, de integrationspolitiska målen, miljön eller Sveriges medlemskap i Europeiska unionen.

19. Författningskommentar

19.1. Förslaget till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande bestämmelser för behandling av personuppgifter i det rättspsykiatriska forskningsregistret.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen behandlas i avsnitt 16.1.5.

2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter

som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

I paragrafen, som är ny, anges att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen, om inte annat följer av denna lag.

Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter i det rättspsykiatriska forskningsregistret. Dataskyddslagen är subsidiär i förhållande till lagen om rättspsykiatriskt forskningsregister. Det innebär att om lagen om rättspsykiatriskt forskningsregister innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.1.5.

12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade.

Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om

1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, och

3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Paragrafen reglerar vilken information som ska lämnas till den registrerade.

Bestämmelsen anpassas till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen, vilken är direkt tillämplig. Hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.1.10.

19.2. Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

2 § I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

I paragrafen definieras vissa grundläggande begrepp som används i lagen.

Paragrafen ändras på sätt att i definitionen av behandling av personuppgifter ersätts hänvisningen till definitionen i den upphävda personuppgiftslagen (1998:204), förkortad PUL, med en hänvisning till den definition av begreppet som finns i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv

95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen behandlas i avsnitt 14.1.1.

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

I denna paragraf och i 4 och 5 §§ anges lagens tillämpningsområde.

Första punkten, som hänvisar till känsliga personuppgifter enligt 13 § PUL, ändras så att en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) görs. Detta innebär att all behandling för forskningsändamål av sådana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskyddsförordningen.

Andra punkten, som hänvisar till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL ändras på så sätt att hänvisningen till den paragrafen tas bort. Detta innebär att kravet på etikprövning enligt etikprövningslagen omfattar all personuppgiftsbehandling för forskningsändamål av de angivna kategorierna av personuppgifter, både sådan personuppgiftsbehandling som utförs av myndigheter och sådan som utförs av enskilda forskningsutförare. I artikel 10 i dataskyddsförordningen anges något färre kategorier av personuppgifter om lagöverträdelser än i 21 § PUL. Någon ändring i sak när det gäller de kategorier av personuppgifter om lagöverträdelser som ska vara föremål för etikprövning görs inte i förevarande paragraf. Kravet på etikprövning kommer således även fortsättningsvis att gälla samma kategorier av personuppgifter om lagöverträdelser som hittills. Detta innebär att tillämpningsområdet är mer omfattande än vad som framgår av artikel 10 i dataskyddsförordningen och även omfattar friande domar i brottmål och administrativa frihetsberövanden.

Bestämmelsen behandlas i avsnitt 12.

19.3. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

21 kap.

7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med

1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen,

2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller

3. 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor.

Paragrafen reglerar sekretess i fall där det kan antas att utlämnade uppgifter kommer att behandlas i strid med dataskyddsregleringen.

Efter förslag i propositionen Ny dataskyddslag (prop. 2017/18:105) har en ändring gjorts i paragrafen som innebär dels ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL, ersatts med en hänvisning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen. Den nu aktuella ändringen innebär att en hänvisning även görs till kravet på godkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor, benämnd etikprövningslagen, när det är fråga om forskning som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. (se 6 § etikprövningslagen och hänvisningen i det lagrummet till 3 § samma lag).

PUL innehöll bestämmelser som särskilt reglerade möjligheten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL). Genom hänvisningen till PUL i förevarande paragraf gällde sekretess för uppgifter om det kunde antas att uppgiften efter utlämnandet skulle komma att behandlas i strid med kravet på godkännande i etikprövningslagen. PUL har upphävts i samband med att dataskyddsförordningen började tillämpas. Det förs därför in en hänvisning till 6 § etikprövningslagen i förevarande paragraf, vilket innebär att sekretess även framöver kommer att gälla för uppgifter om det kan antas att känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden efter ett utlämnande kommer att behandlas i strid med kravet på etikprövning.

Bestämmelsen behandlas i avsnitt 15.2.

Hänvisningar till S19-3

19.4. Förslaget till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande bestämmelser för behandling av personuppgifter i vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.6.

3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, anger hur lagen förhåller sig till dataskyddslagen.

Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter enligt förevarande lag. Dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att om denna lag eller föreskrifter som har meddelats i anslutning till lagen innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.2.6.

12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Paragrafen innehåller bestämmelser om gallring.

Terminologin i paragrafen anpassas till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” byts ut mot ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.

