Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 6 september 2018

Stefan Löfven

Helene Hellmark Knutsson (Utbildningsdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås vissa ändringar i svensk rätt med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Det föreslås ändringar i – lagen (1999:353) om rättspsykiatriskt forskningsregister, – lagen (2003:460) om etikprövning av forskning som avser människor, – offentlighets- och sekretesslagen (2009:400), – lagen (2013:794) om vissa register för forskning om vad arv och miljö – betyder för människors hälsa, och – lagen (2018:218) med kompletterande bestämmelser till EU:s data-

skyddsförordning. Anpassningarna i dessa lagar syftar till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller privata forskningsutförare.

Lagändringarna föreslås träda i kraft den 1 januari 2019.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister,

2. lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor,

3. lag om ändring i offentlighets- och sekretesslagen (2009:400),

4. lag om ändring i lagen (2013:794 om vissa register för forskning om vad arv och miljö betyder för människors hälsa,

5. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till person- Förhållandet till annan data-

uppgiftslagen skyddsreglering

2 §

Om inget annat följer av denna Denna lag kompletterar Europalag tillämpas personuppgiftslagen parlamentets och rådets förordning ( 1998:204 ) vid behandling av (EU) 2016/679 av den 27 april personuppgifter för det rättspsy-2016 om skydd för fysiska personer kiatriska forskningsregistret. med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 §

När personuppgifter i ett mål När personuppgifter i ett mål första gången registreras i det första gången registreras i det rättspsykiatriska forskningsregisträttspsykiatriska forskningsregistret skall Rättsmedicinalverket lämret ska Rättsmedicinalverket lämna na den registrerade information om information om behandlingen till behandlingen. den registrerade.

Informationen skall innehålla Utöver vad som framgår av ar-upplysningar om tikel 14 i EU:s dataskyddsförord-

1. att Rättsmedicinalverket är ning ska informationen innehålla personuppgiftsansvarigt för be-upplysningar om handlingen,

2. ändamålen med behandlingen,

3. vilken typ av uppgifter behandlingen avser,

4. mottagarna av uppgifterna,

5. de sekretess- och säkerhets-

1. de sekretess- och säkerhets-

bestämmelser som gäller för bebestämmelser som gäller för behandlingen, handlingen,

6. bestämmelserna i personupp-

2. bestämmelserna i EU:s data-

giftslagen (1998:204) om informaskyddsförordning och lagen tion som skall lämnas efter ansökan (2018:218) med kompletterande samt om rättelse och skadestånd, bestämmelser till EU:s datasamt skyddsförordning om den registrerades rätt till skadestånd, och

7. de begränsningar i fråga om

3. de begränsningar i fråga om

tillgång till uppgifter, utlämnande tillgång till uppgifter, utlämnande av uppgifter på medium för autoav uppgifter på medium för automatiserad behandling och bevaranmatiserad behandling och bevarande av uppgifter som gäller för bede av uppgifter som gäller för behandlingen. handlingen.

Denna lag träder i kraft den 1 janu ari 2019.

2.2. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: behandling av personuppgifter: sådan behandling som anges i 3 § sådan behandling som anges i ar-personuppgiftslagen (1998:204). tikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

3 §2Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter en-

1. personuppgifter som avses i

ligt 13 § personuppgiftslagen artikel 9.1 i EU:s dataskyddsför-(1998:204), eller ordning (känsliga personuppgifter), eller

1 Senaste lydelse 2008:192. 2 Senaste lydelse 2008:192.

2. personuppgifter om lagöver-

2. personuppgifter om lagöver-

trädelser som innefattar brott, doträdelser som innefattar brott, domar i brottmål, straffprocessuella mar i brottmål, straffprocessuella tvångsmedel eller administrativa tvångsmedel eller administrativa frihetsberövanden enligt 21 § per-frihetsberövanden. sonuppgiftslagen.

Denna lag träder i kraft den 1 januari 2019.

2.3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

21 kap.

7 §1

Sekretess gäller för personupp-Sekretess gäller för personuppgift, om det kan antas att uppgiften gift, om det kan antas att uppgiften efter ett utlämnande kommer att beefter ett utlämnande kommer att behandlas i strid med Europaparlahandlas i strid med mentets och rådets förordning (EU)

1. Europaparlamentets och rådets

2016/679 av den 27 april 2016 om förordning (EU) 2016/679 av den skydd för fysiska personer med av-27 april 2016 om skydd för fysiska seende på behandling av personpersoner med avseende på behanduppgifter och om det fria flödet av ling av personuppgifter och om det sådana uppgifter och om upphäfria flödet av sådana uppgifter och vande av direktiv 95/46/EG (allom upphävande av direktiv män dataskyddsförordning), i den 95/46/EG (allmän dataskyddsförursprungliga lydelsen, eller lagen ordning), i den ursprungliga lydel-(2018:218) med kompletterande sen, bestämmelser till EU:s dataskydds-

2. lagen (2018:218) med komp-

förordning. letterande bestämmelser till EU:s dataskyddsförordning, eller

3. 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2018:220.

2.4. Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till personupp- Förhållandet till annan data-

giftslagen skyddsreglering

3 §

Personuppgiftslagen (1998:204) Denna lag kompletterar Europagäller vid behandling av persoparlamentets och rådets förordning nuppgifter, om inte annat följer av (EU) 2016/679 av den 27 april denna lag. 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

12 §

Personuppgifter som inte längre Personuppgifter som inte längre behövs för de ändamål som avses i behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet regeringen eller den myndighet som regeringen bestämmer har som regeringen bestämmer har

meddelat föreskrifter om eller i ett meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska bevaras för arkivändamål av eller vetenskapliga ändamål. allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 §

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt Utöver vad som framgår av ar-samtycke enligt första stycket ska tiklarna 13 och 14 i EU:s datahan eller hon ha informerats om skyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling

2. vilka uppgifter som får re-

kan ske enligt 5–7 §§ och vilka gistreras enligt 9 §, uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt

4. rätten till information enligt

15 § denna lag och 26 § person-15 § denna lag, uppgiftslagen (1998:204),

8. vilken myndighet som har

5. vilken myndighet som har

tillsyn över att denna lag följs, tillsyn över att denna lag följs, och

9. rätten till skadestånd, och

6. rätten till skadestånd.

10. rätten att få uppgifter utplånade.

Denna lag träder i kraft den 1 januari 2019.

2.5. Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att det i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

Forskning

3 §

Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Denna lag träder i kraft den 1 januari 2019.

3. Ärendet och dess beredning

I april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som har börjat tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1 med beslutade rättelser i bilaga 2.

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare, som bl.a. fick i uppdrag att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. I den nya utredningens uppdrag ingick också att föreslå nödvändiga anpassningar till dataskyddsförordningen av vissa registerspecifika författningar på forskningsområdet (dir. 2016:65). Utredningen, som antog namnet Forskningsdatautredningen, presenterade i juni 2017 delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). En sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Utredningens betänkande har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (dnr U2017/02644/F).

Regeringskansliet (Utbildningsdepartementet) tog därefter fram en promemoria som kompletterar delbetänkandet. I promemorian lämnas förslag avseende tillämpningsområdet för den forskningsdatalag som Forskningsdatautredningen har föreslagit. Promemorian har remitterats. Promemorian och remissvaren finns tillgängliga i Utbildningsdepartementet (dnr U2017/04494/F).

Ett utkast till lagrådsremiss togs därefter fram inom Regeringskansliet (Utbildningsdepartementet). I utkastet gjordes bedömningen att den av Forskningsdatautredningen föreslagna forskningsdatalagen inte ska genomföras utan att endast nödvändiga anpassningar av befintliga lagar till dataskyddsförordningen ska genomföras för närvarande. De lagändringar som föreslogs i utkastet baserades med ett undantag och med små justeringar på Forskningsdatautredningens förslag i delbetänkandet. Ett förslag till ändring i offentlighets- och sekretesslagen (2009:400) fanns inte med i delbetänkandet. Detta förslag är en nödvändig följdändring för att ingen ändring i sak ska uppstå till följd av att personuppgiftslagen (1998:204) upphört att gälla i samband med att dataskyddsförordningen börjat tillämpas. Utkastet till lagrådsremiss remitterades den 4 april till den 4 maj 2018. Utkastets lagförslag finns i bilaga 6 och en förteckning över remissinstanserna finns i bilaga 7. Remissvaren finns tillgängliga i Utbildningsdepartementet (dnr U2018/01639/F).

De förslag som regeringen lagt fram i lagrådsremissen överensstämmer i sak med utkastet till lagrådsremiss. Regeringens avsikt är alltjämt att föreslå nödvändiga anpassningar till dataskyddsförordningen. Fortsatt arbete med de aktuella författningarna kommer bl.a. att ske i samband med beredningen av förslagen i betänkandet Etikprövning – en översyn av

reglerna om forskning och hälso- och sjukvård (SOU 2017:104) och Forskningsdatautredningens slutbetänkande Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36).

Lagrådet

Regeringen beslutade den 28 juni 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9.

Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissens lagförslag har en hänvisning i 14 § lagen (2013:794) om vissa register om vad arv och miljö betyder för människors hälsa till dataskyddsförordningen tagits bort.

4. Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter

4.1. Dataskyddsdirektivet har ersatts av en dataskyddsförordning

Fram till den 25 maj 2018 har offentliga och privata forskningsutförare behandlat personuppgifter i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Från och med denna dag gäller i stället Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig i EU:s medlemsstater.

Dataskyddsförordningen föregicks av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Det direktivet hade i Sverige genomförts genom PUL. Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknad lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vidare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dataskyddsdirektivet har inte förhindrat bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av EU. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Dataskyddsförordningen syftar till att säkerställa en enhetlig skyddsnivå över hela unionen så att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden undviks. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer,

ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).

Som framgått upphörde dataskyddsdirektivet att gälla från och med den 25 maj 2018 (artiklarna 99.2 och 94.1 i dataskyddsförordningen). Samma datum upphävdes PUL och en ny lag som innehåller bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär trädde i kraft, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen benämns i det följande dataskyddslagen.

Det förekommer hänvisningar till PUL i ett stort antal författningar som reglerar personuppgiftsbehandling inom olika områden. I propositionen Ny dataskyddslag 2017/18:105, har regeringen konstaterat att arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat och att allt detta arbete inte kommer att vara helt avslutat den 25 maj 2018. Eftersom det således kommer att finnas ett antal författningar med hänvisningar till PUL som ännu inte har hunnit ändras när PUL upphör att gälla har det införts en övergångsbestämmelse till dataskyddslagen som anger att den upphävda lagen, PUL, fortfarande ska gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. På forskningsområdet finns sådana hänvisningar i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. I fall som omfattas av dessa lagar fortsätter alltså PUL att gälla i den utsträckning lagarna hänvisar till PUL fram till dess att en ändring i lagarna träder i kraft.

Det numera upphävda dataskyddsdirektivet grundade sig på Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Förhandlingarna om en modernisering av dataskyddskonventionen har nyligen avslutats. Ändringsprotokollet till konventionen som förhandlingarna resulterat i har ännu inte trätt i kraft. Ändringarna har skett med beaktande av regleringen i den nya dataskyddsförordningen, som antogs under tiden förhandlingarna om dataskyddskonventionen pågick.

Dataskyddsdirektivet hade ett begränsat tillämpningsområde. Det var inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. PUL gjordes dock, till skillnad från direktivet, generellt tillämplig och var därför tillämplig även utanför EU-rättens område. Skälet för detta var att den svenska dataskyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa undantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL,

ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksamhet som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f). PUL skulle dock inte tillämpas om avvikande bestämmelser fanns i annan lag eller förordning, dvs. PUL var subsidiär i förhållande till annan författningsreglering.

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett begränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

4.2. Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Möjligheten till kompletterande nationella bestämmelser gäller framför allt behandling av personuppgifter inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). När det gäller behandling av personuppgifter för forskningsändamål både förutsätter och möjliggör förordningen en kompletterande nationell reglering (artiklarna 9.2 j och 89). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).

4.3. Dataskyddsförordningen kompletteras av en ny svensk övergripande lag och förordning om dataskydd

Som nämnts i avsnitt 4.1 trädde den nya övergripande lagen om dataskydd, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), i kraft den 25 maj 2018. Genom lagen upphävdes PUL men det finns som nämnts övergångsbestämmelser för vissa fall då PUL fortfarande ska gälla. Genom namnet på lagen betonas att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen.

På motsvarande sätt som PUL hade ett vidare tillämpningsområde än dataskyddsdirektivet, finns det en bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Dataskyddslagen innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 §), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på motsvarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område.

4.4. Dataskyddsförordningen behöver även kompletteras med svenska bestämmelser på forskningsområdet

För att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål behöver dataskyddsförordningen och dataskyddslagen kompletteras. De frågor som regeringen ser behov av att reglera, eller i vilka riksdagen bör informeras om regeringens bedömning, är främst förekomsten av rättslig grund för att olika forskningsaktörer ska kunna behandla personuppgifter för forskningsändamål (avsnitt 7), skyddsåtgärder vid all behandling av personuppgifter för forskningsändamål (avsnitt 9), behandling av s.k. känsliga personuppgifter för forskningsändamål (avsnitt 10), behandling av personuppgifter som rör lagöverträdelser för forskningsändamål (avsnitt 11) och undantag från artiklar i dataskyddsförordningen som reglerar den registrerades rättigheter (avsnitt 13). Vidare behöver anpassningar göras i lagen (2003:460) om etikprövning av forskning som avser människor, vissa registerförfattningar på forskningsområdet och i offentlighets- och sekretesslagen (2009:400), se avsnitt 14– 16.

Då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll ges nedan först en kortfattad redogörelse för vad som gällt hittills enligt dataskyddsdirektivet och PUL (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

4.5. Vad har gällt hittills enligt dataskyddsdirektivet och personuppgiftslagen?

Dataskyddsdirektivet

Dataskyddsdirektivet syftade till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Det syftade även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna fick inom den ram som gavs i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma.

Huvuddragen i direktivet var följande. Direktivet gällde för sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avsågs varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artiklarna 2 b och 3.1 i dataskyddsdirektivet).

Direktivet var inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Direktivet var inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantogs från direktivets materiella bestämmelser (artiklarna 3.2 och 9).

Medlemsstaterna skulle enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebar bl.a. följande. Personuppgifter skulle behandlas på ett korrekt och lagligt sätt. Uppgifterna fick samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de fick inte senare användas på ett sätt som var oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skulle dock inte anses oförenligt med det ursprungliga ändamålet, förutsatt att medlemsstaterna beslutat om lämpliga skyddsåtgärder. Medlemsstaterna skulle vidare föreskriva att personuppgifter endast fick behandlas i bl.a. följande fall: när samtycke lämnats, när det var nödvändigt för att fullgöra ett avtal i vilket den registrerade var part, när det fanns en i författning reglerad förpliktelse att behandling av uppgifterna skulle göras, när det var nödvändigt för att skydda den enskildes grundläggande intressen, när det var nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en avvägning mellan de berättigade intressen som fanns för behandlingen och den registrerades rättigheter och intressen (artiklarna 6 och 7).

Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv (s.k. känsliga personuppgifter) fick som huvudregel inte behandlas. Det fanns dock vissa undantag, bl.a. om den

enskilde uttryckligen samtyckt, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna fick i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som angavs i direktivet, dock endast under förutsättning att det skedde av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtogs. Medlemsstaterna skulle vidare bestämma på vilka villkor nationella identifikationsnummer fick behandlas. Vidare fick uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8).

Med registeransvarig avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med registerförare avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning (artikel 2 d och 2 e).

Enligt direktivet skulle, när personuppgifter samlades in, den registrerade informeras bl.a. om vem som var registeransvarig och vad uppgifterna skulle användas till. All behandling av personuppgifter skulle enligt huvudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgifter som innebar särskilda integritetsrisker fick inte förekomma utan att tillsynsmyndigheten först gett tillstånd till detta. Den registrerade hade rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land fick i princip endast ske om det mottagande landet hade en acceptabel skyddsnivå (se bl.a. artiklarna 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet genomfördes, som angetts ovan, i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL hade till syfte att skydda människor mot att deras personliga integritet kränktes genom behandling av personuppgifter. PUL följde i princip dataskyddsdirektivets struktur. Liksom direktivet innehöll PUL bestämmelser om behandling av personuppgifter som var helt eller delvis automatiserad, men även annan behandling av personuppgifter om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gällde både myndigheter och enskilda som behandlade personuppgifter på detta sätt. Lagen gällde dock inte för sådan behandling av personuppgifter som en fysisk person utförde som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL).

Liksom direktivet innehöll PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter var tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m., skyldighet att lämna information till den registrerade och att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte hade behandlats i enlighet med lagen (t.ex. 9, 10, 13, 16, 21 och 23–28 §§.) De som i direktivet benämndes som registeransvarig

och registerförare motsvarades i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §).

4.6. Likheter och skillnader mellan dataskyddsförordningen och dataskyddsdirektivet

Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdirektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

Definitionerna av begreppen personuppgifter och behandling i dataskyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4.1 och 4.2).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4.7 och 4.8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artiklarna 5, 6, 9, 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. de förändringar som beskrivs nedan.

Tillämpningsområdet har utvidgats

Dataskyddsförordningen ska tillämpas på behandling av personuppgifter som görs inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen (artikel 3.1). Vidare ska dataskyddsförordningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.3).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2).

Den registrerades rättigheter har förstärkts

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. I förhållande till dataskyddsdirektivet har den information som ska tillhandahållas den registrerade preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Det finns liksom i dataskyddsdirektivet en rätt till s.k. registerutdrag och en rätt till rättelse av felaktiga uppgifter. Rätten till radering (utplåning) av uppgifter har förtydligats. En rätt till begränsning av behandling har vidare ersatt rätten till blockering av uppgifter. Det finns också, liksom enligt dataskyddsdirektivet, en rätt för den registrerade att invända mot behandling av personuppgifter som rör honom eller henne (artiklarna 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Ett krav på samtycke har införts för situationer när informationssamhällets tjänster erbjuds barn

När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). Enligt dataskyddslagen gäller en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställning och särskilda utsatthet poängteras också på flera ställen i dataskyddsförordningen.

En skyldighet att anmäla personuppgiftsincidenter har införts

Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter, såvida inte vissa villkor är uppfyllda (artikel 33).

Ett krav på konsekvensanalyser har ersatt en allmän anmälningsskyldighet

Genom dataskyddsförordningen införs även ett krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten har däremot tagits bort.

Det finns ingen missbruksregel och vissa förändringar har gjorts av de rättsliga grunderna för personuppgiftsbehandling

Genom att dataskyddsförordningen börjat tillämpas finns den så kallade missbruksregeln i 5 a § PUL inte längre kvar. Såväl dataskyddsdirektivet som PUL innebar att behandling av personuppgifter förutsatte tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebar att vissa av

dessa hanteringsregler inte behövde tillämpas på behandling av personuppgifter som inte ingick i eller var avsedda att ingå i en samling av personuppgifter som strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta gällde dock endast under förutsättning att behandlingen inte innebar en kränkning av den registrerades personliga integritet. Bestämmelsen tillkom för att förenkla regleringen av personuppgiftsbehandling och bestämmelsen hade ett relativt vitt tillämpningsområde (jfr HFD 2015 ref. 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen.

Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter och intressen (artikel 6.1). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat.

Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehandlingen stödjer sig på i vissa fall ska vara fastställd i enlighet med unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1 och 2 §§ i dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter för forskningsändamål behandlas i avsnitt 7.

Förändringar när det gäller känsliga personuppgifter och lagöverträdelser

Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 10 och 11.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser samt personnummer och samordningsnummer finns i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

Förhållandet till offentlighetsprincipen har blivit tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen har blivit tydligare i dataskyddsförordningen. Detta har skett genom en uttrycklig och direkt tillämplig bestämmelse om att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen (artikel 86). Härigenom möjliggörs alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta finns i 1 kap. 7 § dataskyddslagen.

Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning har införts

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktionsavgifter finns i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artiklarna 40, 43, 57, 68–76 och 83).

Särskilda bestämmelser med villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål har införts

I dataskyddsförordningen finns det några bestämmelser som särskilt reglerar villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål. Behandling av personuppgifter för sådana ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Om personuppgifter behandlas för sådana ändamål får det under vissa förutsättningar i unionsrätten eller medlemsstaternas nationella rätt föreskrivas undantag från vissa av de artiklar i förordningen som reglerar de rättigheter den registrerade har för att ha kontroll över sina uppgifter (artikel 89). Ett särskilt undantag från förbudet att behandla känsliga personuppgifter finns också om behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål (artikel 9.2 j).

4.7. Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå

När det gäller införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundläggande bestämmelser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om denne registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personuppgifter.

Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numera att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF). Vid införandet av nya bestämmelser som avser behandling av personuppgifter behöver därmed bedömas om regleringen utgör ett sådant betydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (prop. 2009/10:80 s. 171 f).

5. Vilka är forskningsutförare?

Forskningsutförare inom det offentligrättsliga området

En stor del av den forskning i Sverige som bedrivs av offentligrättsliga forskningsutförare bedrivs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Enligt 2 kap. 18 § andra stycket RF är forskningens frihet skyddad enligt bestämmelser som meddelas i lag.

För universitet och högskolor med staten som huvudman framgår det av högskolelagen (1992:1434) att de ska bedriva forskning. Där anges det att staten som huvudman ska anordna högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet, och forskning och konstnärlig forskning samt utvecklingsarbete (1 kap. 2 §). Av högskolelagen framgår också forskningens frihet. Som allmänna principer för forskning som bedrivs av dessa utförare gäller att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras (1 kap. 6 §). I högskolornas uppgift ska det ingå att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Flera andra statliga myndigheter har forskningsuppgifter inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Forskningsutförare inom det privaträttsliga området

Bland privaträttsliga aktörer som utför forskning ska först enskilda utbildningsanordnare nämnas. Enskilda utbildningsanordnare är lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller

föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa är alla privaträttsliga forskningsutförare. För de enskilda utbildningsanordnarna anges det emellertid inte i lagen om tillstånd att utfärda vissa examina att de har en uppgift att bedriva forskning.

Forskning bedrivs även i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningsutförare som bedriver forskning med omfattande användning av personuppgifter.

6. I dataskyddsförordningen används begreppet forskningsändamål

När villkoren för personuppgiftsbehandling inom forskning regleras särskilt i dataskyddsförordningen används i stort sett genomgående termen vetenskapliga eller historiska forskningsändamål. I vissa fall talas det enbart om forskningsändamål. Till ledning för tolkningen av detta begrepp anges det att begreppet vetenskapliga forskningsändamål bör i förordningen ges en vid tolkning och omfatta t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt intresse inom folkhälsoområdet bör omfattas av begreppet (skäl 159). Historiska forskningsändamål omfattar historiska och genealogiska ändamål (skäl 160). Termen vetenskapliga och historiska forskningsändamål är alltså ett unionsrättsligt begrepp.

7. De rättsliga grunderna för behandling av personuppgifter för forskningsändamål

Som framgått av avsnitt 4.6 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara göras om det finns en tillämplig rättslig grund. De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst att

1. den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a),

2. behandlingen är nödvändig för att utföra en uppgift av allmänt intresse

(uppgift av allmänt intresse, artikel 6.1 e), och

3. behandlingen är nödvändig för ändamål som rör den personuppgifts-

ansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1 f).

I något fall kan också den rättsliga grunden att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c) vara aktuell.

Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de rättsliga grunderna i artikeln är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling.

Som framgått av avsnitt 4.6 är skillnaderna mot vad som gällde enligt dataskyddsdirektivet och PUL bl.a. att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är mer begränsat enligt dataskyddsförordningen, att det enligt dataskyddsförordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning, och att bl.a. den rättsliga grunden uppgift av allmänt intresse och myndighetsutövning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse och intresseavvägning (avsnitt 7.1). Därefter behandlas vilka förutsättningar offentligrättsliga respektive privaträttsliga forskningsutförare har att stödja sin behandling av personuppgifter på dessa grunder (avsnitt 7.2). I avsnitt 10.4 behandlas forskning i form av klinisk läkemedelsprövning och användandet av den rättsliga grunden rättslig förpliktelse i samband med sådan forskning.

7.1. Tre rättsliga grunder är främst aktuella

7.1.1. Samtycke

Om en behandling grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a och 7.1).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende

som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

För forskningens del är också vad som anges i skäl 33 i dataskyddsförordningen av betydelse. Där konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EUkommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (Yttrande 15/2011 om definitionen av begreppet samtycke Artikel 29gruppen s. 13–14 och 16–17). Artikel 29-gruppen har också antagit riktlinjer om samtycke enligt dataskyddsförordningen, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regulation 2016/679, wp259rev.01, antagna den 10 april 2018). Europeiska dataskyddsstyrelsen, som har i uppgift att se till att dataskyddsförordningen tillämpas enhetligt, har den 25 maj 2018 beslutat att stödja dessa riktlinjer. Av riktlinjerna framgår att existerande yttranden fortfarande har relevans då de grundläggande förutsättningarna för personuppgiftsbehandling enligt dataskyddsdirektivet är desamma som enligt dataskyddsförordningen. Generellt framhåller arbetsgruppen i riktlinjerna att ett samtycke är giltigt endast om den registrerade har en reell valmöjlighet och det inte finns någon risk för att den registrerade blir bedragen, utsätts för hot eller tvång eller andra negativa konsekvenser om han eller hon inte samtycker.

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag (prop. 2017/18:105) gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (a. prop., s. 57).

7.1.2. Uppgift av allmänt intresse

Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Vilka uppgifter är av allmänt intresse?

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen.

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet också finns i motsvarande bestämmelser i det upphävda dataskyddsdirektivet (artikel 7 e) och i den upphävda PUL (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Som anförts i propositionen Ny dataskyddslag gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste enligt regeringens mening gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.

Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just

allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).

Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.

Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör.

När det gäller frågan om forskning ska anses vara en uppgift av allmänt intresse kan konstateras att vetenskaplig forskning i dataskyddsdirektivets skäl 34 framhålls som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter.

I förarbetena till PUL exemplifieras arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364).

I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse (s. 56). Detta för att myndigheternas verksamhet ska kunna fungera även i fortsättningen mot bakgrund av dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet (se närmare om detta i avsnitt 7.2.1 och 7.2.3).

Sammanfattningsvis bör presumtionen vara att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig förändring i förhållande till vad som gäller enligt PUL är emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?