Bestämmelsen behandlas i avsnitt 16.2.12.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. vilka uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. rätten till information enligt 15 § denna lag, 5.

vilken

myndighet som har tillsyn över att denna lag följs, och

6. rätten till skadestånd.

Av bestämmelsens första stycke framgår att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen. I andra stycket regleras vilken information som ska ha lämnats till en person innan denne lämnar sitt samtycke.

Bestämmelsens andra stycke anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.14.

19.5. Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

4 kap. 3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Paragrafen, som är ny, fastställer begränsningar för hur personuppgifter som behandlas för forskningsändamål får användas. Paragrafen motsvarar delvis 9 § fjärde stycket i den upphävda personuppgiftslagen (1998:204), förkortad PUL.

Bestämmelsen, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av

personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, förhindrar som huvudregel att personuppgifter som behandlas av den personuppgiftsansvarige enbart för forskningsändamål används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får bara vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. Med vitala intressen avses intressen som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständigheter som utgör synnerliga skäl. För att det ska vara tillåtet att använda uppgifterna för att vidta åtgärder i fråga om den registrerade krävs också att användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (se artikel 5.1 b i dataskyddsförordningen). Undantaget från användningsbegränsningen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten enligt dataskyddsförordningen.

I förhållande till den motsvarande bestämmelsen som fanns i PUL har bestämmelsen utformats så att det tydligare framgår att användningsbegränsningen gäller personuppgifter som enbart behandlas för forskningsändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas enligt förarbetena (se prop. 1997/98:44 s. 120). Vidare har undantaget att åtgärder i fråga om den registrerade får vidtas om den registrerade lämnat sitt samtycke tagits bort. Om samtycke inhämtas för att en uppgift ska användas för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt och undantaget är därför överflödigt.

Till skillnad från vad som tidigare gällde enligt PUL (se 8 § andra stycket PUL) innebär bestämmelsen en begränsning även av myndigheters möjligheter att använda personuppgifter i allmänna handlingar för att vidta åtgärder i fråga om den registrerade.

I övrigt bör bestämmelsen tolkas och tillämpas på ett likartat sätt som bestämmelsen i 9 § fjärde stycket PUL. Praxis kring tillämpningen av den bestämmelsen bör således vara vägledande.

Bestämmelsen behandlas i avsnitt 9.3.

196

Prop. 2017/18:298

Bilaga 1

I

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679

av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om

det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)

Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i

Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget

om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de

personuppgifter som rör honom eller henne.

(2) Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett

deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till

skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet,

säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och

konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3) Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers

grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av

personuppgifter mellan medlemsstaterna.

4.5.2016

L 119/1

Europeiska unionens officiella tidning

SV

(1) EUT C 229, 31.7.2012, s. 90.

(2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling

av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

Prop. 2017/18:298

Bilaga 1

197

(4) Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter

är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande

rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter

och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för

privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och

religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk

domstol samt kulturell, religiös och språklig mångfald.

(5) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande

ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och

privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella

myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i

stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6) Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av

personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det

möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en

helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över.

Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av

personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt

som en hög skyddsnivå säkerställs för personuppgifter.

(7)

Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av

kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala

ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den

rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)

Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom

medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för

samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på,

införliva delar av denna förordning i nationell rätt.

(9) Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande

enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda

uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av

internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av

personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av

personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk

verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina

skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och

tillämpningen av direktiv 95/46/EG.

(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av

personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling

av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna

om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör

säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för

att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift­

sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa

hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om

dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden

som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att

specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade

känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare

omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig

behandling av personuppgifter.

4.5.2016

L 119/2

Europeiska unionens officiella tidning

SV

198

Prop. 2017/18:298

Bilaga 1

(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och

specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av

personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att

reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i

medlemsstaterna.

(12) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för

fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för

personuppgifter.

(13) För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som

hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar

rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag,

och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt

ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling

av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn­

digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av

personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska

personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och

medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som

sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner

och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta

hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag

samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation

2003/361/EG (1).

(14) Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett

medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar

inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer,

exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15) För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara

teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara

tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller

är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt

särskilda kriterier, bör inte omfattas av denna förordning.

(16) Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det

fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande

nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de

agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)

Europaparlamentets och rådets förordning (EG) nr 45/2001 (

2) är tillämplig på den behandling av

personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av

unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till

principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen.

För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga

anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda

förordningarna kan tillämpas samtidigt.

(18) Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet

som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes-

eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

4.5.2016

L 119/3

Europeiska unionens officiella tidning

SV

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­

tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,

s. 1).

Prop. 2017/18:298

Bilaga 1

199

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan

verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som

tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls­

verksamhet.

(19) Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter,

säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på

behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna

förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt,

nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga

myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för

dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna

förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av

tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika

bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det

fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra

ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.

När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör

denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och

rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för

att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning,

avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande

och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning

av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter,

skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden

för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av

personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter

när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets

oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att

anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka

framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets

medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling

av uppgifter.

(21) Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt

bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det

direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations­

samhällets tjänster mellan medlemsstaterna.

(22) All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp­

giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om

behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av

verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial

eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

4.5.2016

L 119/4

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga

myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster,

särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

200

Prop. 2017/18:298

Bilaga 1

(23) För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av

personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig

eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om

behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är

kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder

varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den

personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av

unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets

eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett

språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att

fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller

flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av

kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att

erbjuda varor eller tjänster till registrerade inom unionen.

(24) Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en

personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av

denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de

befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade,

bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med

hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för

att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25) Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig

på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska

beskickning eller konsulat.

(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person.

Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att

kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om

en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den

personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt

identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att

användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader

och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som

den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen

information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som

anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör

därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller

forskningsändamål.

(27) Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får

fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28) Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och

hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett

uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för

dataskydd.

(29) För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för

pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs

verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är

nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande

uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den

personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp­

giftsansvarigs verksamhet.

4.5.2016

L 119/5

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

201

(30) Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och

protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår

som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas

för att skapa profiler för fysiska personer och identifiera dem.

(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig

förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter

eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte

betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild

utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga

myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i

enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters

behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är

tillämpliga på behandlingens ändamål.

(32) Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och

otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter

rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan

inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på

informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i

sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter.

Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all

behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för

samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara

tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga

forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till

vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.

Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av

forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34) Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade

genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför

allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta

motsvarande information.

(35) Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd

som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda­

hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv

2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att

identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en

kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om

exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades

fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan

sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36) Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den

personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling

av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

4.5.2016

L 119/6

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande

hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

202

Prop. 2017/18:298

Bilaga 1

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs

huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör

inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för

behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av

personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller

behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe

och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets

huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om

denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga

behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den

behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den

personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för

personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det

samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift­

sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera

verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om

behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas

som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den

utförs fastställs av ett annat företag.

(37) En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade

företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de

övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av

eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av

personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en

koncern.

(38) Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker,

följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt

skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa

personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som

erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas

för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39) Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska

personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i

vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all

information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och

lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till

registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information

för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse

på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna

om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de

kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna

behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de

behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är

begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte

rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt

bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder

bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer

lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig

användning av personuppgifter och den utrustning som används för behandlingen.

(40) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade

eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

4.5.2016

L 119/7

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

203

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger

den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras

eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis

en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella

ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och

precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid

Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42) När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade

har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det

finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt

samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den

personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med

användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den

registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för

vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har

någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av

personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp­

giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att

samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke

antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av

personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet

tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant

genomförande.

(44) Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett

avtal.

(45) Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling

som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i

unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag

för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en

rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift

av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten

eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings

allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp­

giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till

vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra

en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan

huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets­

utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig­

rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål,

såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning,

exempelvis en yrkesorganisation.

(46) Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av

avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

4.5.2016

L 119/8

Europeiska unionens officiella tidning

SV

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

204

Prop. 2017/18:298

Bilaga 1

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte

uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och

intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av

humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer,

särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47) En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken

personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de

registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de

registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat

intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och

den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den

personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som

inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med

detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades

intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges

intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig

någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den

rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte

gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter

som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp­

giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48) Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha

ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland

annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av

personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49) Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är

absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät

eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller

illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade

eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga

via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av

datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och

tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt

tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings­

attacker och skador på datasystem och elektroniska kommunikationssystem.