I propositionen Ny dataskyddslag framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse, dvs. i nu aktuellt fall uppgiften att forska. Något motsvarande krav på att grunden för behandlingen ska vara fastställd i unionsrätt eller nationell rätt när det är fråga om bl.a. uppgift av allmänt intresse finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd, t.ex. privata forskningsutförare. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag.

Att grunden för en behandling ska vara fastställd i nationell rätt är visserligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 49 f.). Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.

När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas konstateras i nämnda proposition att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att dataskyddsförordningens krav i art. 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med RF:s bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller

uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering – i myndighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsvarande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden.

En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de grundläggande principer som gäller för personuppgiftsbehandling i artikel 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 8). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade och

uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av sådan utbildning som regleras i den lagen.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller genom att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.

Reglering i dataskyddslagen

Av skäl 41 i dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har preciserats 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 i dataskyddsförordningen framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är

allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart (propositionen Ny dataskyddslag, s. 51).

På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara tillämplig och kunna åberopas. Det ställs däremot inte något krav enligt dataskyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.

Nödvändighetsrekvisitet

Som nämnts ovan får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3).

Nödvändighetsrekvisitet har även gällt enligt artiklarna 6 och 7 i dataskyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (propositionen Ny dataskyddslag s. 46 f. och 60).

För forskningens del innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet.

7.1.3. Intresseavvägning

Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket). Motsvarande grund har enligt dataskyddsdirektivet och PUL även kunnat tillämpas av myndigheter. I artikel 6.1 andra stycket i dataskyddsförordningen klargörs dock att den rättsliga grunden intresseavvägning inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Vid den rättsliga grunden intresseavvägning ska behandlingen av personuppgifter vara nödvändig för ett ändamål som rör ett berättigat intresse. Nödvändighetsrekvisitet har behandlats i avsnitt 7.1.2.

Av skäl 47 till dataskyddsförordningen framgår att vid bedömningen av om den rättsliga grunden intresseavvägning kan tillämpas ska den registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige beaktas. Som exempel på när en personuppgiftsansvarig kan ha ett berättigat intresse nämns att det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en behandling kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direkt marknadsföring kan betraktas som ett berättigat intresse (skäl 47 till dataskyddsförordningen).

Som nämnts tidigare framhålls vetenskaplig forskning i dataskyddsdirektivets skäl 34 som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter. I förarbetena till personuppgiftslagen exemplifieras vidare arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364).

Enligt regeringens uppfattning bör en uppgift, som bedöms vara av allmänt intresse men som inte har fastställts i unionsrätten eller nationell rätt, i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f.

Artikel 29-gruppen har när det gäller dataskyddsdirektivet uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Andra intressen kan vara mindre akuta för samhället som helhet eller åtminstone kan samhällseffekterna av dessa vara blandade. Begreppet berättigat intresse kan omfatta ett brett spektrum av intressen. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts ovan följer det dock av artikel 6.1 andra stycket dataskyddsförordningen att myndigheter, bl.a. universitet och högskolor med statlig huvudman, inte längre får åberopa denna grund för personuppgiftsbehandling när de fullgör sina uppgifter.

7.2. Möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder

7.2.1. Samtycke

Regeringens bedömning: Dataskyddsförordningen bör normalt inte innebära något hinder för forskningsutförare att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningsutförare.

Utredningens bedömning överensstämmer i sak med regeringens bedömning. Utredningen gjorde fler bedömningar med inriktning på olika aspekter av ett giltigt samtycke.

Remissinstanserna: Ingen remissinstans yttrar sig i frågan om utredningens bedömning av olika forskningsutförares möjlighet att använda den rättsliga grunden samtycke. De flesta remissinstanser som yttrar sig delar i huvudsak utredningens bedömning av innebörden av samtycke.

Några remissinstanser, bl.a. Mittuniversitetet och Skåne läns landsting, problematiserar kring samtyckens giltighet vid ett ojämlikt förhållande mellan den personuppgiftsansvarige och den registrerade.

Umeå universitet anser att en diskussion borde ha förts kring hur äldre samtycken som inhämtats innan dataskyddsdirektivet infördes ska hanteras.

Flera remissinstanser, Verket för innovationssystem (Vinnova), Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU),

Läkemedelsindustriföreningen och Cancerfonden, tar upp frågan om tolkningen av skäl 33 i dataskyddsförordningen och vikten av att kunna använda s.k. breda samtycken i forskningen.

Några remissinstanser kommenterar också utredningens bedömning när det gäller ytterligare behandling av personuppgifter som inhämtats med stöd av samtycke. Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen konstaterar att samtycke kan användas som rättslig grund så länge det inte är fråga om ett ojämlikt förhållande. Inspektionen anser att man bör iaktta försiktighet när man gör en bedömning av om samtycke kan utgöra en rättslig grund och framhåller att det inte enbart är i de situationer där det råder ett direkt maktförhållande mellan den personuppgiftsansvarige och den registrerade som möjligheten att använda samtycke är begränsad. Lunds universitet framhåller att samtycke kan vara problematiskt när den registrerade upplever sig beroende av den personuppgiftsansvarige. Universitet anser att det krävs en mer ingående analys av när ett betydande ojämlikhetsförhållande föreligger.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Alla personuppgiftsansvariga som vill använda den rättsliga grunden samtycke för sin personuppgiftsbehandling har att beakta förutsättningarna som angivits i avsnitt 7.1.1 för att ett giltigt samtycke ska föreligga.

Kravet på frivillighet som gäller för att ett samtycke ska vara giltigt är formulerat på samma sätt i dataskyddsförordningen som i PUL. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen. Där anges det att för att säkerställa att samtycket lämnas frivilligt bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

I ett yttrande om samtycke har Artikel 29-gruppen uttalat att inom den offentliga sektorn är behandlingen av uppgifter normalt knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse och att då använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna är inte en lämplig rättslig grund (Yttrande 15/2011 om definitionen av begreppet samtycke). Artikel 29gruppen pekar på att detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen

för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag. Som nämnts i avsnitt 7.1.1 har Artikel 29-gruppen antagit Guidelines on Consent under Regulation 2016/679, som kompletterar tidigare yttranden. Artikel 29-gruppen uttalar i vägledningen att det generellt är osannolikt att offentliga myndigheter kan förlita sig på den rättsliga grunden samtycke eftersom det ofta föreligger ett sådant ojämlikt maktförhållande mellan myndigheten som är personuppgiftsansvarig och den registrerade. I många fall har inte den registrerade något alternativ förutom att acceptera myndighetens villkor för behandling av personuppgifter. Arbetsgruppen anser därför att andra rättsliga grunder i princip är lämpligare att använda än samtycke för offentliga myndigheter. Arbetsgruppen anger emellertid i vägledningen att det inte är helt uteslutet att offentliga myndigheter kan använda samtycke enligt dataskyddsförordningen, utan att det kan vara lämpligt under vissa omständigheter (Guidelines on Consent under Regulation 2016/679, s. 6).

När det gäller offentliga forskningsutförare kan det enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forskningsprojekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forskningsutföraren kan använda sig av denna rättsliga grund.

Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. De driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och nationella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse. Behandling av personuppgifter i sådana register regleras i 7 kap. patientdatalagen (2008:355). Enligt 7 kap. 2 § får personuppgifter inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. Det finns vidare en särskild reglering i 7 kap. 2 a § för en enskild som inte endast tillfälligt saknar förmåga att ta ställning i denna fråga.

Sammanfattningsvis anser regeringen att formuleringen i skäl 43 innebär en begränsning av offentliga forskningsutförares möjlighet att använda sig av samtycke som rättslig grund, men det föreligger inte alltid ett hinder

för sådana forskningsutförare att använda samtycke som rättslig grund. När de tar ställning till frågan med stöd av vilken rättslig grund personuppgiftsbehandling i ett forskningsprojekt ska ske behöver de särskilt beakta om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund utan en annan rättslig grund bör väljas. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Privaträttsliga forskningsutförare

Även privaträttsliga forskningsutförare måste beakta att förutsättningarna för ett giltigt samtycke är uppfyllda när de tar ställning till vilken rättslig grund personuppgiftsbehandling i ett projekt ska grundas på och om det är lämpligt att använda sig av samtycke.

Regeringens bedömning är att utgångspunkten när det gäller privaträttsliga forskningsutförare är att det normalt inte råder betydande ojämlikhet mellan dem som personuppgiftsansvariga och registrerade när personuppgifter behandlas för forskningsändamål. För enskilda utbildningsanordnare bör väsentligen samma resonemang om fall där en betydande ojämlikhet skulle kunna föreligga kunna föras som för universiteten och högskolorna med offentlig huvudman. Företag, stiftelser och andra medlemsorganisationer som utför forskning bör kunna använda samtycke för alla som inte har någon anknytning till organisationen, genom att vara exempelvis anställda, intressenter och/eller medlemmar. En sådan särskild situation enligt skäl 43 då samtycke inte kan anses ha lämnats frivilligt kan vara när den personuppgiftsansvarige vill använda ett anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis bör formuleringen i skäl 43 normalt inte innebära hinder för privaträttsliga forskningsutförare att använda samtycke för personuppgiftsbehandling för forskningsändamål. Även privaträttsliga forskningsutförare behöver emellertid beakta om det kan föreligga en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbehandlingen i ett forskningsprojekt. Det ankommer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Äldre samtycken

När det gäller redan inhämtade samtycken och frågan om giltigheten av sådana samtycken framgår det av skäl 171 i dataskyddsförordningen att om en personuppgiftsbehandling grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen ifråga efter det att förordningen börjat tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Det behöver alltså ske en kontroll av att lämnade samtycken skett på ett sätt som krävs för att ett giltigt samtycke ska föreligga enligt dataskyddsförordningen för att avgöra om behandlingen kan fortsätta med stöd av

samtycket eller om ett nytt samtycke behöver inhämtas. När det gäller ännu äldre samtycken framgår det av övergångsbestämmelserna till PUL att ett samtycke som hade lämnats för en behandling innan PUL trädde i kraft skulle gälla även efter ikraftträdandet om samtycket uppfyllde kraven i PUL (p. 6 i ikraftträdande- och övergångsbestämmelserna). PUL är baserad på dataskyddsdirektivet. Det får enligt regeringens uppfattning förutsättas att en bedömning gjorts av om ett sådant samtycke är förenligt med PUL och därmed dataskyddsdirektivet och att ett nytt samtycke inhämtats om samtycket inte bedömts uppfylla kraven i PUL. Enligt regeringens uppfattning bör dessa samtycken därför kunna hanteras på samma sätt som samtycken enligt dataskyddsdirektivet, dvs. att en kontroll görs av om det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen.

7.2.2. Uppgift av allmänt intresse

Regeringens bedömning: För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt.

Det bör inte införas en bestämmelse i lag där det anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen berör inte frågan om tillstånd från myndigheter för att bedriva forskning. Utredningen har föreslagit att det ska införas en bestämmelse i lag som anger att personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse samt att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Remissinstanserna: I stort sett alla remissinstanser som yttrar sig tillstyrker, ställer sig positiva till eller har ingen invändning mot att en be-

stämmelse som reglerar forskning som uppgift av allmänt intresse för såväl offentligrättsliga som privaträttsliga forskningsutförare införs i lag. Detta gäller bl.a. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Sveriges Kommuner och Landsting (SKL) och flertalet landsting.

Uppsala universitet tillstyrker förslaget och konstaterar att själva uppgiften att bedriva forskning måste vara fastställd enligt gällande rätt och att så redan är fallet för universitet och högskolor. För andra offentliga forskningsutförare, enskilda näringsidkare såsom läkemedelsföretag och andra juridiska personer saknas en reglering som står i överensstämmelse med dataskyddsförordningen. Genom de föreslagna bestämmelserna ges nu en sådan precisering vilket gör det möjligt också för dessa forskningsutförare att åberopa allmänt intresse som rättslig grund. Dessa forskningsutförare bedriver redan idag ett viktigt vetenskapligt arbete eller utvecklingsarbete på vetenskaplig grund och bör när det gäller behandling av personuppgifter för forskningsändamål behandlas lika som statliga universitet och högskolor.

Kalmar läns landsting delar utredningens uppfattning att kommunallagens bestämmelser om att kommuner och landsting själva får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar, inte är tillräckligt tydlig, preciserad och förutsägbar för att uppfylla dataskyddsförordningens krav vid fastställande av rättslig grund. Landstinget anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som landsting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Vetenskapsrådet anser att forskning oavsett om den utförs av en offentlig eller privat forskningsutförare är en uppgift av allmänt intresse. Mot bakgrund av myndighetens uppgift att förbättra förutsättningarna för registerforskning i Sverige anser myndigheten att det är av avgörande betydelse att även privata forskningsutförare kan behandla personuppgifter utan samtycke. Vetenskapsrådet betonar därför vikten av att det i nationell lagstiftning slås fast att även privata forskningsutförare kan använda sig av den rättsliga grunden allmänt intresse.

Verket för innovationssystem (Vinnova) anser att det i lag bör möjliggöras att offentligrättsliga och privaträttsliga forskningsutförare likställs när det gäller möjligheten att åberopa artikel 6.1 e som rättslig grund för personuppgiftsbehandling för forskningsändamål. Skälen är att det i dagens forskningssamhälle saknas en skarp gräns mellan offentliga och privata forskningsutförare, att samverkan mellan olika forskningsutförare är en viktig del av nuvarande forskningslandskap och att privaträttsliga forskningsutförare utför en betydande del forskning som kan anses vara uppgift av allmänt intresse.

Mittuniversitetet vill lyfta fram det absolut nödvändiga i att genomföra den del av förslaget som innebär att även privata forskningsutförare ges möjlighet till att använda den rättsliga grunden ”uppgift av allmänt intresse” vid forskning som innebär personuppgiftshantering. Om förslaget inte genomförs kommer för allmänheten betydelsefull forskning som sker inom den privata sektorn, exempelvis inom läkemedelsindustrin, annars försvåras eller i värsta fall omöjliggöras. Detta oavsett om denna

forskning sker enbart inom den privaträttsliga sfären eller om den sker i samarbete med någon högskola eller något universitet.

Enligt Pensionsmyndigheten är det uppenbart att den forskning som bedrivs enligt bestämmelserna i högskolelagen (1992:1434) är exempel på en sådan uppgift av allmänt intresse som avses i dataskyddsförordningen. Enligt myndigheten skulle det dock kunna anses vara mer tveksamt om privat oreglerad forskningsverksamhet kan anses underkastad en sådan reglering. Enligt Pensionsmyndighetens uppfattning är det därför av stor vikt att det i det fortsatta beredningsarbetet säkerställs att även sådan forskningsverksamhet är reglerad på ett sådant sätt att den anses fastställd i enlighet med dataskyddsförordningens krav.

Malmö högskola påpekar att utredningens förslag tillåter en mycket vid grupp att utföra forskning av allmänt intresse och forskningsutföraren ska själv avgöra vad som är allmänt intresse, vilket lämnar möjlighet till fel och direkt missbruk. Att tillåta allt från enskilda näringsidkare och uppåt att bedriva forskning och samtidigt överlåta avgörandet av vad som är av allmänt intresse kan vara en risk.

Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse.

Datainspektionen avstyrker utredningens förslag avseende 6 § i den föreslagna forskningsdatalagen. Inspektionen anför att 6 § i den föreslagna forskningsdatalagen synes reglera vem som får utföra forskning av allmänt intresse och utgör enligt vad utredningen anfört, den i nationell rätt fastställda grunden för att utföra en uppgift av allmänt intresse. Datainspektionen anser inte att den föreslagna bestämmelsen är en i nationell rätt fastställd uppgift, utan bestämmelsen återger i första meningen en del av dataskyddsförordningens krav och i sista meningen anges olika subjekt som får bedriva forskning av allmänt intresse. Datainspektionen konstaterar att friheten att forska inte är en fråga som rör dataskydd och att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att denna reglering tillför något materiellt. Mot denna bakgrund ifrågasätter Datainspektionen om 6 § forskningsdatalagen egentligen inte endast kan anses utgöra enbart ett återgivande av de regler som gäller direkt enligt artikel 6.1 e i förordningen. Eftersom bestämmelsen inte utgör ett förtydligande i enlighet med skäl 8 i förordningen anser Datainspektionen att bestämmelsen saknar stöd i dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Detta gäller bl.a. Kammarrätten i

Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Brottsförebyggande rådet, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Jönköping University, Örebro universitet, Kungl. Biblioteket och Riksarkivet. Bland de som ställer sig positiva till förslagen och bedömningarna finns Högskolan i Borås, Karlstads universitet, Karolinska institutet och Malmö universitet. Göteborgs universi-

tet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsremiss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intressen av att kunna använda personuppgifter och att den typ av forskning som

Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver.

När det gäller bedömningarna av olika forskningsutförares möjligheter att använda sig av olika rättsliga grunder framhåller ett antal remissinstanser, Mittuniversitetet, Umeå universitet, Vetenskapsrådet, Forskningsrådet för miljö, areella näringar och samhällsbyggande (Formas) och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), vikten av att privaträttsliga forskningsutförare kan använda sig av den rättsliga grunden uppgift av allmänt intresse och att det är problematiskt att offentligrättsliga och privaträttsliga forskningsutförare får olika förutsättningar, vilket de bl.a. anser försvårar samarbete mellan olika forskningsutförare och ger privaträttsliga forskningsutförare sämre konkurrensförutsättningar. Stockholms universitet anser att det är olyckligt att privata forskningsutförares behandling av personuppgifter ska fördelas på skilda rättsliga grunder beroende på om känsliga personuppgifter behandlas eller inte. Kommerskollegium ställer sig frågande till bedömningen att inte införa någon rättslig grund i form av uppgift av allmänt intresse för privata forskningsutförare som bedriver forskningsprojekt som inte involverar känsliga personuppgifter eller uppgifter om lagöverträdelser. Verket för innovationssystem (Vinnova) framhåller att det är av yttersta vikt att ingen åtskillnad görs i lagstiftning mellan offentligrättsliga och privata forskningshuvudmän.

Flera remissinstanser, Datainspektionen, Lunds universitet, Stockholms universitet, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Uppsala och Regionala etikprövningsnämnden i Umeå ifrågasätter bedömningen att ett beslut enligt etikprövningslagen och eventuellt andra tillämpliga författningar ger en sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Läkemedelsindustriföreningen framför att detta är potentiellt en väl fungerande ordning för forskning som förutsätter beslut av en etikprövningsnämnd men påpekar att det inte fungerar för all forskning. Föreningen anser att för sådan forskning som består i klinisk läkemedelsprövning behövs en annan lösning vad gäller rättslig grund och anger att ett sätt att lösa frågan vore att tydliggöra från lagstiftarens sida att klinisk läkemedelsforskning kan åberopa uppgift av allmänt intresse som rättslig grund i den mån denna forskning kräver myndighetstillstånd enligt annan lagstiftning, som tillstånd enligt läkemedelslagen eller det framtida, särskilda regelverket som ska gälla för etisk granskning av kliniska läkemedelsprövningar.

Flera remissinstanser tar också upp bedömningen att kommuner och landsting kan tillämpa den rättsliga grunden uppgift av allmänt intresse i de fall forskningsuppgiften är fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen och bedömningen att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen på hälso- och sjukvårdsområdet och folkhälsoområdet uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och

förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Sveriges Kommuner och Landsting (SKL) delar bedömningen när det gäller bestämmelsen i hälso- och sjukvårdslagen och forskning inom det området, men anser att kommuner och landsting bör kunna samverka med varandra och med berörda universitet och högskolor på motsvarande sätt som inom hälso- och sjukvården på andra områden och att det därför finns skäl för att införa särskilt författningsstöd om att forskning är en uppgift för kommuner och landsting även på andra områden än inom hälso- och sjukvården. Även Stockholms läns landsting anför att i vissa fall är forskningsuppgiften inte fastställd i nationell rätt på sådant sätt att den utan vidare kan hänföras till den rättsliga grunden uppgift av allmänt intresse. Det handlar om fakultativa forskningsuppgifter, där landstingets engagemang i forskningen stöds på den allmänna kommunal kompetensen snarare än på lagstöd i positiv bemärkelse. Med beaktande av landstingets roll vid medicinsk och annan forskning finns det enligt landstinget ett kvarvarande behov av att mer utförligt utreda och förklara förslagens konsekvenser. En särskild fråga är enligt landstinget behovet och räckvidden av sådana särskilda beslut av landstingsfullmäktige som kan bli nödvändiga för att den rättsliga grunden uppgift av allmänt intresse ska kunna tillämpas. Kalmar läns landsting och

Västra Götalands läns landsting anser att det finns en risk för osäkerhet kring vilken typ av beslut som krävs och för att bestämmelserna i dataskyddsförordningen inte uppfylls med avseende på kravet om tydlighet, precision och förutsägbarhet för att den rättsliga grunden ska anses vara fastställd. Kalmar läns landsting anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som landsting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse och Västra

Götalands läns landsting anser att regeringen bör föreslå en ny forskningsdatalag där det klart framgår att forskning av allmänt intresse får utföras. Datainspektionen anser mot bakgrund av att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen aktualiserar en stor mängd känsliga samt integritetskänsliga personuppgifter är den ett exempel på bestämmelse där det kan ifrågasättas om den uppfyller kraven på precision.

Chalmers tekniska högskola anser inte att det tillfredsställande kommer till uttryck att högskolans forskningsuppgift är fastställd i enlighet med rättsordningen och att förslaget således inte med önskvärd tydlighet säkerställer högskolans förutsättningar att behandla personuppgifter inom forskningsverksamheten. Högskolan framhåller också att det är väsentligt att högskolans forskning ges förutsättningar att utföras på jämställda villkor med statliga högskolor.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Som framgått av avsnitt 7.1.2 är det regeringens bedömning att presumtionen är att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. För att den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs emellertid enligt artikel 6.3 att uppgiften är fastställd i enlighet med unionsrätten eller den nationella rätten. Vad detta innebär har behandlats i avsnitt 7.1.2.

I 2 kap. 18 § andra stycket RF fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet genom att det anges allmänna principer för den delen av högskolornas verksamhet. För forskningen ska gälla att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Regeringens bedömning är därför att för universitet och högskolor med staten som huvudman är forskningsuppgiften fastställd i svensk lag och de kan därför behandla personuppgifter som är nödvändiga för att utföra forskningen med stöd av artikel 6.1 e.

Utöver universitet och högskolor behandlar många statliga myndigheter personuppgifter för forskningsändamål. Dessa myndigheters möjligheter att behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Uppgiften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller genom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd på detta sätt för en myndighet har myndigheten möjlighet att grunda behandling av personuppgifter som är nödvändig för att utföra forskningen på att det är en uppgift av allmänt intresse enligt artikel 6.1 e.

Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att samma resonemang kan föras för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle. För sådana organ är det bedömningarna beträffande privaträttsliga forskningsutförare som är relevanta (se nedan).

Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter. När det gäller kommunernas verksamhet anges det i 14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag. Kommunallagen reglerar såväl kommuner som landsting på en övergripande nivå. Där anges att kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. Kommuner och landsting får inte ha hand om sådana angelägenheter som enbart staten, en annan kommun, ett annat landsting eller någon annan ska ha hand om.

Forskning och innovation är en viktig del av många landstings och kommuners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdslagen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Landsting och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § hälso- och sjukvårdslagen).

Enligt 2 kap. 2 § 1 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Formuleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. På hälso- och sjukvårdsområdet och folkhälsoområdet bedömer regeringen till skillnad från

Datainspektionen att ovan nämnda bestämmelser i hälso- och sjukvårdslagen uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Forskning hör i övrigt till området där landsting och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet. Att som bl.a. SKL föreslår i författning fastställa att forskning är en uppgift för kommuner och landsting inom andra områden skulle innebära att nya uppgifter läggs på kommunerna, vilket med hänsyn till den kommunala självstyrelsen kräver särskilda överväganden som det saknas underlag för i detta lagstiftningsärende. För att kommuner och landsting i övrigt ska kunna använda sig av den rättsliga grunden uppgift av allmänt intresse när de bedriver forskning är det enligt regeringens uppfattning av vikt att de beaktar att forskningsuppgiften anges tydligt i de beslut om verksamheten som fattas av fullmäktige så att forskningsuppgiften därigenom kan anses vara fastställd i nationell rätt. Det är varje personuppgiftsansvarigs ansvar att se till att det finns en laglig grund för den behandling av personuppgifter som den personuppgiftsansvarige avser att göra och därmed kommunernas ansvar att se till att de kommunala beslut som kan behövas för att forskningsuppgiften ska anses vara fastställd och den rättsliga grunden uppgift av allmänt intresse kunna användas får en tillräckligt tydlig och precis utformning.

Privaträttsliga forskningsutförare

Forskning bedrivs även av privata forskningsutförare. Forskningsuppgiften är emellertid inte fastställd i nationell rätt för dessa aktörer på motsvarande sätt som för de flesta offentligrättsliga forskningsutförare.

Forskningsdatautredningen har i sitt delbetänkande föreslagit att det ska införas kompletterande nationella bestämmelser för behandling av personuppgifter för forskningsändamål i en forskningsdatalag. Utredningen har bl.a. föreslagit att det i den lagen ska införas bestämmelser som bl.a. anger att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse och att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och

landsting, andra juridiska personer och enskilda näringsidkare. När det gäller den av utredningen föreslagna bestämmelsen om att offentliga och privata forskningsutförare får utföra forskning av allmänt intresse gör regeringen följande bedömning.