(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara

tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall

krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter

medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i

myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller

medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling

bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga

eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av

uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i

medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa

om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna

ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den

ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen

med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de

registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

4.5.2016

L 119/9

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

205

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga

skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på

medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i

syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att

behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla

omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade

om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den

personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i

flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en

behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan

överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör

emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller

annan bindande tystnadsplikt.

(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter

bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de

grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som

avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen

godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte

systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras

som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av

en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som

fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda

bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att

fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den

personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de

allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för

laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av

personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller

för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som

bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52) Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i

unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda

personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om

behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för

hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar

och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och

förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de

förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet,

eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska

ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för

fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller

inom ett administrativt eller ett utomrättsligt förfarande.

(53) Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i

hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort,

särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system,

inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana

uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell

och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av

kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller

hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt

intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten

eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs

av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för

behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när

behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

4.5.2016

L 119/10

Europeiska unionens officiella tidning

SV

206

Prop. 2017/18:298

Bilaga 1

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och

lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna

bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska

uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom

unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier

av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och

särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas

enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som

rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans

bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och

allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för

andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55) Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften

som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56) Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska

partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får

behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder

fastställs.

(57) Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera

en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att

kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning.

Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade

lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad,

till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den

registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58) Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad,

lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder

visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till

allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten

gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in,

vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt

skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk

som barnet lätt kan förstå.

(59) Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning,

inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller

radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör

också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter

behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara

skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana

önskemål.

4.5.2016

L 119/11

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och

hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

Prop. 2017/18:298

Bilaga 1

207

(60) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och

syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs

för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika

omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt

om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även

informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna

om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade

symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen.

Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61) Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid

den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från

en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan

lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till

denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än

det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta

andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den

registrerade på grund av att olika källor har använts, bör allmän information ges.

(62) Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan

innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag

eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade

informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör

antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63) Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och

med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna

kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa,

exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande

läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom

och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod

behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk

behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan

behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom

vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på

andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt

som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all

information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den

personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken

behandling en framställan avser, innan informationen lämnas ut.

(64) Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär

tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte

behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av

uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den

personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och

kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för

vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller

invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

4.5.2016

L 119/12

Europeiska unionens officiella tidning

SV

208

Prop. 2017/18:298

Bilaga 1

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt

relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna

med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna

utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock

vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig

förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts

den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande,

utövande eller försvar av rättsliga anspråk.

(66) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift­

sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska

åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den

registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I

samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik

och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera

de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67) Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda

personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller

tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av

behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för

ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör

klart anges inom systemet.

(68) För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna

behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon

har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt

format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att

utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den

registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig

för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig

grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga

som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när

behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp­

giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs

av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom

eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla

behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning

personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och

friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd

radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i

synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för

genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av

avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en

personuppgiftsansvarig till en annan.

(69) När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av

allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på

grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt

att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör

ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den

registrerades intressen eller grundläggande rättigheter och friheter.

(70) Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om

inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling,

inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen

meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

4.5.2016

L 119/13

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

209

(71) Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av

personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför

rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett

automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling

omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga

aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades

arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende,

vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i

betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering,

bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den

personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier

och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella

tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en

tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av

ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga

samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga

skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att

framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att

överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av

omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige

använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och

organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter

korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar

potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande

effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,

medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder

som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av

personuppgifter bör endast tillåtas på särskilda villkor.

(72) Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga

grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom

denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73) Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller

radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut

samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges

relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är

nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten,

exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid

förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner,

inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller

överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål

av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en

medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av

arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare

totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd,

folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska

konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74) Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs

på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och

kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör

inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska

personers rättigheter och friheter.

4.5.2016

L 119/14

Europeiska unionens officiella tidning

SV

210

Prop. 2017/18:298

Bilaga 1

(75) Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till

följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i

synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat

anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt

hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas

sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter

behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i

fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt

överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms,

framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa,

personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa

eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer,

framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal

registrerade.

(76) Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån

behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv

bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77) Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder

och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den

risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt

fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd

certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också

utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers

rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan

risk.

(78) Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att

lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna

visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt

för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat

bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet

om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe­

handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid

utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på

behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av

dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter,

tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen,

säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende

dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga

upphandlingar.

(79) Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi­

trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt

fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt

fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en

behandling utförs på en personuppgiftsansvarigs vägnar.

(80) När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar

personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe­

handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de

registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i

unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte

behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av

personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

4.5.2016

L 119/15

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

211

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av

behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet

eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar

och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig

fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med

avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den

personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra

sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet,

vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att

sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i

händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81) För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska

utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt

ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga

om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller

kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts­

biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett

sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett

personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller

medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet

för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av

registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen

för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den

personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav­

talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med

mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp­

giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna,

beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den

unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82) För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra

register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden

bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så

att det kan tjäna som grund för övervakningen av behandlingen.

(83) För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift­

sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom

kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet,

med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ

av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker

som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller

otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts,

lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84) I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk

för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens­

bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.

Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa

att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning

avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift­

sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande­

kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk,

materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till

begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt

hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som

omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

4.5.2016

L 119/16

Europeiska unionens officiella tidning

SV

212

Prop. 2017/18:298

Bilaga 1

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp­

giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så

är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i

enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra

en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör

skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86) Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift­

sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens

rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva

personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de

potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt,

i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra

relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en

omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid

fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87) Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har

vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera

tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med

hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för

den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess

uppgifter och befogenheter enligt denna förordning.

(88) När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig

hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga

tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av

missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade

intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en

personuppgiftsincident.

(89) Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe­

terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp­

giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av

effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en

hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål.

Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för

vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift­

sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90) I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art,

omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende

dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung.

Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska

minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91) Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder

personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal

registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur,

där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan

behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling

gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

4.5.2016

L 119/17

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

213

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en

systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av

dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller

uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder.

Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning,

särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga

tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades

rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller

använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av

personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter

som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör

en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92) Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på

ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam

tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam

tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad

horisontell verksamhet.

(93) Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med

antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det

offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(94) Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder,

säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers

rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som

är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig­

heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling

samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av

fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om

samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande

från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet

befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens­

bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig­

heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(95) Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de

skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd

med tillsynsmyndigheten.

(96) Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift­

ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen

överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.

(97) När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter

som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp­

giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk

övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts­

biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och

uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om

dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att

övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas

kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande

verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling

4.5.2016

L 119/18

Europeiska unionens officiella tidning

SV

214

Prop. 2017/18:298

Bilaga 1

som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller

personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift­

sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

(98) Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att

tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom

vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I

synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp­

giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers

rättigheter och friheter.

(99) Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör

sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som

mottas och de åsikter som framförs som svar på samråden.

(100) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer

och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på

relevanta produkters och tjänsters dataskydd.

(101) Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är

nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har

medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den

skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när

personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare

i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från

tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma

eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och

internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna

förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om

överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp­

giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(102) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av

personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella

avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån

sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå

av skydd för de registrerades grundläggande rättigheter.

(103) Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad

sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa

rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen

som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet

eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha

underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att

ett sådant beslut ska återkallas.

(104) I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör

kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland

beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella

människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive

lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet

av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör

hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga

rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en

4.5.2016

L 119/19

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

215

tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när

personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en

effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds­

myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ

och rättslig prövning.

(105) Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör

kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens

deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av

dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981

om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas.

Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella

organisationer.

(106) Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor

i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av

artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå

föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras

i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all

relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet

av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet

och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda

besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar­

lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar­

lamentet och rådet.

(107) Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland

eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av

personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte

kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande

företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till

samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god

tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet

eller organisationen för att avhjälpa situationen.

(108) Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder

för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den

registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard­

bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits

av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör

säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för

behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är

tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva

kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för

behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring

av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i

tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på

grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som

föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe­

ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(109) Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe­

stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar

4.5.2016

L 119/20

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer

för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

216

Prop. 2017/18:298

Bilaga 1

standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett

annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under

förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av

kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.

Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder

via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(110) En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig

av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer

inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under

förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som

säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.

(111) Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den

registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett

avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller

utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger

möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas

nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att

konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring

inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras

när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer

eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(112) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till

viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter,

skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter,

till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning

inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att

skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes

fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat

skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen

uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en

internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje

överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt

eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna

eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna

anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.