Som framgått innebär regleringen i dataskyddsförordningen en påtaglig skillnad i förhållande till dataskyddsdirektivet på så vis att enligt direktivet kan behandling av personuppgifter utföras på den rättliga grunden allmänt intresse, även om den uppgift som föranleder personuppgiftsbehandlingen, i nu aktuellt fall uppgiften att forska, inte är fastställd i nationell rätt eller unionsrätt. Det innebär att det hittills inte har spelat någon roll om forskningsutföraren har varit en myndighet eller en enskild fysisk eller juridisk person. Utgångpunkten har ändå varit att uppgiften att forska är en uppgift av allmänt intresse. Som framgår av avsnitt 7.1.2 räcker det dock enligt dataskyddsförordningen inte att uppgiften är av allmänt intresse. Den måste också vara fastställd i nationell rätt eller unionsrätt. Som framgår av avsnitt 7.1.2 är myndigheters uppgifter fastställda i nationell eller unionsrätten eftersom legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. För enskilda är inte utgångpunkten att de behöver rättsligt stöd för sina handlingar utan för dem gäller att allt som inte är förbjudet eller på annat sätt reglerat är tillåtet. För privata forskningsutförare innebär det att de har rätt att forska fritt så länge staten inte har uppställt krav på tillstånd för viss forskning eller forskningen innefattar brottslig verksamhet etc. Vad dataskyddsförordningens krav på att en uppgift ska vara fastställd i nationell rätt eller i unionsrätten för att den ska anses vara en uppgift av allmänt intresse i den mening som avses i artikel 6.1.e innebär framgår av 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Flera skäl talar för att det skulle finnas ett behov av en reglering där forskningsuppgiften fastställs för privaträttsliga forskningsutförare för att göra det möjligt för dem att använda sig av den rättsliga grunden uppgift av allmänt intresse. Även forskning som bedrivs av privata utförare kan anses vara en uppgift av allmänt intresse. Som exempel kan nämnas att högskolor kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken likvärdig vid de båda verksamheterna. Forskning bedrivs vidare ofta i samverkan mellan offentliga och privata forskningsutförare. Det är också av vikt att såväl offentliga som privata forskningsutförare har möjlighet att behandla personuppgifter för att genomföra storskaliga registerbaserade studier inom exempelvis hälsoområdet. Sådana studier är av stor betydelse för ökad kunskap om t.ex. sjukdomsorsaker och behandlingsmetoder. Det är inte alltid möjligt eller ens lämpligt att inhämta samtycke för behandling av personuppgifter för forskningsändamål i studier som omfattar flera hundra tusen personer. Detta innebär att såväl offentliga som privata forskningsutförare behöver ha möjligheter att behandla personuppgifter även utan samtycke.

Av det som anförts ovan kan slutsatsen dras att frågan om att reglera forskning som en uppgift av allmänt intresse har störst betydelse för de

privaträttsliga forskningsutförarna. För offentligrättsliga forskningsutförare, som universitet och högskolor med staten som huvudman och statliga myndigheter som har i uppgift att forska, är forskningsuppgiften i de flesta fall redan reglerad i författning eller kan regleras i författning.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvändig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse. För privaträttsliga forskningsutförare är däremot uppgiften att forska som huvudregel inte reglerad.

Forskningsdatautredningens förslag innebär att det ska införas bestämmelser av vilka det framgår dels under vilka förutsättningar personuppgifter får behandlas för forskningsändamål (om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse), dels att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Detta innebär att forskningsutföraren själv även fortsatt skulle ha att bedöma om den forskning som utförs är av allmänt intresse, och om personuppgiftsbehandlingen är nödvändig för att utföra forskningen. Av skäl 41 i dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Forskningsdatautredningen lyfter i detta sammanhang fram att det av skäl 33 framgår att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i dataskyddsförordningen tillämpas på dessa åtgärder. Mot denna bakgrund är det Forskningsdatautredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse i en forskningsdatalag som är tillämplig för alla slags forskningsutförare som bedriver sådan forskning. Forskningsdatautredningen framhåller också att det av skäl 45 i dataskyddsförordningen framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska

vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning.

Majoriteten av remissinstanserna är positiva till utredningens förslag.

Malmö högskola är dock kritisk till att forskningsutföraren själv ska få avgöra vad som är allmänt intresse och Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse. Datainspektionen avstyrker förslaget. Inspektionen anser att den första meningen i den föreslagna lagtexten enbart innebär ett återgivande av vad som redan framgår av dataskyddsförordningen. När det gäller den föreslagna andra meningen anför Datainspektionen att friheten att forska inte är en fråga som rör dataskydd samt att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att den föreslagna regleringen tillför något materiellt.

Regeringen delar Datainspektionens uppfattning att den första meningen i den föreslagna paragrafen endast innebär ett återgivande av vad som redan framgår av dataskyddsförordningen.

När det gäller den föreslagna andra meningen i lagtexten att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare anför Datainspektionen att denna bestämmelse inte innebär att en uppgift att forska ges. När det gäller denna bestämmelse anser regeringen att en jämförelse kan, såvitt gäller privata forskningsutförare, göras med regleringen av personuppgiftsbehandling i enskilda arkiv i dataskyddslagen (2 kap. 3 § första stycket). Den regleringen innebär bl.a. att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Regeringen har i förarbetena till den bestämmelsen tagit ställning för att en föreskrift som tillåter en personuppgiftsansvarig att behandla personuppgifter för arkivändamål av allmänt intresse ger det stöd i den svenska rättsordningen som krävs enligt artikel 6.3 (prop. 2017/18:105 s. 113). Regleringen avseende enskilda arkiv har dock en helt annan detaljeringsgrad än det förslag som Forskningsdatautredningen har lämnat beträffande privata forskningsutförare. I propositionen Ny dataskyddslag anges att en föreskrift som tillåter att t.ex. en förening behandlar personuppgifter för arkivändamål av allmänt intresse i sig innebär att föreningen erkänns ha befogenhet att bedriva arkivverksamhet av allmänt intresse. Det anges vidare att regeringen har för avsikt att delegera föreskriftsrätten i dataskyddslagen till Riksarkivet, eftersom det är den myndighet som har bäst förutsättningar att bedöma vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses vara av allmänt intresse i dataskyddsförordningens mening. Riksarkivet bör enligt regeringen dock ha en skyldighet att höra Datainspektionen innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta synpunkter från den enskilda arkivsektorn i allmänhet och de berörda personuppgiftsansvariga i synnerhet. Med anledning av Riksarkivets önskemål om förtydligande av vad föreskrifterna i praktiken ska reglera har regeringen angett att föreskrifterna skulle kunna innehålla generella bestämmelser som bör gälla för all arkivverksamhet av allmänt intresse som inte omfattas av arkivlagstiftningen, i linje med vad som anges i skäl 158, samt att de berörda personuppgiftsansvariga skulle kunna anges i en

bilaga till föreskrifterna, med angivande av den verksamhet som bedöms vara av allmänt intresse. I förekommande fall kan begränsningar avseende de generella bestämmelserna eller särskilda villkor för tillämpningen anges. I propositionen anges vidare att det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling av personuppgifter för arkivändamål av allmänt intresse. Det har därför införts bestämmelser i dataskyddslagen som innebär dels att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse, dels att den myndighet som regeringen bestämmer även i enskilda fall får besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett sådant beslut får förenas med villkor (2 kap. 3 § dataskyddslagen). Regeringen konstaterar vidare att en översyn av arkivväsendet inletts. En särskild utredare har fått i uppdrag att bl.a. analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras (dir. 2017:106). Regeringen framhåller därför i propositionen Ny dataskyddslag att den ordning som föreslås i det lagstiftningsärendet avseende enskildas behandling av personuppgifter för arkivändamål av allmänt intresse kan komma att bli en övergångslösning.

För att uppgiften att forska ska anses fastställd för privata forskningsutförare på motsvarande sätt som för enskilda arkiv krävs alltså att det på något av de sätt som anges i 2 kap. 2 § dataskyddslagen, dvs. i lag eller annan författning, i kollektivavtal eller i beslut som har meddelats med stöd av lag eller annan författning, fastställs vilka privata forskningsutförare som har i uppgift att forska. Först då kan de utföra sådan personuppgiftsbehandling som är nödvändig för den i den nationella rätten fastställda forskningsuppgiften med stöd av artikel 6.1 e i dataskyddsförordningen.

Vid en jämförelse mellan den detaljerade reglering som föreslås för enskilda arkiv och den reglering som Forskningsdatautredningen föreslår för bl.a. privata forskningsutförare anser regeringen att Forskningsdatautredningens förslag inte uppfyller de krav som anges i EU-förordningen för att det ska vara fråga om en i nationell rätt fastställd uppgift. Vid överväganden om privata forskningsutförares forskningsuppgift ska fastställas i t.ex. föreskrifter eller beslut anser regeringen vidare att hänsyn måste tas till att även privat finansierad forskning måste omfattas av forskningens frihet. Regeringen anser vidare att en uppdelning i ”forskning” och ”forskning av allmänt intresse” är olycklig utifrån principerna om forskningens frihet och att en sådan uppdelning skapar en mängd frågor. Som nämnts i avsnitt 7.1.2 är enligt regeringen presumtionen att forskning är av allmänt intresse. Detta är centralt utifrån principerna om forskningens frihet. En presumtion kan dock brytas. De fall då staten har ansett sig behöva reglera forskning är då frågan uppstår om forskningen är etiskt försvarbar eller inte. Det är en fråga som har ansetts vara så viktigt att den både är föremål

för internationella överenskommelser och lagstiftning. Enligt gällande rätt får vissa typer av forskning som avser människor inte utföras om tillstånd inte har meddelats enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Detta gäller bl.a. om forskningen innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. (se vidare avsnitt 10 och 11) och oavsett om forskningsutföraren är en statlig myndighet eller en fysisk eller juridisk person (3 och 6 §§ etikprövningslagen). Av sista stycket i 6 § etikprövningslagen framgår även att ett godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det kan alltså vara så att det för ett forskningsprojekt inte alltid är tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar, exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar.

I förarbetena till etikprövningslagen har regeringen som utgångspunkt för den prövning som ska ske vid en etikprövning av forskning bl.a. angivit att som ett allmänt krav på forskning där människor ska ingå, bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort, se propositionen Etikprövning av forskning (prop. 2002/03:50 s. 98.). I etikprövningslagen anges bl.a. att mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning samt att människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 §). I 9 § anges att forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Ett beslut om godkännande av ett forskningsprojekt enligt etikprövningslagen innebär således att forskningen bedömts kunna vara till nytta för samhället. Ett forskningsprojekt som godkänts enligt etikprövningslagen får därmed anses vara en uppgift av allmänt intresse. Till skillnad från Datainspektionen, Lunds universitet, Stockholms universitet och Regionala etikprövningsnämnderna i Lund, Uppsala och Umeå anser därför regeringen att ett beslut enligt etikprövningslagen och eventuellt andra tillämpliga författningar ger en sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Enligt den artikeln ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Som nämnts tidigare får enligt 2 kap. 2 § 1 dataskyddslagen personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta innebär att en privat forskningsutförare som avser att bedriva forskning som kräver tillstånd av en eller flera myndigheter och som har fått de tillstånd som krävs för ett forskningsprojekt kan åberopa den rättsliga grunden uppgift av allmänt intresse för den personuppgiftsbehandling som är nödvändig för projektet. Detta gäller på motsvarande sätt även för offentliga forskningsutförare, men som redovisats ovan har dessa i regel möjlighet att åberopa den rättsliga grunden uppgift av allmänt intresse mot bakgrund av en i nationell

rätt fastställd uppgift att forska. Som framgått av avsnitt 7.1.2 kan en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Enligt regeringen innebär detta att forskning som inte innefattar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. kan baseras på en mer allmänt hållen rättslig grund, t.ex. den rättsliga grund som anges i högskolelagen.

Flera remissinstanser påtalar med anledning av bedömningarna i det remitterade utkastet till lagrådsremiss att de ställt sig positiva till utredningens förslag och framhåller vikten av att även privata forskningsutförare kan använda den rättsliga grunden uppgift av allmänt intresse liksom att samarbete mellan olika forskningsaktörer kan hämmas om de inte kan använda samma rättsliga grund. Regeringen anser också att det vore en fördel om även privata forskningsutförare skulle kunna åberopa den rättsliga grunden utförande av en allmän uppgift i de fall det är fråga om behandling av andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Det skulle dock beträffande andra privata forskningsutförare än Chalmers och Högskolan i Jönköping (se nedan) kräva en omfattande reglering av privata forskningsutförare som det för närvarande saknas beredningsunderlag för. Privata forskningsutförare har vidare, som framgått av avsnitt 7.2.1, stora möjligheter att bedriva forskning med samtycke. De har även stora möjligheter att bedriva forskning efter en intresseavvägning, vilket utvecklas i nästa avsnitt. Regeringen delar därför Forskningsrådets för hälsa, arbetsliv och välfärd (Forte) uppfattning att förslagen i propositionen väl tillgodoser forskningens intressen av att kunna använda personuppgifter, och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Regeringen bedömer att detsamma gäller även annan forskning än sådan som Forte ger bidrag till.

När det gäller Chalmers Tekniska Högskola och även Högskolan i Jönköping kan konstateras att dessa tidigare var statliga högskolor. De drivs dock numera i stiftelseform. I propositionen om högskolor i stiftelseform — mångfald för kvalitet (prop. 1992/93:231) föreslog regeringen att dessa två statliga högskolor skulle överföras i stiftelseform. Regeringen föreslog att riksdagen skulle bemyndiga regeringen att genomföra en sådan överföring och tillskjuta nödvändigt kapital. Det föreslogs att ombildningen skulle gå till så att en stiftelse skulle bildas för var och en av högskolorna. Stiftelsen skulle bli huvudman för den förändrade högskolan och ytterst ansvarig för dess verksamhet. Med respektive stiftelse som ensam ägare skulle dessutom inrättas dels ett högskolebolag i vilket verksamheten vid högskolan skulle bedrivas, dels ett fastighetsbolag för förvaltning av högskolans fastigheter. I stiftelseförordnandet skulle ändamålet med stiftelsen anges och ett led i det var därvid att stiftelsen såsom ensam ägare till det särskilda högskolebolaget skulle verka för att det vid högskolan i fråga bedrivs utbildning och forskning på en hög internationell nivå. Riksdagen godkände förslaget och godkände därvid också principer som angavs i propositionen för ett ramavtal som skulle träffas mellan staten och

respektive stiftelse och högskolebolag för att reglera de långsiktiga relationerna mellan parterna (prop. 1992/93:231, bet. 1992/93:UbU18, rskr. 1992/93:405). I september 1993 beslutade regeringen därefter att överföra Chalmers Tekniska Högskola och Högskolan i Jönköping till stiftelseform. När stiftelser och högskolebolag bildats träffades sådana ramavtal om ombildning avseende Chalmers Tekniska högskola och Högskolan i Jönköping den 1 juli 1994. Som bilaga till dessa avtal finns ett långsiktigt ramavtal mellan parterna om utbildning och forskning med en underbilaga där statens utbildnings- och forskningsuppdrag till respektive högskola närmare preciseras. I underavtalet anges den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. Underavtalen om utbildnings- och forskningsuppdrag sluts för de planeringsperioder som gäller för de statliga universiteten och högskolorna. Det förnyas årligen efter godkännande av regeringen. De två stiftelsehögskolorna ska också genom en reglering i offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myndigheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Ny dataskyddslag framhåller regeringen att gemensamt för de privata organ som enligt OSL omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att organets verksamhet helt eller delvis finansieras med allmänna medel och att detta enligt regeringens mening innebär att t.ex. Stiftelsen Svenska Filminstitutet och andra organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning måste anses utföra uppgifter av allmänt intresse i den mening som avses i dataskyddsförordningen (prop. 2017/18:105 s. 59). Detta gäller enligt regeringens uppfattning även för Chalmers Tekniska Högskola och Högskolan i Jönköping. De beslut om godkännande av avtalen varigenom statens utbildnings- och forskningsuppdrag till Chalmers Tekniska Högskola och Högskolan i Jönköping preciseras har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen. Enligt regeringens uppfattning utgör därmed Chalmers Tekniska Högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt.

7.2.3. Intresseavvägning

Regeringens bedömning: Offentliga forskningsutförare kan inte tilllämpa den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen som grund för sin personuppgiftsbehandling.

Privaträttsliga forskningsutförare kan tillämpa intresseavvägning som grund för nödvändig personuppgiftsbehandling i forskningen. Det ska i varje enskilt fall göras en avvägning mellan den personuppgiftsansvariges eller en tredje mans berättigade intresse av att utföra personuppgiftsbehandlingen och den registrerades intressen och grundläggande rättigheter och friheter.

Utredningens bedömning överensstämmer i sak med regeringens bedömning. Utredningen redogjorde i text för sina bedömningar när det gäller offentligrättsliga respektive privaträttsliga forskningsutförares möjlighet att åberopa den rättsliga grunden intresseavvägning men formulerade inte detta i en särskild bedömningsruta.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Som nämnts gäller enligt artikel 6.1 andra stycket i dataskyddsförordningen inte den rättsliga grunden intresseavvägning för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta motiveras i skäl 47 med att då det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter bör denna rättsliga grund inte gälla för den behandling som de utför som ett led i fullgörandet av dessa uppgifter. När det i bestämmelsen talas om att den inte ska gälla när offentliga myndigheter fullgör sina uppgifter gäller det enligt regeringens uppfattning vid fullgörandet av alla uppgifter en myndighet har, såväl sådana som innefattar myndighetsutövning som övriga uppgifter av t.ex. mer förvaltningskaraktär. Den rättsliga grunden intresseavvägning är alltså inte tillämplig när offentligrättsliga forskningsutförare fullgör en uppgift att bedriva forskning.

Privaträttsliga forskningsutförare

Till skillnad från vad som gäller för de offentligrättsliga forskningsutförarna är det möjligt för privaträttsliga forskningsutförare att stödja sin personuppgiftsbehandling på den rättsliga grunden intresseavvägning. Som nämnts tidigare har Artikel 29-gruppen, när det gäller dataskyddsdirektivet, uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts i föregående avsnitt bedömer också regeringen att presumtionen är att forskning är en uppgift av allmänt intresse och att presumtionen därmed är att det är fråga om ett berättigat intresse.

I föregående avsnitt gör regeringen bedömningen att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt, om det krävs tillstånd för forskningsprojektet av en eller flera myndigheter och forskningsutföraren har fått de tillstånd som krävs, och att den rättsliga grunden uppgift av allmänt intresse är tillämplig i ett sådant fall. Det är således bara när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. som en privat forskningsutförare behöver åberopa andra rättsliga grunder, t.ex. samtycke eller intresseavvägning.

Då presumtionen är att forskning är ett berättigat intresse bedömer regeringen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning, särskilt då en sådan avvägning normalt bara blir aktuell för mindre känsliga uppgifter. En presumtion kan dock brytas och omständigheterna i ett enskilt fall kan vara sådana att en intresseavvägning enligt 6.1 f inte utfaller till den planerade forskningens förmån.

7.3. Det behövs inte någon upplysningsbestämmelse i nationell rätt om artikel 6.1

Regeringens bedömning: Det behövs inte någon bestämmelse i nationell rätt som upplyser om att personuppgifter bara får behandlas om minst ett av de villkor som anges i artikel 6.1 är uppfyllt.

Utredningens bedömning överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att en ny lag, forskningsdatalagen, ska innehålla en bestämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt.

Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget. Uppsala universitet anför att hänvisningen till artikel 6.1, där villkoren för att personuppgiftsbehandling ska vara laglig anges, ger intrycket av att det finns annan personuppgiftsbehandling för forskningsändamål än de som omfattas av artikel 6.1. Avsikten förefaller dock enligt universitetet inte vara att avgränsa personuppgiftbehandlingen för forskningsändamål enligt 6.1 i förhållande till annan behandling, på en annan rättslig grund, utan avgränsningen synes istället ligga i begreppet ”för forskningsändamål”, sådan behandling som omfattas av undantagen i artikel 89 dataskyddsförordningen. Hänvisningen till artikel 6.1 verkar därför enligt universitetet vara överflödig och bör utgå.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om bedömningen.

Skälen för regeringens bedömning: Utredningen har föreslagit att en ny lag, forskningsdatalagen, bl.a. ska innehålla en bestämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får

behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt. Utredningen har ansett att en sådan inledande upplysningsbestämmelse behövs för förståelsen av den av utredningen föreslagna bestämmelsen om att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare (6 § förslaget till forskningsdatalag).

Som närmare har utvecklats i avsnitt 7.2.2 anser regeringen att den av utredningen föreslagna 6 § inte bör genomföras. Något behov av en upplysningsbestämmelse för förståelse av en sådan bestämmelse om fastställande av den rättsliga grunden finns då inte heller. En sådan bestämmelse bör därför inte införas.

8. Principer som måste följas vid behandling av personuppgifter för forskningsändamål

8.1. Grundläggande principer för personuppgiftsbehandling

Förutom att minst en rättslig grund måste vara tillämplig för att en behandling av personuppgifter ska vara laglig, finns det ett antal principer som ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen.

Dessa principer innebär för det första att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet, artikel 5.1 d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för ar-

kivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1 e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) eller personuppgifter som rör lagöverträdelser anges ytterligare villkor i artiklarna 9 och 10. Detta utvecklas närmare avsnitt 10 och 11.

8.2. När och hur kan redan insamlade uppgifter behandlas ytterligare för forskningsändamål?

Det är vanligt att personuppgifter som behandlas för forskningsändamål ursprungligen har samlats in för ett annat ändamål än forskning.

Huvudregeln är som nämnts att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b i dataskyddsförordningen, forskningsundantaget). I artikel 89.1 anges att behandling för bl.a. vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering (se vidare avsnitt 9), under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Bestämmelserna i artikel 5.1 b och artikel 89.1 hade en motsvarighet i artikel 6.1 b och c i dataskyddsdirektivet och 9 § första stycket c–f och andra stycket PUL, även om bestämmelserna i artikel 89.1 är lite mer detaljerade. I dataskyddsförordningen används begreppet ”ytterligare behandling”, i stället för begreppet ”vidarebehandling” som ofta använts i sammanhanget. Ytterligare behandling av personuppgifter för forskningsändamål är alltså särskilt gynnad såväl i dataskyddsförordningen som enligt dataskyddsdirektivet och PUL.

Tidigare gällde emellertid att även om det nya ändamålet var förenligt med det ursprungliga måste den nya behandlingen alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § PUL. Av dataskyddsförordningen framgår däremot att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter av samma personuppgiftsansvarig. I skäl 50 till förordningen förtydligas detta på så sätt att det anges att

behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in samt att det i dessa fall inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra bl.a. en uppgift av allmänt intresse kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål bör betraktas som förenlig och laglig behandling av uppgifter.

Dataskyddsförordningens bestämmelser innebär alltså att en personuppgiftsansvarig får utföra ytterligare behandling av personuppgifter för forskningsändamål utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsutförare får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterligare forskningsändamål utan krav på ny rättslig grund. När uppgifter samlats in för forskningsändamål med stöd av den rättsliga grunden samtycke har dock även omfattningen av det samtycke den registrerade har lämnat betydelse för att avgöra vilken ytterligare behandling som kan vara möjlig.

Även i samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen, dvs. utlämnandet, att anse som förenlig med ändamålet för den ursprungliga behandlingen. Att ta emot personuppgifter utgör däremot inte en ytterligare behandling utan en insamling av personuppgifter. Den personuppgiftsansvarige som tar emot uppgifterna måste således, för att insamlingen av personuppgifter ska vara laglig, ha en rättslig grund för sin behandling för forskningsändamål. Detta innebär att forskningsutförare som samlar in personuppgifter för forskningsändamål alltid, oavsett för vilka ändamål uppgifterna tidigare har behandlats av andra personuppgiftsansvariga, måste kunna åberopa en rättslig grund enligt artikel 6.1 för sin behandling.

Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Förordningen ger inte något utrymme för att i nationell rätt reglera ytterligare behandling av personuppgifter som samlats in med samtycke. Det är därför inte möjligt att särskilt reglera denna fråga.

Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Om det är aktuellt att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda (se avsnitt 10 och 11). Vid all behandling av personuppgifter för forskningsändamål aktualiseras också artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta behandlas i avsnitt 9.

9. Det behövs kompletterande nationella bestämmelser om skyddsåtgärder som ska gälla vid all behandling av personuppgifter för forskningsändamål

9.1. Vilka krav på skyddsåtgärder ställs i dataskyddsförordningen?

Bestämmelser som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forskningsändamål har tidigare införts i svensk rätt med stöd av dataskyddsdirektivet. Vid en jämförelse ställer dataskyddsförordningen mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Utöver detta ställer dataskyddsförordningen specifika krav på skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål. Dessa krav har inte haft någon direkt motsvarighet i dataskyddsdirektivet eller PUL.

En av dataskyddsförordningens grundläggande principer för personuppgiftsbehandling, principen om integritet och konfidentialitet, anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f). Till den allmänna regleringen hör även skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Artikel 25 (inbyggt dataskydd och dataskydd som standard) ålägger den personuppgiftsansvarige bl.a. att integrera nödvändiga skyddsåtgärder i behandlingen. Av artikel 32, som innehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett antal åtgärder och utgångspunkter för bedömningen av lämplig säkerhetsnivå. Godkända uppförandekoder eller godkända certifieringsmekanismer kan enligt artiklarna 24 och 32 användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter. På motsvarande sätt kan enligt artikel 25 godkända certifieringsmekanismer användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

På en mer specifik nivå ställer dataskyddsförordningen krav på att all personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättigheter och friheter, särskilt principen om uppgiftsminimering (artikel 89.1). Dataskyddsförordningen anger i sammanhanget även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål (skäl 156).

Begreppen skyddsåtgärder respektive tekniska och organisatoriska åtgärder är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säkerställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och

organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” definieras närmare i dataskyddsförordningen.

Vad ska skyddas?

Ofta anges vad själva skyddsintresset är, dvs vad åtgärderna är avsedda att skydda, i anslutning till kravet på skyddsåtgärd. Exempelvis anger artikel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42 nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskyddsförordningen.

Av artikel 89.1, som är central vid all personuppgiftsbehandling för forskningsändamål, framgår att lämpliga skyddsåtgärder ska skydda den registrerades rättigheter och friheter, särskilt avseende principen om uppgiftsminimering (artikel 5.1 c).

Vilka exempel på skyddsåtgärder anges i dataskyddsförordningen?

Dataskyddsförordningen anger sällan att vissa specifika skyddsåtgärder ska vidtas. I några sammanhang används termerna ”skyddsåtgärder”, ”tekniska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. För behandling av känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål anges tystnadsplikt uttryckligen som en skyddsåtgärd (artikel 9.2 h och 9.3).

I samband med fastställande av om behandling för andra ändamål är förenlig med ursprungsändamålet anges att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas (artikel 6.4 e).

Förordningen lyfter i flera fall särskilt fram pseudonymisering som en skyddsåtgärd. I artikel 32 anges att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudonymisering och kryptering som sådana slags åtgärder i de fall det är lämpligt. Av artikel 89.1 framgår att lämpliga skyddsåtgärder får inbegripa pseudonymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Även skäl 28, 29 och 156 lyfter fram pseudonymisering som exempel på skyddsåtgärd.