(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också

vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den

registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift­

sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta

särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt

situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga

åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras

personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till

överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn

tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera

tillsynsmyndigheten och den registrerade om överföringen.

(114) Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift­

sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara

och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl

har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i

förhållande till dem.

4.5.2016

L 119/21

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

217

(115) Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs

av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden

eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp­

giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt

avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en

medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt

och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.

Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda.

Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns

i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

(116) När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan

utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande

av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller

göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans

över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga

regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn­

smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina

internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och

tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för

personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom

verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av

ömsesidighet och i överensstämmelse med denna förordning.

(117) Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna

inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under

fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta

hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(118) Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller

övervakningsmekanismer eller bli föremål för domstolsprövning.

(119) Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa

tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en

tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i

mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och

kommissionen.

(120) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den

infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som

är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje

tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller

nationella budgeten.

(121) De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats

lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande

antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en

ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt

medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens

oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med

deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som

står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten

eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd

tillsynsmyndighetens ledamot eller ledamöter.

(122) Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och

utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling

4.5.2016

L 119/22

Europeiska unionens officiella tidning

SV

218

Prop. 2017/18:298

Bilaga 1

inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen

inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller

privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller

behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i

unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål

som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja

allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av

personuppgifter.

(123) Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att

tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras

personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta

ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs

något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.

(124) Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett

personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet

är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda

verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad

påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns­

myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller

för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som

ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift­

sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom

registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats

in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den

tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom

ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning,

framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad

påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.

(125) Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de

befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns­

myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar

att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som

klagomålet har lämnats in till.

(126) Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som

bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda

verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp­

giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna

förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den

personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i

unionen.

(127) Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall,

om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet

för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar

registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter

inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan

dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den

ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om

samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad

mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet

på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör

den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den

medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa

ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När

den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den

4.5.2016

L 119/23

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

219

ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga

hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.

(128) Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte

tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den

enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna

förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.

(129) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe­

terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter,

korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge

råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter

enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna

förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en

tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra

uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas

befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets­

garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig,

nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av

omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder

som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora

olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör

utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta

förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör

vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och

datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes

bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.

Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt

bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den

tillsynsmyndighet som antog beslutet hör.

(130) Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den

ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i

enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör

den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av

administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet

har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens

territorium i samverkan med den behöriga tillsynsmyndigheten.

(131) Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller

personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen

endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där

klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar

eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den

tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som

innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den

personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild

behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade

inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller

tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller

behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas

nationella rätt.

(132) Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda

åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små

och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.

4.5.2016

L 119/24

Europeiska unionens officiella tidning

SV

220

Prop. 2017/18:298

Bilaga 1

(133) Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna

förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt

bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom

en månad från det att begäran mottogs av den andra tillsynsmyndigheten.

(134) Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den

anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(135) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller

samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet

avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett

betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller

kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen

bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt

fördragen.

(136) Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande,

om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär

detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter.

För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande

beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller

mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om

sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.

(137) Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara

föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En

tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium

med en viss giltighetsperiod, som inte bör överskrida tre månader.

(138) Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha

rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden

som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda

tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda

tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(139) I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende

unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör

företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på

behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en

tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare.

Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha

specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att

lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och

främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina

uppgifter.

(140) Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid

Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning

anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och

rapportera till denne.

(141) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat

där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,

4.5.2016

L 119/25

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

221

om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns­

myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så

är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för

eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör

inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om

ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade

underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder,

såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att

andra kommunikationsformer utesluts.

(142) Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon

ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som

har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och

bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål

till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar

utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En

medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt

att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett

effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd

av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna

sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den

registrerades mandat.

(143) Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de

villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i

enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan

inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en

personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot

besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263

i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller

juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en

tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens

utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål.

Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte

är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.

Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där

tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt.

Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga

frågor som rör den tvist som anhängiggjorts vid dem.

Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma

medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som

anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande

är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen

av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande

av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har

inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om

giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den

anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens

beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet,

i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den

frist som anges i artikel 263 i EUF-fördraget.

(144) Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att

ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift­

sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig

domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana

relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en an