I skäl 78 anges ett antal övriga skyddsåtgärder som främst är organisatoriska till sin natur. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar.

Utöver sådana skyddsåtgärder som nämns direkt i förordningen finns i svensk rätt andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser.

Vad innebär pseudonymisering?

Som nämnts ovan återkommer pseudonymisering på flera ställen i dataskyddsförordningen som exempel på en skyddsåtgärd. I artikel 4.5 definieras pseudonymisering enligt följande:

Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dataskyddsförordningens definition anger dock inte hur pseudonymisering ska utformas. Detta kan göras på i huvudsak två sätt, antingen baserat på identifierande uppgifter eller utifrån helt fristående värden i form av ett kodnyckelförfarande.

I många fall, särskilt vid forskningsstudier som pågår under många år där det finns ett behov av att komplettera uppgifterna vid senare tillfällen, är det önskvärt att pseudonymen kan härledas från de ursprungliga uppgifterna. Ett enkelt exempel kan vara att skapa en pseudonym från ett personnummer genom att med en s.k. säker hashfunktion beräkna en hashsumma på personnumret. En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.

Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.

Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifierande uppgifterna. Vid exempelvis forskningsstudier som pågår under lång tid kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.

Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det.

9.2. Skyddsåtgärder bör föreskrivas i svensk rätt

Regeringens bedömning: Bestämmelser om skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål kan och bör ges i författningsform.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Dataskyddsförordningens krav på lämpliga skyddsåtgärder för personuppgiftsbehandling för forskningsändamål i artikel 89.1 är direkt tillämpliga. Utifrån dessa krav är det dock inte självklart att lämpliga skyddsåtgärder ska föreskrivas i nationell rätt.

Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.

Alternativ till författningsreglering av skyddsåtgärder kan vara att bemyndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder, enligt artikel 40, kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas. En författningsreglering kan dock ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas i sådana situationer där det bedöms särskilt viktigt.

Det är i sammanhanget värt att understryka att vid all personuppgiftsbehandling för forskningsändamål kräver dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder. Det är den personuppgiftsansvariges ansvar att se till att sådana lämpliga skyddsåtgärder föreligger. Det är därför inte tillräckligt att endast tillämpa bestämmelser i nationell rätt utan att samtidigt ta ställning till om kraven i förordningen är uppfyllda vid varje enskild behandling.

Med beaktande av dataskyddsförordningens möjligheter att i nationell rätt reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål är det regeringens bedömning att viss sådan reglering ska införas i författningsform. Frågan om vilken reglering som ska införas avseende all behandling av personuppgifter för forskningsändamål behandlas i avsnitt 9.3–9.7. Frågor om skyddsåtgärder som särskilt tar sikte på behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

9.3. Uppgifter ska inte få användas för att vidta åtgärder i fråga om den registrerade

Regeringens förslag: Personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den re-

gistrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska inte gälla.

Utredningens förslag överensstämmer delvis med regeringens förslag.

Utredningen föreslår att personuppgifter som behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta ska dock inte gälla för en myndighets användning av personuppgifter i allmänna handlingar.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län,

Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län anser att förslaget är lämpligt.

Brottsförebyggande rådet (Brå) anser att formuleringen är svårläst. Svårigheterna gäller främst att förstå hur sista meningen ska tolkas i förhållande till föregående mening och alltså vad ordet ”detta” syftar på. Brå anser att det är lämpligare att använda samma konstruktion som den man använder i förslaget till dataskyddslag. Sveriges lantbruksuniversitet (SLU), som påpekar att de insamlade uppgifterna vid ett lärosäte som regel är allmänna handlingar, undrar vad ordet ”detta” i den andra mening syftar på. Menas att personuppgifter från allmänna handlingar inte alls får användas för att vidta åtgärder i fråga om den registrerade, ens om det finns vitala intressen, eller är avsikten med formuleringen någon annan? Vetenskapsrådet anser att sista meningen i den föreslagna bestämmelsen, om myndigheters användning av uppgifter i allmänna handlingar, inte behövs eftersom den föreslagna lagen endast ska gälla när personuppgifter behandlas för forskningsändamål. Utredningens förslag ska motsvara bestämmelsen i PUL. Bakgrunden till regleringen i PUL om undantaget för myndigheters användning av uppgifter i allmänna handlingar torde vara behovet av information för rättskipningen och förvaltningen dvs. möjligheten att använda uppgifterna för andra ändamål än forskning. Det är enligt Vetenskapsrådet uppfattning också olämpligt att ha kvar sista meningen i den föreslagna bestämmelsen. Detta eftersom en konsekvens som uppmärksammats av samma skrivning i PUL är att den ger forskare vid myndigheter formell möjlighet att utan hinder av användningsbegränsningen i PUL använda personuppgifter i forskningsmaterial som utgör allmänna handlingar för att vidta åtgärder i fråga om de registrerade. Datainspektionen kan inte tillstyrka förslaget i den föreslagna forskningsdatalagen, eftersom utredningen inte gjort en egen bedömning utan endast utgått från en bedömning som gjorts långt tidigare.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Samtliga remissinstanser som yttrat sig tillstyrker eller har inga synpunkter på förslaget. Sveriges Kommuner och Landsting (SKL) framför särskilt att SKL delar uppfattningen att det finns vissa undantagssituationer på exempelvis hälso- och sjukvårdens område då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, t.ex. då forskningspersonens liv eller egna vitala intressen står på spel.

Skälen för regeringens förslag

Användningsbegränsning är en befintlig skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

I PUL fanns en skyddsåtgärd i form av en bestämmelse som angav att personuppgifter som behandlades för historiska, statistiska eller vetenskapliga ändamål bara fick användas för att vidta åtgärder i fråga om den registrerade om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen (9 § fjärde stycket PUL). Denna begränsning gällde dock inte för en myndighets användning av personuppgifter i allmänna handlingar (8 § andra stycket PUL).

Personuppgifter som har samlats in för forskningsändamål får inte användas för andra ändamål som är oförenliga med det ursprungliga forskningsändamålet. Denna ändamålsbegränsning framgår av såväl artikel 5.1 b i dataskyddsförordningen som tidigare av 9 § d PUL. Att behandla personuppgifter som insamlats för forskningsändamål för att vidta åtgärder beträffande de registrerade är som huvudregel att behandla personuppgifterna för ett nytt ändamål.

Av förarbetena till PUL framgår att ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder mot de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. En sådan personuppgiftsbehandling har inte bedömts vara oförenlig med det ursprungliga forskningsändamålet. I vissa fall kan personuppgifter som behandlas för forskningsändamål även användas för att vidta åtgärder beträffande de registrerade för att forskningsprojektet är upplagt så att personuppgifterna ska användas för att vidta åtgärder rörande enskilda. Ett sådant projekt har dock enbart bedömts vara tillåtet om de registrerade har samtyckt till det (prop. 1997/98:44 s. 62 och 119). Mot denna bakgrund infördes bestämmelsen i PUL som angav att personuppgifter som behandlas för bl.a. forskningsändamål fick användas för att vidta åtgärder beträffande den registrerade bara om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av förarbetena till PUL framgår vidare att det beträffande personuppgifter i myndigheters arkiv finns bestämmelser om lämpliga skyddsåtgärder i form av t.ex. sekretess och skydd för arkiv, varför användningsbegränsningen bedömdes inte behöva gälla för sådana personuppgifter som finns i en myndighets arkiv. Mot bakgrund av detta infördes undantaget i PUL som angav att begränsningen dock inte gällde för en myndighets användning av personuppgifter i allmänna handlingar. Detta undantag avsåg således främst personuppgifter som behandlades för arkivändamål, vilket inte helt tydligt framgick av bestämmelsens utformning (prop. 1997/98:44 s. 62 och 118).

Motsvarande skyddsåtgärd vid behandling av personuppgifter för arkivändamål och statistiska ändamål föreslås i dataskyddslagen

I dataskyddslagen finns bestämmelser om användningsbegräsningar som avser personuppgifter i arkiv och statistik i 4 kap.

Enligt 1 § första stycket får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen hindrar enligt andra stycket inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. Vid tillämpningen av andra stycket ska vidare andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

Enligt 2 § får personuppgifter som behandlas enbart för statistiska ändamål användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av propositionen Ny dataskyddslag framgår att de nya bestämmelserna utformats för att det ska framgå tydligare än av PUL att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse respektive statistiska ändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas och tillägget utgör därmed inte någon utvidgning av den personuppgiftsansvariges befogenheter. I propositionen har regeringen vidare tagit ställning för att det inte finns skäl att i de nya bestämmelserna ange att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen (prop. 2017/18:105 s. 119). Någon saklig skillnad mellan de nya bestämmelserna och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av dataskyddslagen.

Ett undantag för myndigheters användning av uppgifter i allmänna handlingar gäller vid behandling av personuppgifter för arkivändamål…

Som framgår ovan gäller enligt 4 kap. 1 § andra stycket dataskyddslagen att bestämmelsen i första stycket om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade med användning av personuppgifter som behandlas enbart för arkivändamål av allmänt intresse, inte ska hindra myndigheter och andra vars verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen från att använda personuppgifter som finns i allmänna handlingar. Detta beror bl.a. på att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m. Bestämmelsen innebär ingen förändring i förhållande till vad som gällt enligt PUL.

… men inte vid behandling av personuppgifter för statistiska ändamål

När det gäller undantag från användningsbegränsningen av personuppgifter som enbart behandlas för statistiska ändamål har regeringen dock gjort en annan bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 125). En allmän utgångspunkt för behandling av personuppgifter för

statistiska ändamål är att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person (skäl 162 i dataskyddsförordningen). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt borde däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder enligt regeringen ingen annan bedömning. Myndigheter undantas därför inte från användningsbegränsningen i 4 kap. 2 § dataskyddslagen.

Användningsbegränsning bör även i fortsättningen vara en skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

Regeringen anser att en användningsbegränsning som innebär att personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål bara får användas för att vidta åtgärder i fråga om den registrerade om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, alltjämt utgör en väl avvägd skyddsåtgärd. I likhet med vad som föreslogs i propositionen Ny dataskyddslag anser regeringen att det inte finns skäl att i den nya bestämmelsen ange att uppgifter får användas för att vidta åtgärder i fråga om den registrerade med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen.

Någon saklig skillnad mellan förslaget och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.

Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska inte gälla.

Begränsningen i 9 § fjärde stycket PUL gällde, som framgått, inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv, bl.a. mot bakgrund av att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m.

Av dataskyddsförordningen framgår att om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse bör de allmänna reglerna i förordningen tillämpas på dessa åtgärder (skäl 159). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. Dessa situationer rör i huvudsak hälso- och sjukvårdsändamål i den registrerades intresse, enligt de exempel som åter-

givits tidigare, och då ska alltså dataskyddsförordningen och kompletterande svensk rätt tillämpas på den personuppgiftsbehandling som sker i samband med att åtgärder vidtas mot den registrerade.

Det är regeringens uppfattning att i övrigt bör inte myndigheter kunna använda sådana personuppgifter som enbart behandlas för forskningsändamål för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar föranleder ingen annan bedömning. Forskningsmaterial utgör som huvudregel allmänna handlingar vid myndigheter och det tidigare undantaget i PUL var inte heller avsett att möjliggöra för forskningsutförare som är myndigheter att fritt kunna använda personuppgifter som enbart behandlas för forskningsändamål för att vidta åtgärder mot den registrerade. Regeringen instämmer därmed i Vetenskapsrådets invändningar och anser att myndigheter inte bör undantas från den föreslagna användningsbegränsningen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska därför inte gälla.

9.4. Det följer direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder

Regeringens bedömning: Personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål. Detta framgår direkt av EU:s dataskyddsförordning och bör därför inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att en bestämmelse ska införas i den föreslagna forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset.

Remissinstanserna: Ett övervägande antal av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län,

Dalarnas län och Gävleborgs län anser att de av utredningen föreslagna skyddsåtgärderna är lämpliga. Regionala etikprövningsnämnden i Uppsala välkomnar den föreslagna bestämmelsen om att personuppgifter så långt det är möjligt bör pseudonymiseras. Kungl. Vetenskapsakademien bedömer föreslaget som rimligt. Sveriges Kommuner och Landsting anser att huvudregeln bör vara att personuppgifter anonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål.

Stockholms universitet tillstyrker förslaget men noterar samtidigt att uppfyllandet av detta krav kommer att kräva en infrastruktur som flertalet lärosäten inte äger i dagsläget. Universitetet anser att också kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag.

Kungl. Tekniska högskolan (KTH) anser att det inte tydligt framgår om detta även gäller personuppgiftsbiträdens skyldigheter.

Institutet för språk och folkminnen framför att förslaget om pseudonymisering som skyddsåtgärd förefaller vara en relativt effektiv metod för att skydda personuppgifter vid forskning, eftersom tröskeln för att koppla samman en handling, innehållande forskningsuppgifter, med en specifik person höjs. Emellertid ger pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inget fullgott skydd för individen. De handlingar som uppstår i samband med forskning vid myndigheter är underkastade tryckfrihetsförordningen och offentlighetsprincipen, vilken har företräde framför dataskyddslagsstiftningen. Även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir således allmänna handlingar.

Chalmers tekniska högskola och Göteborgs universitet föreslår att begreppen och deras inbördes förhållanden tydliggörs ytterligare. En viss begreppsförvirring råder kring användandet av begreppen anonymisering, avidentifiering samt pseudonymisering. Det är viktigt för tillämpare att tydligt kunna särskilja de fall som faller utanför regelverket från de som omfattas. Det behövs även mer vägledning i att förstå begreppens innebörd rätt så att lämpliga skyddsåtgärder vidtas i samband med hantering av personuppgifter. Region Skåne och Västra Götalands läns landsting ställer sig frågade till varför pseudonymisering och kodning skulle utgöra två olika typer av åtgärder och befarar att detta kommer leda till att förvirring på området kvarstår.

Statens medicinsk-etiska råd (Smer) ifrågasätter undantagsformuleringen i bestämmelsen som föreslås införas i forskningsdatalagen, i vilken det anges att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål - ”förutsatt att ändamålet kan uppnås på sådant vis.” Det behövs ett förtydligande av denna bestämmelse. Formuleringen är för bred och för otydlig.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att formuleringen”…ska vara pseudonymiserade…” är en olämplig förstärkning av dataskyddsförordningens motsvarande formulering ”… får inbegripa pseudonymisering…”. Karolinska institutet anser att förslaget ska revideras, genom att ”ska” ändras till ”får”, eller att bestämmelsen helt kan utgå och påpekar att regleringen i artikel 89 i dataskyddsförordningen, där pseudonymisering nämns som en möjlig skyddsåtgärd bland andra, utgör en tillräcklig skyddsåtgärd. Uppsala universitet anser att det finns anledning att ifrågasätta om inte kravet på pseudonymisering har fått en alltför långtgående utformning. Cancerfonden vill uppmärksamma att pseudonymisering är en skyddsåtgärd bland flera, och föreslår att det förtydligas genom att ordet bör används istället för ska, dvs. ”…personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål…”. Kungl. Vitterhetsakademien anser att frågan bör ställas om inte en mindre långtgående anonymisering av personuppgifterna vore en bättre avvägning mellan forskningens behov och den enskildes integritet.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Kalmar läns landsting anser att det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt, och

ställer sig positiv till utredningens förslag om att införa en bestämmelse om att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset.

Skälen för regeringens bedömning

Det framgår av dataskyddsförordningen att pseudonymisering ofta är en lämplig skyddsåtgärd

Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som exempel på lämplig skyddsåtgärd. Artikel 89.1 lyfter särskilt fram pseudonymisering i samband med personuppgiftsbehandling för forskningsändamål. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad form. Artikel 89.1 anger vidare att skyddsåtgärderna får inbegripa pseudonymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Annars bör alltså andra lämpliga skyddsåtgärder vidtas för att uppnå motsvarande skydd. Denna formulering öppnar för att det inte i alla situationer är möjligt att pseudonymisera om ändamålet med forskningen ska kunna uppfyllas och att det då måste finnas möjlighet att tillämpa andra lämpliga skyddsåtgärder för att uppnå förordningens krav på skydd för varje enskild personuppgiftsbehandling. Det framgår således direkt av förordningen att i de fall pseudonymisering, enligt definitionen i förordningen, inte är den lämpligaste skyddsåtgärden så ska personuppgifterna omfattas av andra lämpliga skyddsåtgärder för att uppnå dataskyddsförordningens krav.

Det bör finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig skyddsåtgärd

Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är strikt och ställer framför allt krav på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt. Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd.

Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig åtgärd, om forskningsändamålet annars inte kan uppnås. Av dataskyddsförordningen framgår också att tillämpningen av pseudonymi-

sering kan minska riskerna för de registrerade och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förordningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).

Det är i första hand den personuppgiftsansvarige som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller liknande skyddsåtgärder tillämpas. I samband med personuppgiftsbehandling för forskningsändamål som etikprövas kan etikprövningsnämnder meddela villkor, bland annat om pseudonymisering. Det är dock alltid den som behandlar personuppgifterna, dvs. den personuppgiftsansvarige eller personuppgiftsbiträdet, som ytterst ansvarar för att varje enskild personuppgiftsbehandling omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningens krav.

Krav på pseudonymisering eller ett likvärdigt skydd bör inte föreskrivas som skyddsåtgärd i svensk rätt

Att pseudonymisering är en central skyddsåtgärd vid behandling av personuppgifter för forskningsändamål framgår direkt av dataskyddsförordningen. Att i enlighet med utredningens förslag föreskriva ett ska-krav i svensk lagstiftning, med motsvarande undantagsmöjligheter som i princip redan framgår av förordningen, är enligt ett flertal remissinstanser alltför långtgående. Bland annat Forte, Karolinska institutet, Uppsala universitet,

Cancerfonden och Kungl. Vitterhetsakademien framför att dataskyddsförordningen utgör tillräcklig reglering i sammanhanget. Regeringen instämmer i denna bedömning och anser att det redan framgår av förordningen att psedonymisering bör användas när det är lämpligt och möjligt i relation till forskningsändamålet och i annat fall bör andra lämpliga skyddsåtgärder komma ifråga för att uppnå motsvarande skyddsnivå. Det är således regeringens uppfattning, till skillnad från Kalmar läns landsting, att utredningens förslag inte bör genomföras i denna del.

Det finns sekretesskydd även för kodnyckel i vissa fall

Institutet för språk och folkminnen framför att pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inte ger något fullgott skydd för individen därför att även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir allmänna handlingar. Regeringen vill i detta sammanhang framhålla att det enligt vissa bestämmelser i 24 kap. offentlighets- och sekretesslagen (2009:400, OSL) gäller sekretess till skydd för enskilda i viss forskning. Enligt 18 kap. 9 §

OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts. Om det gäller sekretess för uppgifter om enskilda i ett forskningsprojekt där pseudonymisering används kan således också kodnyckeln skyddas. I de fall uppgifterna i forskningsprojektet inte omfattas av sekretess omfattas inte heller kodnyckeln av sekretess. Det hindrar inte att användning av pseudonymisering och andra skyddsåtgärder ger ett integritetsskydd även om det inte kan upprätthållas om någon

väljer att låta sin begäran om utfående av allmänna handlingar även omfatta kodnyckeln. Nämnas kan också att enligt 21 kap. 7 § OSL gällde tidigare sekretess för personuppgift om det kunde antas att ett utlämnande skulle medföra att uppgiften behandlades i strid med PUL. I och med att PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen gäller numera enligt 21 kap. 7 § OSL sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Regeringen återkommer i avsnitt 15.2 med förslag till ytterligare komplettering av 21 kap. 7 § OSL.

9.5. Det följer direkt av dataskyddsförordningen att den registrerade kan invända mot behandling

Regeringens bedömning: En skyddsåtgärd som innebär att personuppgifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår en bestämmelse i forskningsdatalagen som anger att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras.

Remissinstanserna: En större del av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län,

Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Vinnova, Kungl. Vetenskapsakademien och Cancerfonden tillstyrker utredningens förslag.

Uppsala universitet tillstyrker förslaget i sak men anser att den negativt formulerade ordalydelsen gör regeln otydlig. Sveriges lantbruksuniversitet (SLU) anser att lagtexten är otydligt utformad. I första stycket anges att personuppgifter inte får behandlas om den enskilde motsätter sig det. I andra stycket sägs det att det går bra ändå. För en lekman framstår lagtexten enligt universitetet som tvetydig. Kungl. Vetenskapsakademien anser att förslaget innebär en dämpande skrivning jämfört med utredningens föreslagna undantag från de registrerades rättigheter beträffande rätten att återta eller ändra information och önskar ett förtydligande. Statens medicinsk-etiska råd (Smer) anser att formuleringarna som rör undantag för den enskildes möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål bör förtydligas.

Datainspektionen avstyrker utredningens förslag då det inte står klart huruvida denna bestämmelse påverkar de registrerades rättigheter enligt kapitel III i dataskyddsförordningen.

Malmö högskola anser att den begränsning av den registrerades rättigheter att invända mot behandling som föreslås står i strid med dennes rättigheter att invända mot behandling enligt förordningen. Den föreslagna skrivningen innebär, enligt Malmö högskola, sannolikt en kraftig försämring av den registrerades rättigheter i förhållande till dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Sveriges

Kommuner och Landsting (SKL) noterar att rätten att göra invändningar har en tydlig koppling till vilken rättslig grund som används vid forskningen; samtycke, allmänt intresse eller intresseavvägning. Om det gäller artikel 21.6 torde detta innebära, att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.

Karolinska institutet anser att regeringens bedömning innebär en onödig försvagning av den registrerades rätt till att motsätta sig behandling för forskningsändamål jämfört med Forskningsdatautredningens förslag. Institutet framhåller att rätten att motsätta sig deltagande i forskning tillämpas i praktiken så gott som alltid inom forskningen och anser att denna praxis bör införlivas i svensk rätt, t.ex. genom en lagstiftningsåtgärd enligt artikel 23.1(i) som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 21.6, eller genom ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Detta skulle enligt institutet förstärka integritetsskyddet för den enskilde i förhållande till det skydd som ges i dataskyddsförordningen och även stärka förtroendet för forskningen.

Stockholms universitet anser att då frågan är omdebatterad skulle det vara en stor fördel om den svenska lagstiftningen på området kunde förmedla en klar och entydig grund för att tillåta ett opt-out förfarande. Även om det saknas lagtekniska skäl för en sådan reglering skulle den kunna bidra till ökad tydlighet och därmed underlätta för dem som har att tillämpa regleringen. Stockholms universitet vill i detta sammanhang framhålla att oklarheter i regleringen av förutsättningarna att bedriva forskning kan leda till att forskare av försiktighetsskäl avstår från att utföra sådan forskning som hade varit lagligt möjlig, vilket i sin tur riskerar att få en hämmande effekt på svensk forskning. I förlängningen kan detta leda till sämre förutsättningar för Sverige att hävda sig internationellt, exempelvis med avseende på forsknings- och innovationssamarbeten och rekrytering av framstående forskare.

Prop. 2017/18:298 Skälen för regeringens bedömning

Hur förhåller sig den föreslagna skyddsåtgärden till rätten att invända mot behandling?

Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1). Senast vid den första kommunikationen med den registrerade ska bl.a. denna rätt uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Enligt artikel 89.1 ska behandling för bl.a. vetenskapliga eller historiska forskningsändamål omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Utredningen föreslår en skyddsåtgärd som innebär att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras. Enligt utredningen ska denna skyddsåtgärd i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Denna skyddsåtgärd ska dock inte vara tillämplig om den rättsliga grunden är samtycke, då det finns möjlighet i dataskyddsförordningen att dra tillbaka sitt samtycke (artikel 7). I det remitterade utkastet till lagrådsremiss görs bedömningen att förslaget inte bör genomföras. Karolinska institutet och Stockholms universitet framhåller i sina remissvar över utkastet att rätten att invända mot behandling enligt artikel 21 skiljer sig åt beroende på rättslig grund för behandling. Karolinska institutet och Stockholms universitet förordar en i nationell rätt fastställd möjlighet att motsätta sig behandling.

Som framgår av avsnitt 7 är det främst tre rättsliga grunder som är relevanta vid forskning: samtycke, uppgift av allmänt intresse eller intresseavvägning. Artikel 21.6 innebär att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända. Om forskningen däremot baseras på den rättsliga grunden intresseavvägning blir artikel 21.1 tillämplig. Om den registrerade av skäl som hänför sig till hans eller hennes specifika situation gör invändningar mot att personuppgifter avseende honom eller henne behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Som nämnts ovan var syftet med den föreslagna skyddsåtgärden enligt utredningen att i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Artikel 21 omfattar enligt regeringens bedömning de rättsliga grunder som personuppgiftsbehandling för forskningsändamål i praktiken främst kommer att grundas på, förutom samtycke som enligt artikel 7.2 alltid kan återkallas. Det har vidare på senare tid tydliggjorts att EU-kommissionen anser att behandling av personuppgifter vid kliniska läkemedelsprövningar i vissa delar kommer att ske med stöd av den rättsliga grunden rättslig förpliktelse (se vidare avsnitt 10.4). Vid sådan behandling gäller inte rätten att invända enligt artikel 21 i dataskyddsförordningen. Regeringen anser således, till skillnad från Karolinska institutet, Stockholms universitet och SKL, att en sådan skyddsåtgärd inte bör fastställas i lag, utan att de möjligheter att invända mot behandling som framgår av dataskyddsförordningen är tillräckliga för såväl integritetsskyddet som förtroendet för forskningen. Karolinska institutet föreslår vidare ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Enligt 6 § etikprövningslagen får ett godkännande förenas med villkor. Det framgår inte närmare av lagen vilka slags villkor som får förenas med ett etikgodkännande. Det är regeringens uppfattning att detta inte heller bör regleras i lag på sådan detaljnivå, utan att det bör vara upp till etikprövningsnämnderna att bedöma i samband med etikprövningen.

Medlemsstaterna har enligt artikel 89.2 rätt att i nationell rätt föreskriva undantag från de rättigheter som avses i bl.a. artikel 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1, i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. Frågan om det finns något behov av att begränsa rättigheten enligt artikel 21 behandlas i avsnitt 13.6.2.

9.6. All personuppgiftsbehandling för forskningsändamål ska inte etikprövas

9.6.1. Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser

Som regeringen återkommer till i avsnitt 10 innehåller dataskyddsförordningen, i likhet med det upphävda dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personuppgifter för de uppgifter som omfattas av denna särskilda reglering (13 §). Dessa var enligt dataskyddsdirektivet och PUL personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I 3 kap. 1 § dataskyddslagen används benämningen känsliga personuppgifter för nu aktuella kategorier av uppgifter.

Som regeringen återkommer till i avsnitt 11 finns det vidare i artikel 10 i dataskyddsförordningen en särskild reglering för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. En motsvarande specialreglering för sådana uppgifter fanns i dataskyddsdirektivet och PUL.

Enligt PUL fick känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen (19 § första stycket PUL). Uppgifter om lagöverträdelser fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen (21 § andra stycket PUL). Enligt 3 § etikprövningslagen är den lagen tillämplig bl.a. när forskning som ska utföras i Sverige innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser enligt 21 § PUL. Sådan forskning får enbart utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen).

Etikprövning utgör således i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål. Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 7–11 §§ etikprövningslagen. Där anges att

1. forskning bara får godkännas om den kan utföras med respekt för män-

niskovärdet,

2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid

etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3. människors välfärd ska ges företräde framför samhällets och vetenska-

pens behov,

4. forskning bara får godkännas om de risker som den kan medföra för

forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

5. forskning inte får godkännas om det förväntade resultatet kan uppnås

på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6. behandling av känsliga personuppgifter och personuppgifter om lag-

överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras,

7. forskning får godkännas bara om den ska utföras av eller under över-

inseende av en forskare som har den vetenskapliga kompetens som behövs. Ett beslut om etikgodkännande kan förenas med villkor. Detta används i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås.

Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning.

Dataskyddsförordningen ställer krav på lämpliga och särskilda skyddsåtgärder

Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Vid personuppgiftsbehandling för forskningsändamål anges krav på skyddsåtgärder i flera artiklar i förordningen.

All personuppgiftsbehandling för forskningsändamål måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1). Det finns dock inget hinder i förordningen mot att nationellt reglera skyddsåtgärder med stöd av artikel 89.1.

Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).

Behandling av personuppgifter om lagöverträdelser för forskningsändamål som utförs av andra än myndigheter får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Dataskyddsförordningens krav har stora likheter med de krav som det upphävda dataskyddsdirektivet ställde. Dataskyddsdirektivet krävde lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser. Regeringen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsförordningen skulle innebära någon skillnad i sak jämfört med begreppet specifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”suitable and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet angav kravet på ”suitable specific safeguards”. Det engelska begreppet specific har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförordningen och dataskyddsdirektivet.

Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskyddsförordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläggande rättigheter och intressen. I artikel 10 anges att kravet på lämpliga skyddsåtgärder syftar till att skydda de registrerades rättigheter och friheter vid personuppgiftsbehandling av uppgifter om lagöverträdelser. Någon motsvarande formulering av syftet med skyddsåtgärderna fanns inte i dataskyddsdirektivet, som dock hade som övergripande syfte att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (artikel 1). Det framgår av 7 och 8 §§ etikprövningslagen att forskning bara får godkännas om den kan utföras med respekt för människovärdet och att mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen.

Ansvaret för att varje enskild personuppgiftsbehandling uppfyller dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar alltid den personuppgiftsansvarige. I avsnitt 9.1 finns utförligare beskrivningar av dataskyddsförordningens krav på skyddsåtgärder generellt.

9.6.2. Tillämpningsområdet för kravet på etikprövning bör inte utvidgas

Regeringens bedömning: Tillämpningsområdet för etikprövningslagen bör inte utvidgas till att omfatta all behandling av personuppgifter för forskningsändamål.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Av dem som uttryckligen tillstyrker återfinns Västra Götalands läns landsting, Vetenskapsrådet,

Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Lund, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Örebro universitet och Luleå tekniska universitet. Karlstads universitet anser att en utvidgning av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktisk genomförbar lösning och att de föreslagna generella skyddsåtgärderna att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åtgärd. Vinnova ställer sig bakom utredningens bedömning och anser att nuvarande reglering av vilken forskning som ska etikprövas överensstämmer väl med dataskyddsförordningens krav på lämplig och särskild skyddsåtgärd för personuppgiftsbehandling av känsliga personuppgifter. En utvidgning av etikprövningslagens tillämpningsområde skulle enligt Vinnova kunna innebära minskade möjligheter för forskare att initiera och genomföra insamlingar och studier till följd av att krav om etikprövning föreligger oavsett vilken typ av personuppgiftsbehandling som ska genomföras.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Detta gäller bland annat

Regionala etikprövningsnämnden i Lund som delar denna bedömning. Luleå kommun anser att utöver de skäl som framförs av regeringen bör beaktas att ett utvidgande av tillämpningsområdet till att omfatta alla personuppgifter skulle medföra negativa konsekvenser för möjligheterna att bedriva forskning till följd av betydligt ökade byråkratiska krav. Därtill skulle möjligheterna att bedriva forskning som grundas på vad som får anses vara harmlös information försvåras och innebära en onödig arbetsinsats för den blivande Etikprövningsmyndigheten.

Skälen för regeringens bedömning

Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det faktum att etikprövning är en i dagsläget fastställd skyddsåtgärd för känsliga personuppgifter och personuppgifter om lagöverträdelser finns det anledning att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.

Att bedöma vilket tillämpningsområde etikprövningslagen bör ha handlar ytterst om att hitta en balans mellan etiska principer och andra värden som bör vägas in. En uttrycklig avgränsning av etikprövningens tillämpningsområde skapar tydlighet för forskare bl.a. vid planering av forskningsprojekt. Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är minst lika viktig för allmänhetens förtroende för systemet. Kravet på etikprövning kan också anses vara en begränsning av forskningens frihet, forskarens möjlighet att fritt använda sig av personuppgifter i forskningen, vilket kräver proportionalitet i avgränsningen av tillämpningsområdet.

Definitionen av personuppgift är vidsträckt

En personuppgift är enligt definitionen i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Alla uppgifter som enskilt eller tillsammans med andra uppgifter kan knytas till en levande person omfattas.

Om etikprövningslagens tillämpningsområde utvidgas till att omfatta all behandling för personuppgiftsändamål skulle kravet på etikprövning omfatta varje slags behandling för forskningsändamål även av indirekta personuppgifter utan någon sannolik integritetsmässig risk. Att kräva en så omfattande skyddsåtgärd, som etikprövning innebär, för behandling av alla slags personuppgifter är enligt regeringens uppfattning inte proportionerligt sett i relation till skyddsintresset. Konsekvenserna för såväl forskningsutförarna som för etikprövningsorganisationen skulle också bli omotiverat omfattande, med ökad arbetsbörda och ökade resursbehov.

Befintliga kategoriseringar utgör en lämplig avgränsning av vilka personuppgifter som ska etikprövas

Behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser har i tidigare lagstiftningssammanhang bedömts inte vara av särskilt integritetskänslig karaktär. Det bör dock i sammanhanget framhållas att en sådan uppfattning i viss mån kan vara subjektiv, vad någon uppfattar som integritetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och

en för sig är av mindre integritetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av personuppgift som framgår av såväl den upphävda PUL som EU:s dataskyddsförordning kan alla olika slags personuppgifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritetsmässig risk att behandla. Det är regeringens uppfattning att PUL:s kategoriseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser alltjämt är rimliga och lämpliga avgränsningar för vad som generellt kan karaktärisera sådana integritetskänsliga personuppgifter som kräver ett ökat skydd. Denna bedömning gäller förstås med de justeringar av dessa begrepp som EU:s dataskyddsförordningen innebär (se vidare avsnitt 10 och 11).

Tillämpningsområdet ska vara tydligt, precist och förutsägbart

Det är viktigt att en avgränsning är så lätt att tillämpa som möjligt och samtidigt uppfyller grundläggande krav på rättssäkerhet, inbegripande förutsägbarhet. Metoden att räkna upp de situationer som ska etikprövas får anses uppfylla detta syfte. De situationer som inte räknas upp ska således inte etikprövas. Denna avgränsning är, enligt regeringens uppfattning, såväl tydlig och precis som förutsägbar och proportionerlig i enlighet med dataskyddsförordningens krav. I dagsläget finns dessutom i förordningen (2003:615) om etikprövning av forskning som avser människor ett förfarande med rådgivande yttrande för ärenden där forskningen inte omfattas av etikprövningslagens tillämpningsområde (4 a §).

Andra skyddsåtgärder bör komma ifråga när personuppgiftsbehandling för forskningsändamål sker i andra fall

Etikprövningens syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Vid personuppgiftsbehandling handlar detta främst om att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns det i princip ingen risk för sådan skada bör inte heller någon etikprövning behöva ske. Regeringens samlade bedömning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med skyddsåtgärden och dessutom riskera att urholka förtroendet för etikprövningssystemet. För att uppnå ett lämpligt skydd i enlighet med dataskyddsförordningens krav för personuppgiftsbehandling för forskningsändamål som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser bör således andra skyddsåtgärder komma ifråga. Regeringen instämmer således med Karlstads universitet som anser att ett utvidgande av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktiskt genomförbar lösning och att skyddsåtgärder som innebär att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åtgärd. Som framgår av avsnitt 9.4 anser regeringen att det framgår direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt.

Regeringens sammantagna bedömning är således att etikprövningslagens tillämpningsområde inte bör utvidgas till att omfatta all personuppgiftsbehandling för forskningsändamål.

10. Det behövs kompletterande nationella bestämmelser för behandling av känsliga personuppgifter

10.1. Förbudet mot behandling av känsliga personuppgifter utvidgas

Dataskyddsförordningen innehåller, i likhet med dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personuppgifter för de uppgifter som omfattas av denna särskilda reglering. Dessa var enligt dataskyddsdirektivet och 13 § PUL personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt dataskyddsförordningen omfattar de särskilda kategorierna av uppgifter även genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Särskilda kategorier av personuppgifter benämns känsliga personuppgifter i dataskyddslagen

I såväl dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter, utan att detta närmare har kommenterats i förarbetena. I dataskyddslagen används begreppet känsliga personuppgifter som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75).

10.2. Dataskyddsförordningen möjliggör behandling av känsliga personuppgifter för forskningsändamål

Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter kompletteras, liksom i direktivet, av en rad undantag som möjliggör sådan behandling i vissa fall. Förbudet i sig, liksom undantagen, är direkt tillämpliga genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. Vissa av undantagen innehåller dock hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder bör vidtas för att dessa undantag ska vara tillämpliga (artikel 9.2).

Av förordningen framgår att känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade (artikel 9.2 a).

I artikel 9.2 j finns ett uttryckligt undantag från förbudet mot behandling av känsliga personuppgifter, som anger att förbudet inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.

Dataskyddsförordningen ger därmed en explicit möjlighet till behandling av känsliga personuppgifter för forskningsändamål. Som nämnts fanns inte något sådant explicit undantag för behandling av personuppgifter för forskningsändamål i dataskyddsdirektivet. Enligt dataskyddsdirektivet var det emellertid möjligt för medlemsstaterna att under förutsättning av lämpliga skyddsåtgärder besluta om undantag från förbudet att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse (artikel 8.4). I PUL fanns undantag för behandling av känsliga personuppgifter för forskningsändamål i 19 §, som angav att känsliga personuppgifter fick behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen.

10.3. Etikprövning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det ska regleras i en forskningsdatalag att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen. Utredningen föreslår även en kompletterande bestämmelse i andra stycket i den föreslagna paragrafen som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål framgår av etikprövningslagen.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal landsting, däribland i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län ser positivt på förslaget. Arbetsgivarverket anser att det är av godo att upprätthålla ett starkt nationellt skydd för känsliga personuppgifter genom den föreslagna bestämmelsen. Vinnova, Cancerfonden och Nationellt biobanksråd framhåller att de stödjer förslaget. Kungl.

Vetenskapsakademien påpekar att det är rimligt och bra att alla personuppgifter inom den utökade definitionen av känsliga personuppgifter ska få behandlas när det är nödvändigt för forskningsändamålet och efter etikprövning.

Statens medicinsk-etiska råd (Smer) tillstyrker utredningens förslag att kravet på etikprövning enligt etikprövningslagen ska kvarstå för tillåtelse för behandling av känsliga personuppgifter när denna behandling är nödvändig för att uppnå forskningsändamålet. Smer ifrågasätter dock om det är ett tillräckligt krav för tillåtelse ”när denna är nödvändig för att uppnå forskningsändamålet”.

Vetenskapsrådet förordar att begreppet ”särskilda kategorier av personuppgifter” används istället för begreppet ”känsliga personuppgifter”. Göteborgs universitet anser att utredningen föreslår ett avsteg från dataskyddsförordningens vokabulär utan att ange någon egentlig förklaring till detta förslag. Mittuniversitetet anser att begreppet ”känsliga personuppgifter” bör strykas ur lagstiftningen. Att använda dataskyddsförordningens terminologi ”särskilda kategorier av personuppgifter” tydliggör att det inte är upp till forskaren att bestämma vilka uppgifter det är fråga om, samt underlättar ett av dataskyddsförordningens huvudsyften, nämligen den fria rörligheten av personuppgifter inom EU.

Datainspektionen avstyrker utredningens förslag till upplysningsbestämmelse då den är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämnders beslut kan komma att uppfattas som den rättsliga regleringen av behandling av känsliga personuppgifter, trots att dataskyddsförordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen. Detta gäller bl.a.

Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet, Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Kungl. Biblioteket och Riksarkivet.

Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling. Utöver detta finns det, för närvarande,

situationer där etikprövningslagens tillämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedriver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del.

Skälen för regeringens bedömning

Undantag från förbudet att behandla känsliga personuppgifter kräver att nationell rätt innehåller bestämmelser om skyddsåtgärder

Som nämnts ska enligt artikel 9.2 j i dataskyddsförordningen förbudet mot behandling av känsliga personuppgifter inte tillämpas om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

I skäl 10 anges att dataskyddsförordningen är avsedd att ge medlemsstaterna handlingsutrymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs närmare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, samt att sådant undantag får göras för bl.a. vetenskapliga eller historiska forskningsändamål. I sammanhanget bör även skrivningarna i skäl 8 beaktas, där det anges att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

I propositionen Ny dataskyddslag konstaterar regeringen att det inte är helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten, som finns i flera av de punkter i artikel 9.2 som innehåller undantag från förbudet att behandla känsliga personuppgifter, har eller vilken betydelse det har att de utformats på olika sätt. Regeringen gör där bedömningen att undantaget i sig inte måste genomföras i nationell rätt för att vara tillämpligt, men att det är uppenbart att det vid behandling av känsliga personuppgifter för bl.a. forskningsändamål krävs ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller

för behandling av andra personuppgifter i samma situation. I artikel 9.2 j tillkommer ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Någon bestämmelse direkt motsvarande artikel 9.2 j fanns som nämnts inte i det upphävda dataskyddsdirektivet. Undantaget i PUL (19 §

)

var dock baserat på artikel 8.4 i direktivet som innehöll ett mot-

svarande krav på lämpliga skyddsåtgärder. Kravet på skyddsåtgärder överensstämmer på så vis med vad som gällt enligt dataskyddsdirektivet och innebär således inte någon ny begränsning av möjligheten att behandla känsliga personuppgifter för forskningsändamål. Vidare är innebörden av kravet på att behandlingen ska vara nödvändig enligt regeringens bedömning densamma i artikel 9 som i artikel 6.

Etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar

Som nämnts i avsnitt 10.2 fick enligt den upphävda PUL känsliga personuppgifter behandlas för forskningsändamål om behandlingen hade godkänts enligt etikprövningslagen (19 §).

Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får bara godkännas om den är nödvändig för att forskningen skall kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7–11 §§ etikprövningslagen). Den riskbedömning som etikprövningsnämnderna gör av personuppgiftsbehandling för forskningsändamål har sedan tidigare bedömts förenlig med kraven i dataskyddsdirektivet.

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32). Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs om behandlingen inbegriper en risk eller en hög risk (skäl 76).

En etikprövning enligt etikprövningslagen uppfyller enligt regeringens uppfattning dataskyddsförordningens krav på en objektiv bedömning av

de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter. Regeringen bedömer således att etikprövning är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål. Som regeringen återkommer till i avsnitt 10.4 finns för sådan forskning som består i klinisk läkemedelsprövning särskilda bestämmelser i form av EU:s förordning nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Denna EU-förordning har dock inte börjat tillämpas och det är i dagsläget inte bestämt när så ska ske. Det blir dock sannolikt inte tidigare än hösten 2019. Eftersom det i EU-förordningen anges att kliniska läkemedelsprövningar ska genomgå etisk granskning och godkännas enligt förordningen har regeringen i propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) föreslagit att forskning som består i klinisk läkemedelsprövning inte ska etikprövas enligt etikprövningslagen. Sådan forskning ska i stället genomgå etisk granskning enligt ett förslag till ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Riksdagen har antagit regeringens förslag (bet. 2017/18:UbU26, rskr. 2017/18:332). Bestämmelserna har emellertid inte trätt i kraft eftersom EU-förordningen inte börjat tillämpas ännu utan bestämmelserna ska träda i kraft den dag regeringen bestämmer, dvs. när EUförordningen börjar tillämpas. Vad som anförs nedan om behandling av känsliga personuppgifter för forskningsändamål avser således, när EUförordningen om kliniska läkemedelsprövningar har börjat tillämpas och de föreslagna kompletterande bestämmelserna trätt i kraft, behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar.

Behandling av känsliga personuppgifter för forskningsändamål med samtycke enligt artikel 9.2 a bör enligt utredningens bedömning omfattas av samma krav på etikprövning som all annan nödvändig behandling av känsliga personuppgifter för forskningsändamål, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf, som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Av artikel 9.2 a i dataskyddsförordningen framgår att medlemsstaterna måste föreskriva i nationell rätt, om förbudet mot behandling av känsliga personuppgifter inte ska kunna upphävas av den registrerade. Enligt 3 § etikprövningslagen ska lagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Paragrafen innehöll tidigare en bestämmelse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop.

2007/08:44). Ändringen innebär att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Detta framgår uttryckligen av 6 § första stycket etikprövningslagen. Där anges att forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Enligt regeringens uppfattning är därför bestämmelsen i etikprövningslagen en sådan reglering som avses i artikel 9.2 a sista ledet.

Innebörden av andra stycket i den bestämmelse utredningen föreslår, dvs. att all behandling av känsliga personuppgifter för forskningsändamål ska etikprövas oavsett vilken rättslig grund den baseras på och att samtycke således inte ersätter kravet på etikprövning, kommer enligt regeringens bedömning inte helt till uttryck i bestämmelsen. Bestämmelsen är av upplysande karaktär och hänvisar till etikprövningslagen. Mot bakgrund av att den angivna bestämmelsen i etikprövningslagen bedöms vara en sådan bestämmelse som avses i artikel 9.2 a finns det inte något behov av att ha ytterligare en bestämmelse med den innebörden. Regeringen anser därför att bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen inte bör införas.

När det gäller frågan om rättslig grund för behandling av personuppgifterna anser regeringen, som framgår av avsnitt 7.2.2, att om ett forskningsprojekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Smer ifrågasätter om det ska vara en tillräcklig förutsättning för behandling av känsliga personuppgifter att en behandling är nödvändig för att uppnå forskningsändamålet. Utredningens förslag till bestämmelse är utformad i enlighet med kraven i artikel 9.2 j i dataskyddsförordningen, där det anges att undantag från förbudet gäller när behandlingen är nödvändig för bl.a. forskningsändamål. Som nämnts framgår det redan av etikprövningslagen att behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket), varför det, vilket regeringen återkommer till nedan, kan ifrågasättas om det behövs ytterligare en bestämmelse i en forskningsdatalag om detta.

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering innebär att det i 2 § etikprövningslagen anges att med behandling av personuppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Sådan forskning får bara utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Behandlingen av personuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad regeringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 §

Prop. 2017/18:298 etikprövningslagen, till definitionen av behandling av personuppgifter i

3 § PUL, ska ersättas med en hänvisning till motsvarande definition i artikel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § etikprövningslagen till 13 § PUL ska ersättas med en hänvisning till motsvarande bestämmelse i dataskyddsförordningen. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen, får då närmast karaktären av en upplysningsbestämmelse eftersom undantaget i artikel 9.2 j i sig inte behöver genomföras i svensk rätt för att vara tillämpligt och då redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j. Regeringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

Flera remissinstanser har ifrågasatt att benämningen känsliga personuppgifter fortsatt ska användas. I såväl dataskyddsförordningen som dataskyddsdirektivet benämns dessa personuppgifter som särskilda kategorier av personuppgifter (artikel 9). I jämförelse med vad som i PUL benämnts känsliga personuppgifter har det tillkommit tre kategorier (genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning). I dataskyddslagen används begreppet känsliga personuppgifter för samtliga dessa kategorier. För att det nationella regelverket ska vara enhetligt föreslås det därför att samma benämning ska användas även i etikprövningslagen.

Datainspektionen framhåller i sitt remissvar över det remitterade utkastet till lagrådsremiss att det finns situationer där etikprövningslagens tillämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedriver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys av huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del. Som regeringen konstaterar i avsnitt 15.1 finns det inte något beredningsunderlag för att ändra etikprövningslagens tillämpningsområde i detta lagstiftningsärende. Den situation som Datainspektionen tar upp i sitt yttrande är inte heller ny, då även PUL hade ett delvis annat tillämpningsområde än etikprövningslagen. Det är dock möjligt enligt dataskyddsförordningen för den personuppgiftsansvarige att behandla känsliga personuppgifter med stöd av samtycke när etikprövningslagens tillämpningsområde inte omfattar den aktuella behandlingen. Liksom för all personuppgiftsbehandling för forskningsändamål gäller också att det är den personuppgiftsansvariges ansvar enligt artikel 89.1 att behandlingen omfattas av lämpliga skyddsåtgärder i varje enskilt fall.

10.4. Etisk granskning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter vid forskning inom ramen för kliniska läkemedelsprövningar

Regeringens bedömning: Etisk granskning enligt lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs enligt EU:s dataskyddsförordning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning.

Utredningen lämnar inget förslag i denna del. Utkastet till lagrådsremiss: Utkastet innehöll ingen bedömning, utan en redogörelse för förslagen till svensk kompletterande lagstiftning till

EU-förordningen om kliniska läkemedelsprövningar i dels propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196), dels propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) samt en hänvisning till att det då pågick en diskussion inom EU om olika dataskyddsfrågor relaterade till EUförordningen om kliniska läkemedelsprövningar och dess förhållande till EU:s dataskyddsförordning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig har inga synpunkter. Läkemedelsverket anser att det i avsnittet bör förtydligas om dataskyddsfrågorna som är relaterade till EU-förordningen om kliniska läkemedelsprövningar kommer att behandlas i en egen utredning eller om de båda EU-förordningarnas direkta effekt medför att det inte behöver göras någon ytterligare utredning på nationell nivå. Karolinska institutet anser att det är otillfredsställande att det fortfarande finns en otydlighet när det gäller vilka regler som ska gälla för personuppgiftsbehandling inom ramen för kliniska läkemedelsprövningar. Det skulle underlätta planeringen av verksamheten för berörda forskningsutförare att snarast möjligt få klarhet i vilka regelverk som blir tillämpliga för personuppgiftsbehandling inom ramen för klinisk läkemedelsprövning. Läkemedelsindustriföreningen ifrågasätter vad som menas med att för klinisk läkemedelsprövning avstår regeringen från att göra ”bedömningar i dessa frågor i denna lagrådsremiss”. Läkemedelsindustriföreningen anser att det krävs ett förtydligande om att tidigare regler kan fortsätta att gälla i avvaktan på att ett nytt regelverk är på plats.

Skälen för regeringens bedömning

De nuvarande svenska bestämmelserna om klinisk läkemedelsprövning baseras på ett EU-direktiv som ersätts av en EU-förordning

Forskning som består i klinisk läkemedelsprövning genomförs i form av undersökningar på friska eller sjuka människor för att studera effekten av ett eller flera läkemedel. Nuvarande bestämmelser om kliniska läkemedelsprövningar finns i Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra

författningar rörande tillämpning av god klinisk sed vid kliniska prövningar av humanläkemedel. Direktivet har genomförts i svensk rätt bland annat genom läkemedelslagen (2015:315) och etikprövningslagen (2003:460). För att få genomföra en klinisk läkemedelsprövning i Sverige krävs i dag både godkännande av en etikprövningsnämnd enligt etikprövningslagen och tillstånd från Läkemedelsverket.

Europaparlamentet och rådet antog den 16 april 2014 förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, nedan kallad EU-förordningen om kliniska läkemedelsprövningar. Denna EU-förordning trädde i kraft den 16 juni 2014, men det har ännu inte beslutats när den ska börja tillämpas. Enligt artikel 99 ska den börja tillämpas sex månader efter det att kommissionen har meddelat i Europeiska unionens officiella tidning att den EU-portal och den EU-databas som regleras i EU-förordningen är fullt funktionsdugliga. Det sker sannolikt inte tidigare än hösten 2019.

Anpassningar av svensk rätt till EU-förordningen om kliniska läkeme-

delsprövningar

EU-förordningen om kliniska läkemedelsprövningar är bindande och direkt tillämplig i Sverige. Som ovan angetts är det dock inte klart när den ska börja tillämpas. Den 1 januari 2019 genomförs en organisationsförändring avseende den svenska etikprövningsorganisationen som innebär att de sex regionala etikprövningsnämnderna avvecklas och att etikprövning av forskning som avser människor i stället ska hanteras av en ny myndighet, Etikprövningsmyndigheten. Syftet är att öka effektiviteten och skapa en mer enhetlig tillämpning av regelverket (prop. 2017/18:45, bet. 2017/18:UbU12, rskr. 2017/18:173). Den nya myndigheten kommer att vara på plats när EU-förordningen ska börja tillämpas. I propositionerna Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196, bet. 2017/18:SoU29, rskr. 2017/18:417) och Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193, bet. 2017/18:UbU26, rskr. 2017/18:332) redogörs för de undantagsbestämmelser och kompletterande bestämmelser som i övrigt har bedömts behövas i svensk rätt med anledning av EU-förordningen.

Etisk granskning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för forskningsändamål i forskning som består av klinisk läkemedelsprövning

Enligt EU-förordningen om kliniska läkemedelsprövningar ska ansökningar om sådana prövningar genomgå vetenskaplig och etisk granskning och godkännas i enlighet med EU-förordningen. Den etiska granskningen ska utföras av en etikkommitté i enlighet med nationell rätt i den berörda medlemsstaten. Enligt definitionen i artikel 2.2.11 är en etikkommitté ett oberoende organ i en medlemsstat vilket inrättats i enlighet med nationell rätt i den medlemsstaten och som har befogenhet att avge yttranden i samband med tillämpningen av EU-förordningen, med beaktande av synpunkter från lekmän, i synnerhet patienter eller patientorganisationer. Varje berörd medlemsstat ska genom ett enda beslut underrätta sponsorn om huruvida den kliniska läkemedelsprövningen eller en väsentlig ändring

av prövningen har beviljats tillstånd, har beviljats tillstånd på vissa villkor eller huruvida ansökan om tillstånd har avslagits (artiklarna 8.1, 14.3, 19.1, 20.5 och 23.1). Med sponsorn avses enligt förordningen person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk prövning.

I propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar föreslås att forskning som består i klinisk läkemedelsprövning framöver inte ska etikprövas enligt etikprövningslagen. Som ovan angivits (avsnitt 10.3) har riksdagen antagit regeringens förslag men bestämmelserna har ännu inte trätt i kraft. Forskning som består i klinisk läkemedelsprövning ska, när bestämmelserna har trätt i kraft, i stället genomgå etisk granskning enligt en ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Enligt den lagen ska den etiska granskningen utföras av Etikprövningsmyndigheten och resultatet av den etiska granskningen ska redovisas i ett yttrande som beslutas av Etikprövningsmyndigheten och lämnas till Läkemedelsverket (2 och 3 §§). Av propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) framgår att Läkemedelsverket ska vara den myndighet i Sverige som fattar beslut om tillstånd till kliniska läkemedelsprövningar. De huvudsakliga skälen till detta är att Läkemedelsverket är central förvaltningsmyndighet för kontroll och tillsyn av läkemedel och även har till uppgift enligt läkemedelslagen att pröva frågor om tillstånd till kliniska läkemedelsprövningar. I Sverige kommer det således att vara Läkemedelsverket som fattar beslut i fråga om en ansökan om klinisk läkemedelsprövning. Enligt EUförordningen gäller att en ansökan ska avslås bl.a. om en etikkommitté har avgett ett negativt yttrande som i enlighet med nationell rätt i den berörda medlemsstaten gäller för hela medlemsstaten (artiklarna 8.4, 14.10, 19.2, 20.7 och 23.4). I propositionen Anpassningar av svensk rätt till EUförordningen om kliniska läkemedelsprövningar föreslås att det i läkemedelslagen ska införas en bestämmelse som innebär att Läkemedelsverket inte får bifalla en ansökan om klinisk läkemedelsprövning om Etikprövningsmyndigheten i sitt yttrande anser att den bör avslås.

Enligt 3 § i den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 711 §§etikprövningslagen ligga till grund för Etikprövningsmyndighetens etiska bedömning av en ansökan om kliniska läkemedelsprövning. Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 711 §§etikprövningslagen. Där anges att

1. forskning bara får godkännas om den kan utföras med respekt för män-

niskovärdet,

2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid

etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3. människors välfärd ska ges företräde framför samhällets och ve-

tenskapens behov,

4. forskning bara får godkännas om de risker som den kan medföra för

forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

5. forskning inte får godkännas om det förväntade resultatet kan uppnås

på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6. behandling av känsliga personuppgifter och personuppgifter om lag-

överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras,

7. forskning får godkännas bara om den ska utföras av eller under över-

inseende av en forskare som har den vetenskapliga kompetens som behövs. Ett beslut om etikgodkännande kan förenas med villkor. Detta används bl.a. i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås. I propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar föreslås att det i läkemedelslagen ska införas en bestämmelse som innebär att om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska Läkemedelsverket beakta villkoren vid tillståndsgivningen.

Av propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar framgår, som ovan angivits, att den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska träda i kraft den dag regeringen bestämmer. Regeringens bedömning i avsnitt 10.3 om att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter kommer således att gälla för klinisk läkemedelsprövning fram till dess att EU-förordningen om kliniska läkemedelsprövningar börjar tillämpas och den svenska kompletterande regleringen träder i kraft.

I den direkt tillämpliga EU-förordningen om kliniska läkemedelsprövningar finns ett antal bestämmelser som rör data som genereras vid kliniska läkemedelsprövningar, se bl.a. artikel 3 (b), artikel 37 (4) och (8), artiklarna 41–43 och artikel 78. Enligt artikel 7 d) ska varje medlemsstat bedöma ansökans förenlighet med dataskyddsdirektivet. Enligt artikel 93 ska medlemsstaterna tillämpa dataskyddsdirektivet på den personuppgiftsbehandling som sker i medlemstatarna. Enligt artikel 94 i dataskyddsförordningen ska referenser till dataskyddsdirektivet tolkas som referenser till dataskyddsförordningen. Enligt skäl 161 i dataskyddsförordningen ska när det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar EU-förordningen om kliniska läkemedelsprövningar tillämpas.

Som framgått ovan (avsnitt 7) har Artikel 29-gruppen efter att utkastet till lagrådsremiss remitterades antagit en vägledning om samtycke under förordning 2016/679, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regulation 2016/679, antagna den 10 april 2018). I denna vägledning uttalar Artikel 29-gruppen att när samtycke är den rättsliga grunden för att utföra forskning i enlighet med dataskyddsförordningen ska detta samtycke till behandlingen av personuppgifterna skiljas från andra krav på samtycke som tjänar som en etisk standard eller ett procedurkrav. Ett exempel på ett sådant procedurkrav där behandlingen inte är baserad på samtycke utan på en annan rättslig grund

finns enligt Artikel 29-gruppen i EU-förordningen om kliniska läkemedelsprövningar. I dataskyddssammanhang ska den senare formen av samtycke betraktas som en ytterligare skyddsåtgärd. Samtidigt begränsar inte dataskyddsförordningen tillämpningen av artikel 6 till enbart samtycke när det gäller behandling av personuppgifter för forskningsändamål. Så länge som lämpliga skyddsåtgärder finns på plats i enlighet med kraven enligt artikel 89.1 och behandlingen av personuppgifter är rättvis, laglig, transparant och överensstämmer med principen om uppgiftsminimering och individuella rättigheter kan andra rättsliga grunder såsom artikel 6.1 e eller f, dvs. uppgift av allmänt intresse och personuppgiftsansvariges eller en tredje parts berättigade intresse, vara användbara. Detta gäller också för behandlingen av känsliga personuppgifter enligt undantaget från förbudet av sådan behandling i artikel 9.2 j. Prövning av läkemedel kan också ske på grundval av en unionsrättslig eller nationell lag enligt artikel 9.2 i, dvs. allmänt intresse på folkhälsoområdet. Artikel 29-gruppen uttalar också att artikel 6.1 c i dataskyddsförordningen, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, kan vara tillämplig för de delar av behandlingen som är en rättslig förpliktelse såsom att generera tillförlitliga och robusta data i enlighet med prövningsprotokollet som godkänts av en medlemsstat i enlighet med EU-förordningen om kliniska läkemedelsprövningar (jfr. exempelvis med artiklarna 3 b och 6 i EU-förordningen om kliniska läkemedelsprövningar).

När det gäller behandling av känsliga personuppgifter för bl.a. forskningsändamål krävs som beskrivits ovan ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 i eller j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Regeringen gör i föregående avsnitt bedömningen att etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läkemedelsprövningar. Enligt 3 § i den föreslagna lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 711 §§etikprövningslagen ligga till grund för den etiska bedömningen av en ansökan om kliniska läkemedelsprövning som ska göras av Etikprövningsmyndigheten. Den etiska granskningen av forskning som består i kliniska läkemedelsprövningar kommer alltså att vila på samma etiska överväganden som ska göras vid etikprövning. Regeringen gör därför bedömningen att etisk granskning är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs enligt EU:s dataskyddsförordning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning.

11. Det behövs kompletterande nationella bestämmelser om skyddsåtgärder för behandling av personuppgifter om lagöverträdelser

11.1. Dataskyddsförordningen möjliggör en kompletterande nationell reglering för personuppgifter om lagöverträdelser

Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet. Behandling av sådana uppgifter får också ske om behandlingen tillåts enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10).

I dataskyddsdirektivet angavs att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder fick utföras endast under kontroll av en myndighet eller, om lämpliga skyddsåtgärder fanns i nationell lag, med förbehåll för de ändringar som medlemsstaterna kunde tillåta med stöd av nationella bestämmelser som innehöll lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar fick dock föras endast under kontroll av en myndighet. Medlemsstaterna fick vidare föreskriva att uppgifter som rörde administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet (artikel 8.5). Med stöd av denna artikel i dataskyddsdirektivet infördes en paragraf i PUL som i första stycket angav att det var förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av andra stycket framgick att sådana personuppgifter som avsågs i första stycket fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt lagen om etikprövning av forskning som avser människor (21 § PUL).

Dataskyddsförordningens formulering i artikel 10 första meningen, som avser fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder är, när det gäller vilken typ av uppgifter det är fråga om, något snävare än motsvarande bestämmelsen i den upphävda PUL (21 § första stycket). Den bestämmelsen avsåg lagöverträdelser som innefattade brott, domar i brottmål, dvs. både friande och fällande domar, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Begreppet säkerhetsåtgärder har bedömts likvärdigt med begreppet straffprocessuella tvångsmedel, som använts i PUL vid genomförande av dataskyddsdirektivet, vilket i likhet med dataskyddsförordningen anger säkerhetsåtgärder som begrepp. Det är därmed regeringens bedömning att

vad som i praktiken skiljer definitionerna i PUL och dataskyddsförordningen åt är friande domar i brottmål och administrativa frihetsberövanden. Sådana uppgifter omfattas inte av de särskilda begränsningarna för behandling som framgår av artikel 10 i dataskyddsförordningen (prop. 2017/18:105 s. 98).

I dataskyddslagen finns en bestämmelse som förtydligar att personuppgifter som avses i artikel 10 får behandlas av myndigheter (3 kap. 8 § första stycket).

För att andra än myndigheter alls ska kunna behandla sådana personuppgifter om lagöverträdelser som framgår av artikel 10 måste detta tillåtas i unionsrätten eller nationell rätt, med fastställande av lämpliga skyddsåtgärder. Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling av sådana uppgifter för till exempel forskningsändamål är möjliga i nationell lagstiftning, precis som andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda. I dataskyddslagen anges att även andra än myndigheter får behandla personuppgifter som avses i artikel 10, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § andra stycket). Det har även förts in ett bemyndigande i dataskyddslagen med innebörd att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket). Det anges vidare att den myndighet som regeringen bestämmer även i enskilda fall får besluta att andra än myndigheter får behandla sådana uppgifter. Ett sådant beslut får förenas med villkor (3 kap. 9 § andra stycket).

11.2. Etikprövning ska vara en skyddsåtgärd vid behandling av personuppgifter om lagöverträdelser för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig skyddsåtgärd, fastställd i svensk rätt, som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det i forskningsdatalagen ska införas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel ska få behandlas av andra än myndigheter med stöd av artikel 10 i dataskyddsförordningen om behandlingen är nödvändig och har godkänts enligt etikprövningslagen. I andra stycket i den föreslagna bestämmelsen föreslår utredningen att det ska upplysas om att av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget.

Sveriges Kommuner och Landsting och Västra Götalands läns landsting instämmer i utredningens förslag och framhåller vikten av forskning med användande av personuppgifter om lagöverträdelser m.m., men också att sådan behandling alltid måste föregås av en prövning enligt etikprövningslagen. Kammarrätten i Stockholm anser att bestämmelsens begränsning till att endast avse andra än myndigheter kan ifrågasättas, även om det enligt artikel 10 i dataskyddsförordningen är nödvändigt med särskild reglering för att andra än myndigheter ska få behandla nämnda personuppgifter.

Statens medicinsk-etiska råd (Smer) anser att förtydligande behövs när det gäller formuleringen vid tillåtelse av behandling av personuppgifter om lagöverträdelser m.m. ”när denna är nödvändig för att uppnå forskningsändamålet”.

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till

12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i dataskyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt. Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad innebär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvirring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikprövning.

Datainspektionen avstyrker utredningens förslag avseende 12 § andra stycket forskningsdatalagen eftersom bestämmelsen är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämnders beslut kan komma att uppfattas som den rättsliga regleringen av behandling av personuppgifter om lagöverträdelser trots att dataskyddsförordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Luleå kommun anser att förslaget om att utöka kravet på etikprövning till myndigheter samt att det ska gälla även friande domar m.m. är en lämplig skyddsåtgärd. Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling.

Skälen för regeringens bedömning

Andra än myndigheter ska få behandla sådana personuppgifter som avses i artikel 10 för forskningsändamål

Som framgått av avsnitt 11.1 anges i artikel 10 att myndigheter får behandla personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Detta gäller även behandling för forskningsändamål. För andra än myndigheter krävs att behandlingen är tillåten enligt unionsrätten eller nationell rätt. Här möjliggör alltså dataskyddsförordningen kompletterande

nationell lagstiftning. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder. Det är regeringens uppfattning att det finns behov av att kunna behandla personuppgifter om lagöverträdelser för forskningsändamål även för andra forskningsaktörer än myndigheter. Dataskyddsförordningens möjlighet till nationell reglering i det aktuella fallet bör därför utnyttjas när behandling är nödvändig för forskningsändamål.

Etikprövning är en lämplig skyddsåtgärd för såväl offentliga som privata forskningsutförare vid sådan behandling av uppgifter som avses i artikel 10

I avsnitt 10.3 har regeringen utvecklat skälen till varför regeringen anser att etikprövning enligt etikprövningslagen uppfyller kraven på lämplig och särskild skyddsåtgärd enligt dataskyddsförordningen när det gäller behandling av känsliga personuppgifter för forskningsändamål. Av motsvarande skäl anser regeringen att etikprövning är en lämplig skyddsåtgärd även vid behandling av sådana personuppgifter som avses i artikel 10. Krav på skyddsåtgärder vid personuppgiftsbehandling framgår vidare inte bara enligt artikel 10. Att sådana krav finns för all personuppgiftsbehandling för forskningsändamål framgår av artikel 89.1. Skäl 156 anger att sådana skyddsåtgärder bör införas i nationell rätt. Det är därför regeringens bedömning att det är förenligt med kravet på skyddsåtgärder i artikel 89.1 att låta även myndigheters behandling av personuppgifter om lagöverträdelser omfattas av kravet på etikprövning. Regeringen anser således att det ska framgå av nationell rätt att sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen.

Samma krav på etikprövning ska fortsätta gälla även för behandling av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden

Som framgått av redogörelsen ovan skiljer sig de kategorier av personuppgifter som avses i artikel 10 i dataskyddsförordningen något åt från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt PUL och etikprövningslagen. Att begränsa den nationella kompletterande regleringen till att avse sådana personuppgifter som avses i artikel 10 skulle innebära att behandlingar av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden, vilka i dag omfattas av kravet på etikprövning, inte kommer vara förenade med samma skydd framöver. Regeringen anser inte att en sådan försämring av den registrerades skydd är befogad, även med beaktande av intresset av en harmoniserad reglering av personuppgiftsskyddet. Regeringen anser vidare att det med stöd av artikel 89.1 i dataskyddsförordningen är möjligt att införa krav på sådana särskilda skyddsåtgärder även för behandling av vissa personuppgifter som faller utanför tillämpningsområdet för artikel 10. Artikel 89.1 kräver, som framgått, lämpliga skyddsåtgärder för behandling av personuppgifter för forskningsändamål generellt och det är regeringens bedömning att det är möjligt att fastställa sådana skyddsåtgärder i form av ett krav på godkännande vid etikprövning i nationell rätt med stöd av skäl 156. Genom att den definition som idag framgår av 3 § etikprövningslagen behålls,

bortsett från hänvisningen till 21 § PUL, kommer kravet på etikprövning av såväl de personuppgifter som avses i artikel 10 i dataskyddsförordningen, som de uppgifter som inte anges där, men idag omfattas av krav på etikprövning, att gälla även fortsättningsvis.

Behandling av personuppgifter om lagöverträdelser bör enligt utredningens bedömning omfattas av kravet på etikprövning oavsett vilken rättslig grund behandlingen baseras på, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf som upplyser om att övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av sådana personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Som nämnts i avsnitt 10.3 innehöll paragrafen tidigare en bestämmelse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop. 2007/08:50). Ändringen innebar att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Ett samtycke till behandlingen ersätter således inte kravet på etikprövning. Enligt regeringens uppfattning är därför bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen överflödig och bör inte införas.

Regeringen anser sammanfattningsvis att personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ska få behandlas för forskningsändamål om behandlingen är nödvändig för ändamålet och har godkänts enligt etikprövningslagen. Detta krav ska gälla oavsett om det är fråga om en offentlig eller privat forskningsutförare och oavsett med stöd av vilken rättslig grund i artikel 6.1 som behandlingen utförs. Som regeringen har anfört i avsnitt 7.2.2 anser regeringen att om ett forskningsprojekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Behövs det ytterligare reglering?

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering innebär att det i 2 § etikprövningslagen anges att med behandling av personuppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö-

vanden enligt 21 § PUL. Sådan forskning får bara utföras om den har godkänts vid en etikprövning (6 § etikprövningslagen). Behandlingen av personuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad regeringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 § etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i artikel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § 1 etikprövningslagen till 13 § PUL ska ersättas av en hänvisning till motsvarande bestämmelser i dataskyddsförordningen samt att 3 § 2 etikprövningslagen endast ska anpassas på så vis att hänvisningen till 21 § PUL ska tas bort men uppräkningen av de kategorier av uppgifter om lagöverträdelser som omfattas av kravet på etikprövning ska finnas kvar. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att personuppgifter om lagöverträdelser får med stöd av artikel 10 i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikprövningslagen, får då närmast karaktären av en upplysningsbestämmelse, eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1. Regeringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

12. Det krävs följdändringar i bestämmelserna om etikprövningslagens tillämpningsområde

Regeringens förslag: Bestämmelsen i etikprövningslagen, som reglerar att behandling av personuppgifter avser sådan behandling av personuppgifter som anges i personuppgiftslagen, ska ersättas med en hänvisning till dataskyddsförordningen.

Etikprövningslagen ska tillämpas på forskning som innefattar behandling av:

1. personuppgifter som avslöjar ras eller etniskt ursprung, politiska

åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (känsliga personuppgifter), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i

brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: En majoritet av de remissinstanser som yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a.

landstingen i Västra Götalands läns landsting, Uppsala län,

Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Regionala etikprövningsnämnden i Göteborg och Sveriges läkarförbund.

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till

12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i dataskyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt. Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad innebär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvirring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikprövning.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen av de remissinstanser som har yttrat sig har kommenterat förslaget specifikt.

Skälen för regeringens förslag:Etikprövningslagen ska enligt 3 § tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL. Med behandling av personuppgifter avses enligt 2 § etikprövningslagen sådan behandling som anges i 3 § PUL. Den sistnämnda hänvisningen bör tas bort och ersättas med en hänvisning till definitionen av behandling enligt artikel 4.2 i dataskyddsförordningen.

Som framgått av avsnitt 9.7 och 10 är dataskyddsförordningens definition av särskilda kategorier av personuppgifter (i 3 kap. 1 § dataskyddslagen benämnda känsliga personuppgifter), vidare än dataskyddsdirektivets och PUL:s definitioner. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Om godkänd etikprövning ska vara ett krav för att få behandla känsliga personuppgifter för forskningsändamål i enlighet med dataskyddsförordningens definition innebär det således ett visst utökat tillämpningsområde för etikprövningslagen till följd av den EU-rättsliga utvecklingen.

Som framgått av avsnitt 11 skiljer sig vidare de kategorier av personuppgifter som omfattas av artikel 10 i dataskyddsförordningen något från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt etikprövningslagen och den upphävda PUL. Som nämnts i avsnitt 11 är det regeringens bedömning att det som i praktiken skiljer definitionen i dataskyddsförordningen från den i PUL är att personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden omfattas av den upphävda PUL, men inte av artikel 10.

I avsnitt 10.3 har regeringen tagit ställning för att etikprövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga

personuppgifter enligt dataskyddsförordningens vidare definition, vid behandling för forskningsändamål. I avsnitt 11.2 har regeringen gjort motsvarande ställningstagande i fråga om sådana uppgifter om lagöverträdelser som motsvarar PUL:s definition. Med anledning härav föreslår regeringen att 3 § etikprövningslagen ändras i enlighet härmed och att hänvisningarna i den paragrafen till PUL tas bort.

Som påpekats i avsnitt 3 är regeringens avsikt med denna proposition att föreslå nödvändiga anpassningar till dataskyddsförordningen. De ställningstaganden som gjorts i avsnitt 10.3 och 11.2 i fråga om att etikprövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser vid behandling för forskningsändamål överensstämmer med utredningens bedömning. Utredningen bedömer samtidigt att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etikprövning av personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång. Den frågan behandlas inte i denna proposition. Fortsatt arbete med de aktuella författningarna kommer däremot att ske bl.a. i samband med beredningen av förslagen i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

13. Bör det föreskrivas undantag från vissa av de rättigheter som den registrerade har?

13.1. Dataskyddsförordningen möjliggör undantag från vissa rättigheter

Som har nämnts i avsnitt 4.6 har den registrerades rättigheter förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Det är bl.a. fråga om ökad rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling, rätt till dataportabilitet och rätt att göra invändningar (artiklarna 12–22). Det finns direkt tillämpliga undantag från vissa av dessa rättigheter och möjlighet att i nationell rätt göra undantag från vissa rättigheter i dataskyddsförordningen, enligt vad som beskrivs nedan.

När det gäller vissa av den registrerades rättigheter framgår undantag direkt av dataskyddsförordningen

Vilken information som ska lämnas till den registrerade när personuppgifterna inte har inhämtats från den registrerade regleras i artikel 14.1–4. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller

avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten.

Den rätt till radering som regleras i artikel 17.1 och 17.2 ska enligt artikel 17.3 d inte gälla i den utsträckning som behandlingen är nödvändig för bl.a. forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Rätten att göra invändning mot behandling av personuppgifter enligt artikel 21 gäller om behandlingen grundar sig på artikel 6.1 e eller f. Om personuppgifter behandlas för bl.a. forskningsändamål ska den registrerade enligt artikel 21.6 ha rätt att göra invändningar mot behandlingen avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Dataskyddsförordningen möjliggör även att det föreskrivs undantag från vissa av den registrerades rättigheter i nationell rätt

Det är möjligt att i nationell rätt göra undantag från den personuppgiftsansvariges skyldighet att lämna information till den registrerade när personuppgifterna inte har inhämtats från den registrerade. I artikel 14.5 c anges att punkterna i 14.1–4 inte ska tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Om personuppgifter behandlas för forskningsändamål får det enligt artikel 89.2 i unionslagstiftningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från de rättigheter som framgår av artikel 15 (rätten till tillgång), artikel 16 (rätten till rättelse), artikel 18 (rätten till begränsning av behandling) och artikel 21 (rätten att göra invändningar), med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag från dessa rättigheter får endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Vissa rättigheter gäller inte om den registrerade inte är möjlig att identifiera

En viktig och direkt tillämplig reglering i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det är vanligt att det saknas direkt identifierande uppgifter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss person behandlas. Om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade ska artik-

larna 15–20 inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig (artikel 11, jfr även skäl 57).

Det är viktigt att upprätthålla integritetsskyddet i forskningen

Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter skyddas. Det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Nedan behandlas frågorna om undantag bör göras i nationell rätt från den personuppgiftsansvariges skyldighet enligt artikel 14 att tillhandahålla information till den registrerade när uppgifterna inte har erhållits från honom eller henne (avsnitt 13.2), från rätten till tillgång enligt artikel 15 (avsnitt 13.3), från rätten till rättelse enligt artikel 16 (avsnitt 13.4), från rätten enligt artikel 18 till begränsning av behandling (avsnitt 13.5) och från rätten enligt artikel 21 att göra invändningar (avsnitt 13.6).

13.2. Undantaget från informationsskyldigheten när personuppgifter lämnas ut för forskningsändamål följer direkt av dataskyddsförordningen och svensk rätt

Regeringens förslag: Bestämmelsen om utlämnande av personuppgifter i etikprövningslagen ska upphävas.

Regeringens bedömning: Rätten att ta del av allmänna handlingar och myndigheters skyldighet att lämna ut allmänna handlingar i enlighet med offentlighetsprincipen gäller oavsett för vilket ändamål utlämnandet sker. Rätten respektive skyldigheten gäller dock inte i den utsträckning handlingarna innehåller sekretessbelagda uppgifter.

Myndigheters skyldighet enligt offentlighets- och sekretesslagen att dels på begäran av en enskild lämna ut uppgifter ur en allmän handling, dels på begäran av en annan myndighet lämna ut uppgifter som myndigheten förfogar över, gäller också oavsett för vilket ändamål utlämnandet sker, under förutsättning att uppgifterna inte är sekretessbelagda eller det skulle hindra arbetets behöriga gång. Regleringen innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt i enlighet med artikel 14.5 c i EU:s dataskyddsförordning och att artikel 14.1–4 om den personuppgiftsansvariges informationsskyldighet inte behöver tillämpas i dessa fall. Någon särskild föreskrift behöver inte införas för att detta ska gälla vid myndigheters utlämnande av uppgifter för forskningsändamål. Någon upplysningsbestämmelse bör inte införas.

För andra personuppgiftsansvariga än myndigheter och sådana enskilda som jämställs med myndigheter vid tillämpningen av bestämmelserna om rätt att ta del av allmänna handlingar och offentlighets- och sekretesslagen, kan undantaget från informationsskyldigheten enligt artikel 14.5 b i dataskyddsförordningen vara tillämpligt.

Sådana villkor som kan uppställas i samband med godkännande enligt etikprövningslagen kan även fortsättningsvis avse information som ska lämnas till den registrerade vid personuppgiftsbehandling för forskningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att bestämmelsen i 12 § etikprövningslagen om att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt, överförs till forskningsdatalagen och omformuleras, så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a.

Regionala etikprövningsnämnden i Göteborg och Brottsförebyggande rådet.

Arbetsgivarverket ställer sig tveksamt till bestämmelsens utformning med anledning av att offentlighets- och sekretesslagen på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i offentlighets- och sekretesslagen, men att bestämmelsen i övrigt behålls oförändrad.

Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen. Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken går längre än artikel 14.5 b och inte räddas av de föreslagna skyddsåtgärderna i forskningsdatalagen eller en hänvisning till etikprövningen. Datainspektionen avstyrker förslaget i sin nuvarande utformning. Inspektionen anser dels att bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen, dels att utredningen inte har visat att de skyddsåtgärder som föreslås uppfyller det krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c.

Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.

Remissinstanserna: En majoritet av de som yttrat sig instämmer i förslaget och bedömningen eller har inga synpunkter. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet,

Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkeme-

delsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarverket, Kungl. Biblioteket och Riksarkivet.

Regionala etikprövningsnämnden i Umeå instämmer såväl i att bestämmelserna i OSL om rätten att ta del av allmänna handlingar och skyldigheten att lämna ut sådana får betraktas som sådana nationella bestämmelser som avses i artikel 14.5 c, som i att OSL:s och andra lagars bestämmelser om sekretess och tystnadsplikt får anses vara fastställda lämpliga åtgärder för att skydda den registrerades intressen. Etikprövningsnämnden anser dock att det borde finnas en hänvisning till OSL i den forskningsdatalag nämnden förordar ska införas och OSL:s betydelse för tillämpningen av artikel 14.

Pensionsmyndigheten ställer sig tveksam till att undantagsbestämmelsen i artikel 14.5 c ska ges en så extensiv tolkning. Pensionsmyndigheten noterar i sammanhanget att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet.

Luleå kommun anser att regeringen bör beakta Datainspektionens kritik gällande lämpliga skyddsåtgärder noggrannare. De förtydliganden regeringen gör i dessa delar är enligt Luleå kommuns uppfattning inte tillräckliga. Därtill bör tilläggas att offentlighetsprincipen får, även med beaktande av andra länders regleringar, i ett internationellt och europeiskt perspektiv anses vara en unik reglering. Detta medför att det skydd som följer av sekretess och tystnadsplikt, för att minska det integritetsintrång som offentlighetsprincipen kan leda till, inte kan anses uppfylla de krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c dataskyddsförordningen. Det får snarare anses vara en del av att följa den grundläggande dataskyddsstandard som följer av dataskyddsförordningen.

Stockholms universitet framför att eftersom TF och OSL uppfyller andra syften än dataskyddsförordningen (se exempelvis HFD 2015 ref. 57 och

HFD 2015 ref. 71) är det svårt att överblicka i vad mån syftet med artikel 14 kan uppnås genom allmänhetens tillgång till allmänna handlingar. I utkastet till lagrådsremissen förs inget resonemang om huruvida rätten till tillgång till allmänna handlingar i varje situation täcker in den rätt till information som den enskilde har rätt till enligt 14.1–4. Det är exempelvis av relevans huruvida de informationsbärande handlingarna vid varje tillfälle är upprättade eller inkomna till myndigheten. Stockholms universitet ställer sig frågande till möjligheten att stödja ett undantag från artikel 14.1–4 dataskyddsförordningen på en reglering som inte fullt ut täcker de rättigheter som artikeln avser att skydda.

Skälen för regeringens förslag och bedömning

Bestämmelsen i etikprövningslagen har sin grund i personuppgiftslagen

Det finns en bestämmelse i etikprövningslagen som reglerar utlämnande av personuppgifter. I den anges att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt (12 §). Enligt förarbetena till bestämmelsen ska den läsas mot bakgrund av 24 § i den numera upphävda PUL. Av den paragrafens första stycke framgick att om personuppgifter hade samlats in från någon annan källa än den registrerade, skulle den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registrerades. Om uppgifterna var avsedda att lämnas ut till tredje man, behövde informationen dock inte ges förrän uppgifterna lämnades ut för

första gången. Enligt andra stycket behövde emellertid sådan information inte lämnas, om det fanns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Bestämmelsen i 24 § andra stycket PUL baserades på artikel 11.2 i dataskyddsdirektivet. Av första punkten i artikel 11 framgick i huvudsak att om uppgifterna inte hade samlats in från den registrerade skulle medlemsstaterna föreskriva att den registeransvarige vid tiden för registrerandet eller senast när uppgifterna först lämnades ut skulle ge den registrerade information om bland annat den registeransvariges identitet, ändamålet med behandlingen, mottagare av uppgifterna och den registrerades rättigheter. I artikel 11.2 angavs att bestämmelserna i punkt 1 inte skulle gälla när det, särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål, visade sig omöjligt eller innebar en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrevs i författning. I sådana fall skulle medlemsstaterna föreskriva lämpliga skyddsåtgärder.

Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt genom 24 § PUL. För att en personuppgiftsansvarig inte skulle behöva beakta kravet på information till den registrerade enligt 24 § första stycket krävdes alltså att det fanns bestämmelser om registrering eller utlämnande av personuppgifter i en lag eller någon annan författning. Ursprungligen fanns det i 19 § tredje stycket PUL en bestämmelse om utlämnande av uppgifter för forsknings- och statistikändamål som syftade till att uppfylla kravet i 24 § andra stycket PUL. I samband med att etikprövningslagen infördes överfördes den del av bestämmelsen som avsåg utlämnande av personuppgifter för forskning till etikprövningslagen.

Det finns möjligheter till nationell reglering i dataskyddsförordningen

I artikel 14 i dataskyddsförordningen regleras information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade.

Av artikel 14.1 framgår bl.a. vilken slags information som den personuppgiftsansvarige ska förse den registrerade med samt att den registrerade ska informeras om ändamålen med behandlingen, vilken rättslig grund behandlingen har och vilka mottagare som eventuellt ska ta del av uppgifterna. Av artikel 14.2 framgår bland annat vilken information, utöver den som avses i artikel 14.1, som den personuppgiftsansvarige ska lämna till den registrerade för att säkerställa en rättvis och transparent behandling. Artikel 14.3 anger vissa tidsangivelser för när informationen enligt de föregående punkterna ska lämnas och artikel 14.4 rör information vid ytterligare behandling av personuppgifterna för ett annat syfte än det för vilket uppgifterna samlades in.

Artikel 14.5 anger slutligen under vilka förutsättningar artikel 14.1–4 inte behöver tillämpas. Enligt artikel 14.5 c gäller detta om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Det behöver tydliggöras hur undantaget från informationsskyldigheten blir tillämpligt

Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över regeringens lagförslag. När det gäller den bestämmelse som sedan blev 12 § etikprövningslagen var Lagrådets uppfattning att det var svårt att se att bestämmelsen hade den innebörden att den forskare som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut personuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering, som enligt 24 § andra stycket PUL medförde att information enligt 24 § första stycket PUL inte behövde lämnas ut, borde bestämmelsen utformas så att detta klart framgick. Lagrådets förslag var att en sådan bestämmelse placerades som inledande paragraf under rubriken ”Information och samtycke” enligt följande lydelse: ”Vid forskning som avses i 3 § behöver 24 § PUL (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade.” Regeringen följde dock inte Lagrådets förslag med motiveringen att det enligt EG-direktivet krävdes att utlämnande föreskrevs uttryckligen i författning, varför regeringen föreslog en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt regeringens uppfattning fick risken för missförstånd bedömas som liten. Lagrådets föreslagna alternativa skrivning ansåg regeringen vara mindre väl förenlig med EG-direktivet, eftersom något utlämnande då inte skulle föreskrivas i författning utan det bara skulle vara fråga om ett undantag från informationsskyldigheten (prop. 2002/03:50 s.175 f.).

Forskningsdatautredningen har föreslagit att bestämmelsen om utlämnande av personuppgifter i 12 § etikprövningslagen överförs till den föreslagna forskningsdatalagen och omformuleras, så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade. Datainspektionen anser att den föreslagna bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen. Datainspektionen anser bl.a. att bestämmelsen inte innehåller något uttryckligt förordnande och inte uppfyller kraven på tydlighet, precisering och förutsägbarhet samt proportionalitet.

Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen och Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken enligt etikprövningsnämnden går längre än artikel 14.5 b och inte räddas av de föreslagna 8–10 §§ forskningsdatalagen eller en hänvisning till etikprövningen. Regeringen delar i huvudsak dessa uppfattningar av följande skäl.

Kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter innebär antingen en rätt att få uppgifter eller en uppgiftsskyldighet

Enligt artikel 14.5 c ska artikel 14.1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Forskning är i dataskyddsförordningen ett priviligierat ändamål för behandling av personuppgifter. Det framgår av artikel 5.1 b att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta är en grundläggande princip i såväl dataskyddsdirektivet som dataskyddsförordningen (finalitetsprincipen). Trots detta görs det ett generellt undantag från denna princip bl.a. för forskning. I artikel 5.1 b andra meningen anges nämligen att ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 inte ska anses vara oförenligt med de ursprungliga ändamålen. Den möjlighet att göra undantag från bestämmelserna i artikel 14.1–4 som föreskrivs i artikel 14.5 c är en generell möjlighet till undantag, så till vida att den gäller oavsett ändamål. Det behöver således inte vara fråga om ett sådant priviligierat ändamål som forskning.

Att dataskyddsförordningen blir direkt tillämplig som lag i svensk rätt och därmed inte ska implementeras utgör en avgörande skillnad mot dataskyddsdirektivet. Enligt regeringens mening kan kravet i artikel 14.5 på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter i nationell rätt inte tolkas på annat sätt än som ett krav på föreskrifter om en rätt att få uppgifter eller föreskrifter om en uppgiftsskyldighet. Att, som utredningen föreslagit, föreskriva att personuppgifter får lämnas ut för att behandlas för forskningsändamål är snarare att anse som en upplysning om finalitetsprincipen och undantaget för forskningsändamål, enligt vad som beskrivits ovan. Det krävs således, enligt regeringens uppfattning, en tydligare uppgiftsskyldighet för att undantaget från informationsskyldigheten i artikel 14.5 c ska bli tillämpligt. Utredningens förslag uppfyller därmed enligt regeringens uppfattning inte kraven enligt dataskyddsförordningen.

För myndigheter finns uttryckliga föreskrifter om rätt att ta del av allmänna handlingar och om skyldighet att lämna ut uppgifter

Arbetsgivarverket ställer sig tveksamt till utformningen av den bestämmelse som utredningen har föreslagit med anledning av att offentlighets- och sekretesslagen (2009:400, OSL) på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i

OSL, men att bestämmelsen i övrigt behålls oförändrad. Regionala etikprövningsnämnden i Umeå anser att det borde finnas en hänvisning till OSL i den forskningsdatalag som nämnden förordar införs.

Av OSL framgår att en myndighet dels på begäran av en enskild ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av

en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetets behöriga gång.

Den förstnämnda bestämmelsen kompletterar bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. 1 § tryckfrihetsförordningen (TF). Sistnämnda rätt gäller i den utsträckning uppgifter i de allmänna handlingarna inte är sekretessbelagda (2 kap. 2 § TF och 1 kap. 1 § och 3 kap. 1 § OSL). Av TF framgår dessutom ett skyndsamhetskrav, som innebär att myndigheten ska behandla en begäran att få ut uppgifter skyndsamt, samt en möjlighet att överklaga ett beslut om avslag på begäran om utlämnande (2 kap. 12 och 15 §§ TF). Rätten att ta del av uppgifter ur allmänna handlingar enligt 6 kap. 4 § OSL är inte lika långtgående som rätten att ta del av allmänna handlingar enligt TF då den, förutom att den i likhet med rätten att ta del av allmänna handlingar inte omfattar sekretessbelagda uppgifter, dels är begränsad av ett villkor om att ett utlämnande inte behöver ske i den utsträckning det stör arbetets behöriga gång, dels inte är förenad med en överklagandemöjlighet. När det gäller den gemensamma begränsningen att såväl rätten att ta del av allmänna handlingar som bestämmelsen om myndigheters uppgiftsskyldighet i 6 kap. 4 § OSL inte gäller sekretessbelagda uppgifter kan konstateras att OSL är en ca 100 sidor lång lag som innehåller väl genomtänkta sekretessbestämmelser. Kap. 21–40 OSL innehåller bestämmelser om sekretess till skydd för enskildas personliga eller ekonomiska förhållanden som gäller i olika delar av den offentliga sektorn. Såväl föreskrifterna om rätt att ta del av allmänna handlingar och myndigheternas skyldighet att lämna ut uppgifter ur allmänna handlingar får anses uppfylla kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter som avses i artikel 14.5 c dataskyddsförordningen. Som regeringen återkommer till nedan får de föreskrivna begränsningarna som innebär att uppgifter inte får lämnas ut om de är sekretessbelagda anses vara sådana föreskrifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Offentlighetsprincipens centrala betydelse framgår även uttryckligen i dataskyddsförordningen. Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

Som nämnts ovan är myndigheter enligt 6 kap. 5 § OSL även skyldiga att på begäran av en annan myndighet lämna uppgifter som den förfogar över under vissa förutsättningar. Uppgiftsskyldigheten mellan myndigheter kan ses som en precisering av den allmänna samverkansskyldighet som gäller enligt 8 § förvaltningslagen (2017:900). Skyldigheten är mer vidsträckt än skyldigheten gentemot allmänheten då den omfattar varje uppgift som myndigheten förfogar över, inte bara uppgifter ur allmänna handlingar. Skyldigheten är dock inte undantagslös då den inte omfattar sekretessbelagda uppgifter och inte heller gäller i den utsträckning hinder föreligger på grund av arbetets behöriga gång. Även denna bestämmelse får anses uppfylla kravet i artikel 14.5 c dataskyddsförordningen på en

uttrycklig föreskrift om utlämnande av uppgifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Vad som har sagts ovan gäller också för de enskilda organ som enligt 2 kap. 2–5 §§ OSL jämställs med myndigheter dels vid tillämpning av TF:s bestämmelser om rätt att ta del av allmänna handlingar, dels vid tillämpning av bestämmelserna i OSL. Det är bl.a. fråga om aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande samt sådana enskilda organ som anges i bilagan till OSL, när det gäller handlingar i den verksamhet som anges i bilagan. Ett skäl till att ett enskilt organ blir infört i bilagan i fråga om hela eller delar av organets verksamhet är att organet med stöd i lag har fått i uppgift att fullgöra en förvaltningsuppgift som innefattar myndighetsutövning, t.ex. fördelning av statsbidrag, eller att det enskilda organets verksamhet finansieras med allmänna medel. Som exempel på enskilda organ som har förts in i bilagan till OSL kan nämnas Chalmers tekniska högskola aktiebolag och Hälsohögskolan i Jönköping AB (all verksamhet), Familjemedicinska institutet i Sverige, ideell förening (all verksamhet), och Stiftelsen för kunskaps- och kompetensutveckling (all verksamhet). I samband med att ett enskilt organ förs in i bilagan görs en bedömning av om sekretessregleringen behöver justeras med anledning av detta.

Som framgått ovan är det regeringens uppfattning att bestämmelserna om rätten att ta del av allmänna handlingar och uppgiftsskyldigheterna i 6 kap. 4 och 5 §§ OSL utgör sådana nationella föreskrifter om erhållande eller utlämnande av uppgifter som uppfyller de krav som uppställs i artikel 14.5 c i dataskyddsförordningen. Ett utlämnande enligt dessa föreskrifter innebär därmed att informationsskyldigheten enligt artikel 14.1–4 inte blir aktuell. Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål. Någon särskild reglering av utlämnande av uppgifter för forskningsändamål behövs därför inte när det gäller uppgifter hos myndigheter och enskilda som jämställs med myndigheter. Regeringen instämmer således i Arbetsgivarverkets invändning med den skillnaden att regeringen anser att det inte heller behöver införas någon hänvisning till OSL i nationell rätt. Regeringen anser inte heller att det i nationell rätt behöver anges att artikel 14.1–4 i dataskyddsförordningen inte blir tillämplig i nu aktuella fall då det följer direkt av artikel 14.5 c.

För andra än utlämnande myndigheter och enskilda som jämställs med myndigheter finns vissa möjligheter till undantag enligt artikel 14.5 b

När ett utlämnande av uppgifter för forskningsändamål ska göras av något annat organ än en myndighet finns det andra bestämmelser än artikel 14.5 c som kan bli tillämpliga i enskilda fall. I artikel 14.5 b finns bestämmelser som anger att bestämmelserna om informationsskyldigheten i artikel 14.1– 4 inte ska tillämpas under vissa förutsättningar. Detta gäller i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål, eller i den mån den skyldighet som avses i artikel 14.1 sannolikt kommer att göra det omöjligt eller avsevärt försvårar upp-

fyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. Som nämns nedan kan bl.a. bestämmelser om tystnadsplikt utgöra sådana lämpliga skyddsåtgärder.

Närmare om sekretess och tystnadsplikt som skyddsåtgärder

Som nämnts ovan gör regeringen, i likhet med utredningen, bedömningen att bestämmelser om sekretess och tystnadsplikt utgör lämpliga skyddsåtgärder. Bestämmelser om sekretess finns i OSL och bestämmelser om tystnadsplikt för enskilda finns i en mängd lagar, t.ex. i patientsäkerhetslagen (2010:659), socialtjänstlagen (2001:453), skollagen (2010:800) och lagen (2003:389) om elektronisk kommunikation.

OSL är som nämnts tidigare ett omfattande regelverk. Lagen innehåller 44 kapitel och 20 av dessa innehåller bestämmelser till skydd för enskildas personliga eller ekonomiska förhållanden. Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt.

Forskare begär ofta ut uppgifter som omfattas av den s.k. statistiksekretessen enligt 24 kap. 8 § OSL. Detta är en av få bestämmelser som stadgar absolut sekretess. Sekretess gäller enligt bestämmelsen för sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Dessutom gäller motsvarande sekretess i annan jämförbar undersökning i en mängd andra statliga aktörers verksamhet (24 kap. 8 § andra stycket OSL och 7 § offentlighets- och sekretessförordningen [2009:641], OSF). Enligt dessa bestämmelser får dock uppgifter som behövs för forsknings- eller statistikändamål lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. För att detta rekvisit ska vara uppfyllt lämnas personuppgifter ofta ut för forskningsändamål i pseudonymiserad form, vilket i sig utgör ett starkt integritetsskydd.

Av 11 kap. 3 § OSL framgår vidare att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.

Om en enskild forskare begär ut uppgifter kan uppgifter ofta lämnas ut med stöd av ett särskilt förbehåll enligt 14 kap. 3 § OSL. I den paragrafen anges att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Den tystnadsplikt som uppkommer genom ett sådant förbehåll inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § TF och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen (13 kap. 5 § andra stycket OSL).

I 14 kap. 2 § OSL upplyses om att det i brottsbalken finns bestämmelser om ansvar för den som bryter mot förbud enligt OSL att röja eller utnyttja

uppgift och för den som bryter mot förbehåll som har gjorts med stöd av lagen vid utlämnande av uppgift. I 20 kap. 3 § brottsbalken anges att om någon röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller utnyttjar han olovligen sådan hemlighet, döms han eller hon, om inte gärningen är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Den som av oaktsamhet begår sådan gärning döms till böter. I ringa fall skall dock ej dömas till ansvar. Detta straffstadgande gäller även vid brott mot tystnadsplikt i enskild verksamhet enligt andra författningar än OSL.

Regeringen anser således, till skillnad från Datainspektionen och Luleå kommun, att regler om sekretess och tystnadsplikt innefattar ett starkt integritetsskydd och därmed är en sådan lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c. Regeringen delar vidare inte Stockholms universitets uppfattning att rätten till tillgång till allmänna handlingar i varje situation måste täcka in den rätt till information som den enskilde har rätt till enligt 14.1-4 för att undantaget i artikel 14.5 ska vara tillämpligt.

Vid godkännande enligt etikprövningslagen är det möjligt att ställa upp villkor om information till den registrerade

Att personuppgifter kan lämnas ut för att behandlas för forskningsändamål utan att artikel 14.1–4 i dataskyddsförordningen behöver tillämpas är ett undantag från informationsskyldigheten som tar sikte på den behandling som sker i samband med själva utlämnandet av personuppgifterna. Utredningen har föreslagit att det ska framgå av lagtexten att detta undantag inte ska hindra etikprövningsnämnderna från att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbehandling för forskningsändamål. Ett sådant villkor syftar således på den personuppgiftsansvariges skyldigheter i samband med den behandling som ska ske efter ett etikgodkännande. De två föreslagna bestämmelserna riktar sig alltså till två olika mottagare, dels den som ska lämna ut uppgifterna, dels etikprövningsnämnderna. Om etikprövningsnämnderna uppställer ett sådant villkor är det utredningens bedömning att det är fråga om en skyddsåtgärd för den registrerade.

Pensionsmyndigheten, som ställer sig tveksam till den tolkning som gjorts av undantagsbestämmelsen i artikel 14.5 c ovan, noterar att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet. Det är korrekt att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter. Undantaget i artikel 14.5 c tar dock uttryckligen sikte på såväl föreskrifter om erhållande som utlämnande av uppgifter. Även den utlämnande myndigheten kan ha fått uppgifterna från annat håll än den registrerade. Vidare har forskningsutföraren rätt att ta del av allmänna handlingar respektive uppgifter i allmänna handlingar enligt TF och OSL, dvs. det är fråga om föreskrifter om erhållande av uppgifter. Enligt artikel 14.5 c ”ska” punkterna 1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en

medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Frågan är då om det är möjligt för etikprövningsnämnderna att uppställa villkor om information till den registrerade i samband med ett godkännande enligt 6 § etikprövningslagen eller om artikel 14.5 c utgör ett hinder för uppställandet av ett sådant villkor? Regeringen, som delar utredningens uppfattning att ett sådant villkor utgör en skyddsåtgärd för den registrerade, anser att det är möjligt för etikprövningsnämnderna att uppställa ett sådant villkor om de bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1. Regeringen anser därför att något förtydligande om att etikprövningsnämnderna är oförhindrad att i att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbehandling för forskningsändamålet inte bör införas i svensk rätt.

Sammanfattande bedömning

Det är sammanfattningsvis regeringens uppfattning att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmelser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Regeringen gör vidare bedömningen att en etikprövningsnämnd har möjlighet att i samband med ett etikgodkännande uppställa villkor om lämnande av information till den registrerade om nämnden bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1.

13.3. Bör det föreskrivas undantag från rätten till tillgång?

13.3.1. Om innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör denne håller på att behandlas och i så fall få tillgång till personuppgifterna samt information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en ”rätt till tillgång”. Motsvarande rättighet i dataskyddsdirektivet och PUL har benämnts som en rätt till registerutdrag.

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska bekräfta om personuppgifter behandlas och i så fall förse denne med en kopia av uppgifterna, samt viss angiven information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat och detta inte inverkar menligt på andras rättigheter och friheter. Rättigheten bör kunna utövas av den registrerade med rimliga intervall.

Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess upprepade art, får den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska kunna visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5).

En motsvarande rättighet reglerades i artikel 12 i dataskyddsdirektivet och genomfördes genom 26 § PUL. Dataskyddsförordningens reglering innebär, i jämförelse med dessa bestämmelser, en utökad rätt till information om följande: lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya i förhållande till nuvarande reglering.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3).

Någon motsvarande angiven tidsgräns fanns inte angiven i dataskyddsdirektivet, som endast angav att informationen skulle ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § PUL angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

13.3.2. Det bör inte föreskrivas undantag från rätten till tillgång

Regeringens bedömning: Något undantag från den registrerades rätt till tillgång enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning.

Vetenskapsrådet delar inte utredningens uppfattning att den registrerades rätt till tillgång alltid bör respekteras när forskaren inte har uppgift om forskningspersonens identitet men kan identifiera denne med hjälp av kompletterande information som forskningspersonen själv lämnar. I många forskningsprojekt, särskilt i de som bygger på registerbaserad information, saknar den som utför forskningen uppgift om vilka forskningspersonerna är. Vetenskapsrådet anser att detta är en del av det integritetsskydd som finns för forskningspersonerna och är av betydelse för att forsk-

ningen ska kunna utföras på ett objektivt och opartiskt sätt. Vetenskapsrådet saknar en analys av vad möjligheten till registerutdrag i dessa situationer får för konsekvenser för forskningsutföraren, för den forskningsperson som vill få tillgång till uppgifterna och för de övriga forskningspersoner som kan komma att behöva identifieras för att ge den som efterfrågar det tillgång. Vetenskapsrådet saknar en djupare analys av varför utredningen föreslår att möjligheten till undantag från rätten till tillgång inte ska utnyttjas.

Göteborgs universitet har anfört att utredningens tolkning, att den personuppgiftsansvarige skulle kunna neka den registrerade tillgång i de fall som uppgifterna är pseudonymiserade, strider mot den gängse tolkningen där uppgifter fortsatt utgör personuppgifter så länge som det är möjligt att koppla en person till en uppgift. Göteborgs universitet konstaterar att pseudonymisering innebär att det de facto med hjälp av en kodnyckel är möjligt att koppla ihop individ till uppgift. Kodnyckeln kan förvaras såväl hos den personuppgiftsansvarige som hos någon annan. Oavsett detta förändras inte statusen avseende uppgifterna och uppgifterna utgör fortsatt personuppgifter. Forskningsaktören kan alltid, i de fall som kodnyckeln är förvarad hos annan offentlig forskningsaktör, begära tillgång till specifik kodnyckel med hänvisning till offentlighetsprincipen. Om det efter sekretessprövning skulle visa sig att det saknas stöd för ett nekande i utlämnandefrågan ska kodnyckeln skyndsamt lämnas ut i enlighet med gängse regler. Det finns således långtgående rättsliga möjligheter för forskningsaktören att ges tillgång till kodnyckeln. Detta lämnar utrymme för frågor i vad mån den registrerade vid en förfrågan om rätt till tillgång (registerutdrag) kan ställa krav på att forskningsaktören ska vidta de beskrivna åtgärderna för att tillmötesgå den registrerade i fråga om rätt till tillgång. I de fall som kodnyckeln är förvarad av forskningsaktören själv, finner universitetet, att det i realiteten inte finns något hinder för identifiering av den registrerade i fråga om rätt till tillgång.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Statistiska centralbyrån rekommenderar att de resonemang som förs kring rätten till tillgång avseende pseudonymiserade uppgifter i de fall kodnyckel finns bevarad hos den personuppgiftsansvarige förtydligas då avsnittet är svårtolkat.

Läkemedelsindustriföreningen (LIF) håller med om att det kan tänkas inverka negativt på klinisk forskning eller den registrerade, om den registrerade kan få tillgång till de uppgifter som behandlas. LIF anser dock att lagstiftaren borde tydliggöra att all utlämning av information till den registrerade bör vara undantagen från informationsrätten vid klinisk forskning eftersom sådan utlämning alltid riskerar integriteten i studien (och därmed dess vetenskapliga värde). En personuppgiftsansvarig kan visserligen motsätta sig utlämning med hänvisning till att denne inte känner till vilka personuppgifter som härrör till den registrerade eftersom uppgifterna i en klinisk läkemedelsprövning alltid är kodade (se artikel 11.2 i GDPR), men vad händer om den registrerade först vänder sig till behandlande läkare och begär att få ut kodnyckeln och sedan till läkemedelsföretaget med tillhandahållande av kodnyckeln och begär att få ut sina uppgifter, undrar

LIF.

Skälen för regeringens bedömning: Rätten till tillgång gäller inte om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade, eller på annat sätt kodade, uppgifter. Pseudonymisering är, som framgår av avsnitt 9, en central skyddsåtgärd vid personuppgiftsbehandling för forskningsändamål. I många fall när den personuppgiftsansvarige behandlar personuppgifter för forskningsändamål och inte kan identifiera den registrerade för att kunna lämna ett registerutdrag kommer denne således inte heller att vara skyldig att göra det, i enlighet med den direkt tillämpliga artikel 11. Vetenskapsrådet och Göteborgs universitet har som skäl för ett undantag från rätten till tillgång anfört att den personuppgiftsansvarige har långtgående möjligheter att identifiera den registrerade även om uppgifterna är pseudonymiserade eftersom kodnyckeln finns kvar. Kodnyckeln kan förvaras såväl hos forskningshuvudmannen som hos annan aktör, t.ex. en registerhållande myndighet. I båda fallen krävs dock att kodnyckeln förvaras separerat från de pseudonymiserade personuppgifterna.

Av artikel 11 i förordningen framgår att om de personuppgifter som behandlas av den personuppgiftsansvarige inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige ska därmed inte vara skyldig att inhämta ytterligare uppgifter för att identifiera den registrerade utöver de pseudonymiserade uppgifter som behandlas. I de fall kodnyckeln finns hos den personuppgiftsansvarige blir det dock inte fråga om ett behov av att inhämta ytterligare information, även om uppgifterna hålls separerade. I ett sådant fall har den personuppgiftsansvarige den information som behövs för att kunna identifiera den registrerade och kan tillgodose den registrerades rätt till tillgång. Det är regeringens uppfattning att det i dessa fall inte finns något behov av att göra undantag från rätten till tillgång.

I andra situationer, där den personuppgiftsansvarige kan identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sin rättighet, gör regeringen, till skillnad från Vetenskapsrådet, bedömningen att denna rättighet kan och bör respekteras. Ett utövande av rättigheten kan i dessa situationer inte anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och därmed motivera ett undantag enligt kraven i artikel 89.2. Det är också regeringens uppfattning att rätten till tillgång är en viktig central rättighet som ger den registrerade kontroll över sina uppgifter och att den därför bör respekteras.

I samband med t.ex. klinisk forskning kan det dock tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få tillgång till de uppgifter som behandlas, vilket också framhålls av

Läkemedelsindustriföreningen. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om med anledning av pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter omfattas som regel av sekretess med stöd av 25 kap. OSL. Den

enskilde har t.ex. i motsvarande situation i samband med sjukvård inte alltid en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL). Får en myndighet i sin forskningsverksamhet en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos forskningsutföraren (11 kap. 3 § OSL). Att det enligt 18 kap. 9 § OSL kan gälla sekretess för t.ex. en kodnyckel om den används för att pseudonymisera sekretessbelagda uppgifter har vidare redovisats i avsnitt 9.4.

I dataskyddslagen finns ett undantag från rätten till tillgång enligt artikel 15 som är tillämpligt i dessa fall. Enligt 5 kap. 1 § dataskyddslagen ska artiklarna 13–15 inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.

Dataskyddslagens bestämmelser är tillämpliga även vid personuppgiftsbehandling för forskningsändamål om inget annat framgår av annan författning. Detta innebär att i de fall sekretess gäller kommer undantagsbestämmelsen enligt dataskyddslagen att vara tillämplig även vid behandling för forskningsändamål och skyldigheten att ge den registrerade tillgång till information begränsas därmed. Något särskilt undantag för personuppgiftsbehandling för forskningsändamål behövs därför inte i detta sammanhang. Till skillnad från Läkemedelsindustriföreningen anser regeringen att detta gäller även vid klinisk forskning.

Regeringen anser sammanfattningsvis att något undantag från rätten till tillgång vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt utan att det generella undantag som finns i 5 kap. 1 § dataskyddslagen är tillräckligt.

13.4. Bör det föreskrivas undantag från rätten till rättelse?

13.4.1. Om innehållet i rättigheten

Vid all behandling av personuppgifter ska uppgifterna vara riktiga och, om nödvändigt, uppdaterade (artikel 5.1 d i dataskyddsförordningen). Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter som rör denne rättade utan onödigt dröjsmål samt att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande utlåtande (rätten till rättelse).

Även enligt dataskyddsdirektivet (artikel 6.1 d) och PUL (9 § g) krävdes att de personuppgifter som behandlades var riktiga och, om det var nödvändigt, aktuella. Det fanns även en rätt till rättelse i artikel 12 b i dataskyddsdirektivet, vilken genomfördes i PUL. Enligt denna reglering var den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med PUL eller föreskrifter som utfärdats med stöd av

PUL (28 §). Den nämnda rätten enligt dataskyddsförordningen för den registrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är således ny i förhållande till tidigare reglering.

Den tidigare rätten i 28 § PUL att utplåna uppgifter motsvaras i dataskyddsförordningen av rätten till radering av uppgifter (rätten att bli bortglömd) i artikel 17 dataskyddsförordningen. Den tidigare rätten i 28 § PUL att blockera uppgifter motsvaras i dataskyddsförordningen av rätten till begränsning av behandling i artikel 18 dataskyddsförordningen. Frågan om sistnämnda rätt ska begränsas behandlas i avsnitt 13.5.

13.4.2. Det bör inte föreskrivas undantag från rätten till rättelse

Regeringens bedömning: Något undantag från den registrerades rätt till rättelse enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att den registrerades rätt till rättelse inte ska gälla för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Bland dessa återfinns Vinnova, Kungl. Vetenskapsakademien och Sveriges Kommuner och

Landsting.

Riksarkivet ser positivt på förslaget om undantag från rätten till rättelse för personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning. För att tydliggöra skillnaden mellan regleringen i dataskyddsförordningen och den arkivrättsliga regleringen föreslår Riksarkivet att termen bevaras i förslaget till forskningsdatalag ersätts med behandlas.

Stockholms universitet instämmer i utredningens förslag, men noterar samtidigt att det kommer att kräva en infrastruktur för lagring av data som möjliggör verifiering vid olika tidpunkter som flertalet lärosäten inte äger i dagsläget. Universitetet anser att kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag. Stockholms universitet noterar vidare att motsvarande diskussion av rätten att bli raderad saknas i betänkandet. Det framstår dock som uppenbart att även rätten att bli raderad måste sättas i relation till behovet av att kunna verifiera forskningsresultat och att bevara material i syfte att uppnå nya, framtida forskningsresultat. Universitetet föreslår därför att sådana behov tydligt ska framhållas av lagstiftaren i förarbetena till och innehållet i den nationella lagstiftningen.

Pensionsmyndigheten har inte funnit anledning att avstyrka utredningens förslag men anser att följande kan beaktas under den fortsatta beredningen. När det gäller rätten till rättelse noterar Pensionsmyndigheten att det följer redan av artikel 5 i förordningen att den personuppgiftsansvarige ska se till att personuppgifter som behandlas är korrekta och, om nöd-

vändigt, uppdaterade. Förordningen lämnar inte något utrymme för nationella undantag från principen om korrekthet, varför ett undantag från artikel 16 inte fråntar den personuppgiftsansvarige ansvaret för att vidta åtgärder för att se till att felaktiga uppgifter rättas eller raderas. Pensionsmyndigheten anser således att det föreslagna undantaget i praktiken kan antas få liten eller ingen betydelse för de personuppgiftsansvariga.

Göteborgs universitet konstaterar att den aktuella lagstiftningen är subsidiär till arkivlagstiftningen vilket innebär att en sådan regel måste anses vara överflödig. Kungl. Tekniska högskolan (KTH) anser att formuleringen ”… dokumentera utförd forskning” är något missvisande. Även om intentionen är att inte göra någon åtskillnad mellan privat- och offentlig sektor, bör ett förtydligande göras att detta inte gäller för myndigheter. De typfall som utredningen beskriver avser när ett forskningsprojekt är avslutad. För en forskningsaktör inom den offentliga sektorn kan handlingarna bli arkiverade.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till förslaget om att den registrerades rätt till rättelse av personuppgifter begränsas i den föreslagna forskningsdatalagen. Den registrerades intressen i nämnda avseenden bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Datainspektionen avstyrker de förslag som rör undantag från de registrerades rättigheter. Utredningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registrerade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Karolinska institutet noterar att effekten av regeringens bedömning att det inte bör föreskrivas något undantag från den registrerades rätt till rättelse vid behandling av personuppgifter för forskningsändamål är att det kommer att krävas att forskningsutföraren inför en rutin som säkerställer arkivering av data så snart en forskningsstudie används som underlag för en publikation. Karolinska institutet noterar vidare, i likhet med Stockholms universitet, att det kommer att behövas en infrastruktur för arkivering av data som möjliggör versionskontrollhantering och spårning av ändringar. Detta är något som flertalet lärosäten inte äger i dagsläget. Regeringen bör överväga om ett uppdrag ska ges till någon myndighet i syfte att underlätta övergång till datahantering i en sådan infrastruktur, t.ex. genom instruktioner till de myndigheter som berörs.

Stockholms universitet framhåller att i förslaget saknas regler som fastställer undantag från artikel 16 om registrerades rätt till rättelse. En sådan regel är obehövlig enligt regeringen, eftersom de registrerade ändå inte har rätt till rättelse vad gäller arkiverade forskningsdata, till följd av undantaget för arkiv (s. 107). Möjligheten till undantag från artikel 16 i förordningen är dock vidare än så och omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan inverka menligt på

Prop. 2017/18:298 förutsättningarna att bedriva forskning och forskarnas möjlighet att för-

foga över sitt material. Frågan aktualiseras såväl vid kvantitativ forskning med stora datamängder som vid kvalitativ forskning, där förändringar i enskilda uppgifter kan spela stor roll. I synnerhet gäller detta om begäran om rättelse inkommer i ett skede då delar av analysen redan utförts. Stockholms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

Skälen för regeringens bedömning: Om personuppgifter behandlas för forskningsändamål får det, som framgått, enligt artikel 89.2 i dataskyddsförordningen föreskrivas undantag från rätten till rättelse. Detta får emellertid bara göras i den utsträckning som en sådan rättighet sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådana undantag krävs för att uppnå forskningsändamålet.

Utredningens argument för det föreslagna undantaget är att uppgifter som har behandlats för forskningsändamål och endast bevaras i syfte att dokumentera utförd forskning ska undantas från rätten till rättelse för att möjliggöra verifiering av forskningsresultat i arkiverat forskningsmaterial. Personuppgifter som löpande lagras och behandlas för forskningsändamål ska enligt utredningen inte omfattas av undantaget. Det är regeringens uppfattning att granskning av utförd forskning och bevarande av arkiverat forskningsmaterial inte innefattas i personuppgiftsbehandling för forskningsändamål så som avsetts i dataskyddsförordningen. Regeringen anser, i likhet med Göteborgs universitet och KTH, att den behandling av personuppgifter som åsyftas i utredningens förslag snarare är för arkivändamål. Behandling av personuppgifter för arkivändamål av allmänt intresse och de krav som finns i svensk rätt på bevarande för att tillgodose bl.a. forskningens behov, samt regeringens bedömningar och förslag i detta sammanhang, behandlas närmare i propositionen Ny dataskyddslag (prop. 2017/18:105).

När det gäller Stockholms universitets synpunkt att motsvarande diskussion kring begränsning av rätten att bli raderad saknas i betänkandet kan regeringen konstatera att det följer av artikel 89.2 att det inte föreligger någon möjlighet att begränsa den registrerades rätt att blir raderad vid behandling av personuppgifter för forskningsändamål i nationell rätt, utöver vad som redan framgår av det direkt tillämpliga undantaget i artikel 17.3 d, dvs. rätten att bli raderad ska inte gälla i den utsträckning som behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

När det gäller den bedömning som har gjorts i det remitterade utkastet till lagrådsremiss påpekar Stockholms universitet att rätten till rättelse omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan enligt Stockholms universitet inverka menligt på förutsättningarna att bedriva forskning och forskarnas möjlighet att förfoga över sitt material. Stockholms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

Som Pensionsmyndigheten påpekar gäller enligt artikel 5 i dataskyddsförordningen som en grundläggande princip för behandling av personuppgifter att uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Den personuppgiftsansvarige har ett ansvar enligt artikeln att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Denna princip måste följas även av forskningsutförare och under pågående forskning. Den gäller alltså uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas. Det ligger i forskningens intresse att den baseras på uppgifter som är riktiga för att de resultat som den resulterar i ska bli rättvisande och rätt slutsatser kunna dras. I vissa fall är t.ex. avsikten med en behandling att registrera uppgifter som kommit in. De behandlade uppgifterna kan då anses riktiga, i dataskyddsförordningens mening, om de stämmer överens med de inkomna uppgifterna oavsett hur dessa lämnade uppgifter förhåller sig till verkliga förhållanden. Det är i sådana situationer positivt även för forskningen att den registrerade kan begära rättelse av uppgifter som har förvanskats under den behandling som utförts inom ramen för forskningsprojektet. Rätten till rättelse enligt artikel 16 gäller uppgifter som är felaktiga. Som Forskningsdatautredningen konstaterar kan det föreligga olika uppfattningar mellan den personuppgiftsansvarige och den registrerade om vad som är en riktig uppgift. Om den personuppgiftsansvarige är en myndighet kan ett beslut där myndigheten tagit ställning till en begäran om rättelse överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen). Är det en privat forskningsutförare kan den registrerade ge in ett klagomål till tillsynsmyndigheten som bl.a. har befogenheten att förelägga om rättelse (artikel 58.2 g dataskyddsförordningen). Att den registrerade har en rätt till rättelse och utnyttjar den kan påverka bedrivandet av forskning. Förutsättningen för att ett undantag från rättigheten ska kunna föreskrivas i nationell rätt är dock enligt artikel 89.2 i dataskyddsförordningen att rättigheten sannolikt skulle göra det omöjligt eller mycket svårare att uppfylla ändamålen med behandlingen av personuppgifter, dvs. forskningsändamålet, och undantag krävs för att uppnå ändamålet. Även om rättigheten som

Stockholms universitet påpekar kan påverka bedrivandet av forskning är det regeringens bedömning att forskningen inte påverkas i sådan grad att förutsättningarna för att införa ett undantag är uppfyllda. Regeringen anser vidare att rätten till rättelse är av vikt för att den registrerade ska kunna ta till vara sina intressen. Regeringen anser därför att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

13.5. Bör det föreskrivas undantag från rätten till begränsning av behandling?

13.5.1. Om innehållet i rättigheten

Den registrerade har enligt artikel 18.1 rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om en av följande fyra förutsätt-

ningar är uppfyllda: a) den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, c) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Med begränsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

Rätten till begränsning av behandling syftar till att skydda den registrerades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Punkterna a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Punkterna b och c i samma artikel ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansvarige från att radera uppgifterna.

Av artikel 18.2 framgår att om behandlingen har begränsats enligt artikel 18.1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

Rätten enligt artikel 18 till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämndes som blockering och som genomfördes genom 28 § PUL (samt definierades i 3 § samma lag). I förhållande till dataskyddsdirektivet innebär artikel 18 en utvidgad rättighet för den registrerade.

13.5.2. Det bör inte föreskrivas undantag från rätten till begränsning av behandling

Regeringens bedömning: Något undantag från den registrerades rätt till begränsning av behandling enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen har föreslagit att när personuppgifter behandlas för forskningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta.

Den registrerade ska inte heller ha rätt till begränsning av behandling när

denne invänder mot behandlingen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Vinnova ser positivt på det föreslagna undantaget från rätten till begränsning av behandling.

Dock är Vinnova angelägen om att det föreslagna undantaget inte är ett generellt undantag utan ska prövas av personuppgiftsansvarig i varje enskilt fall för att säkerställa att kraven för nyttjande av undantaget är uppfyllda enligt utredningens intention.

Pensionsmyndigheten har inte funnit anledning att avstyrka utredningens förslag men anser att följande kan beaktas under den fortsatta beredningen. Rätten till begränsning av behandling bör för den personuppgiftsansvarige i praktiken innebära ett incitament att se till att den personuppgiftsbehandling som utförs lever upp till förordningens krav. Pensionsmyndigheten anser att rätten till begränsning fyller en viktig funktion i skyddet av enskildas rättigheter och friheter vid behandling av personuppgifter, samtidigt som rättigheten har en väldigt liten påverkan på sådan behandling av personuppgifter som utförs i enlighet med förordningens krav.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till förslaget. Den registrerades intressen i nämnda avseende bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Sveriges Kommuner och Landsting (SKL) anser att det kan finnas vissa tolkningssvårigheter beträffande vad som ska förstås med att forskningen försenas eller försvåras när det gäller inskränkningar i den registrerades rätt under själva behandlingen och kontroll av personuppgifter i forskningen. Förbundet anser därför att denna fråga bör klarläggas ytterligare.

Malmö högskola anser att det föreslås en begränsning av den registrerades rätt med hänvisning till artikel 89.2 i förordningen men utan att ta hänsyn till kraven i artikel 89.1. Datainspektionen avstyrker förslagen i forskningsdatalagen som rör undantag från de registrerades rättigheter. Utredningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registrerade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen av de remissinstanser som yttrat sig har kommenterat bedömningen specifikt.

Skälen för regeringens bedömning

Det saknas rättsliga förutsättningar för att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 b och c

Enligt artikel 18 b har den registrerade rätt att kräva av den personuppgiftsansvarige att behandlingen begränsas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället

begär en begränsning av deras användning. Enligt punkt c i samma artikel har den registrerade rätt att kräva att behandlingen begränsas om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Att hindra den personuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen, vilket utgör en förutsättning för att få göra undantag från rättigheten (artikel 89.2). Regeringen bedömer därför att det saknas rättsliga förutsättningar för att införa ett undantag från rätten till begränsning av behandling i fall som avses i artikel 18.1 b och c.

Det finns inget behov av att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 a och d

Enligt artikel 18.1 a har den registrerade rätt att kräva av den personuppgiftsansvarige att behandlingen begränsas om den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga. Den registrerades rätt till rättelse är mycket långtgående enligt dataskyddsförordningen och innebär bland annat en grundläggande skyldighet att utan dröjsmål rätta felaktiga uppgifter, varför den period som den personuppgiftsansvarige behöver för att kontrollera om uppgifterna är riktiga torde vara högst begränsad. Ett utövande av rättigheten kommer därför sannolikt inte att omöjliggöra eller kraftigt försvåra ett uppfyllande av forskningsändamålet som sådant. Något behov av att föreskriva ett undantag från rätten att begränsa behandling för forskningsändamål enligt artikel 18.1 a finns därmed inte.

Enligt artikel 18.1 d har den registrerade rätt att kräva att behandlingen begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Enligt sistnämnda artikel har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller led i myndighetsutövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Av artikel 21.6 framgår dock att om personuppgifterna behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Som regeringen närmare utvecklar i avsnitt 13.6.2 bedömer regeringen att det inte finns något behov av att begränsa den registrerades rätt att in-

vända mot behandling enligt artikel 21.1 då det redan av artikel 21.6 framgår att den registrerades rätt att invända mot behandling för forskningsändamål inte gäller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som framgår av avsnitt 7.2.2 är forskning som utförs av statliga universitet och högskolor och andra myndigheter normalt reglerad på ett sådant sätt att det är fråga om en uppgift av allmänt intresse i den mening som avses i artikel 6.1 e. Vidare görs i det avsnittet bedömningen att forskning som utförs med stöd av ett godkännande enligt etikprövningslagen och/eller tillstånd som krävs enligt annan lag också är att anse som en uppgift av allmänt intresse enligt artikel 6.1 e. Forskning som inte anses utgöra uppgift av allmänt intresse enligt nämnda artikel och som inte avser känsliga personuppgifter eller uppgifter om lagöverträdelser, och som därmed inte kräver tillstånd enligt lag, kan även utföras med samtycke som rättslig grund (artikel 6.1 a). Enligt regeringens bedömning är det därför ett begränsat antal personuppgiftsbehandlingar som kommer att komma ifråga för en sådan avvägning mellan den personuppgiftsansvariges tvingande berättigade skäl för behandlingen och den registrerades intressen enligt artikel 21.1. Den personuppgiftsansvariges kontroll av om dennes tvingande berättigade intressen väger tyngre än den registrerades bör kunna utföras relativt omgående. Mot denna bakgrund är det regeringens uppfattning att det är osannolikt att ett utövande av rätten att begränsa behandling under tiden den personuppgiftsansvarige kontrollerar om den dennes tvingande berättigade skäl väger tyngre än den registrerades intressen, rättigheter och friheter enligt artikel 21.1 kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet. Det är i stället intresseavvägningen som kommer att avgöra om behandlingen ska få fortsätta i syfte att uppfylla forskningsändamålet.

Av artikel 18.2 framgår vidare att om en behandling har begränsats enligt punkt 1 i samma artikel får personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Det åligger den personuppgiftsansvarige att kunna påvisa att skäl som rör ett viktigt allmänintresse föreligger.

Regeringen anser således sammanfattningsvis att något undantag från den registrerades rätt att begränsa behandling för forskningsändamål inte ska införas i svensk rätt.

13.6. Bör det föreskrivas undantag från rätten att göra invändningar?

13.6.1. Om innehållet i rättigheten

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. En motsvarande rättighet föreskrevs även i dataskyddsdirektivet, men genomfördes i

PUL endast beträffande direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invändningar utvidgas jämfört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

När personuppgifter behandlas för bl.a. forskningsändamål ska enligt artikel 21.6 den registrerade ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Det är inte uppenbart hur artikel 21.6 förhåller sig till artikel 21.1. Enligt artikel 21.1 ska den registrerade ha rätt att invända mot behandling som grundar sig på artikel 6.1 e eller f. Av artikel 21.6 framgår istället att om behandling sker för forskningsändamål ska den registrerade ha rätt att invända mot behandling om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Regeringen bedömer att artikel 21.6 innebär att om den registrerade invänder mot behandling för forskningsändamål så måste den personuppgiftsansvarige göra en prövning av om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om resultatet av denna bedömning blir att behandlingen inte är nödvändig så har den registrerade en rätt att invända mot behandlingen. Om så är fallet ska invändningen i nästa steg prövas enligt artikel 21.1 och den personuppgiftsansvarige måste visa avgörande berättigade skäl för att få fortsätta behandlingen. Om behandlingen däremot bedöms nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända och någon prövning enligt artikel 21.1 kommer inte ifråga. Vad som avses med begreppet ”nödvändig” har behandlats i avsnitt 7.1.2.

13.6.2. Det bör inte föreskrivas undantag från rätten att göra invändningar

Regeringens bedömning: Något undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Umeå universitet framhåller

att om en behandling av personuppgifter baseras på allmänt intresse som rättslig grund kan den registrerade inte invända mot behandlingen och forskningen kan därmed genomföras på ett förutsägbart sätt. Om behandlingen grundar sig på intresseavvägning har emellertid den registrerade en möjlighet att invända mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I enlighet med nuvarande synsätt kan en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad (se Datainspektionens informationsskrift om intresseavvägning). I utkastet till lagrådsremiss (s. 113) gör regeringen bedömningen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning om erforderliga säkerhetsåtgärder vidtas. Om denna bedömning från regeringen innebär en ändring i hur intresseavvägningen ska göras har Umeå universitet svårt att uttala sig om men universitetet vill likaväl understryka att intresseavvägning som rättslig grund kan innebära att förutsättningarna för forskningssamarbeten inte blir lika förutsägbara.

Skälen för regeringens bedömning: Enligt artikel 89.2 är det, som framgått, möjligt att i nationell rätt fastställa undantag från den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål i den utsträckning som rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådant undantag krävs för att uppnå forskningsändamålet.

Som redovisats ovan finns det en begränsning av den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål som följer direkt av artikel 21.6. Om sådan behandling är nödvändig för att utföra forskning av allmänt intresse har den registrerade inte rätt att invända mot behandling.

För sådan personuppgiftsbehandling som inte är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade en rätt att invända. Den personuppgiftsansvarige måste då, enligt artikel 21.1, kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I annat fall får den personuppgiftsansvarige inte längre behandla personuppgifterna.

Som framgår av avsnitt 7.2.2 är det regeringens bedömning att offentliga forskningsutförare som huvudregel kan använda sig av den rättsliga grunden allmänt intresse vid personuppgiftsbehandling för forskningsändamål. I sådana fall har den registrerade inte rätt att invända mot sådan behandling enligt 21.6 och någon avvägning enligt artikel 21.1 blir inte aktuell. För privaträttsliga forskningsutförare som har fått de tillstånd som krävs för ett forskningsprojekt, enligt t.ex. etikprövningslagen för behandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser, anser regeringen att grunden för behandlingen är fastställd i enlighet med svensk rätt på ett sådant sätt att de kan tillämpa den rättsliga grunden allmänt intresse. Detta innebär att den registrerade inte heller då har en rätt att invända mot behandling enligt artikel 21.6. Något behov av undantag från artikel 21 finns därmed inte för dessa situationer.

Vad som återstår är då de behandlingar av personuppgifter som avser andra slags uppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser och som utförs av privata forskningsutförare med stöd av den rättsliga grunden intresseavvägning. Den registrerade kan i ett sådant fall invända mot behandling av personuppgifter för forskningsändamål eftersom denna situation inte omfattas av artikel 21.6, och då ska en avvägning enligt artikel 21.1 göras. Forskningsutföraren ska då kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Som framgår av avsnitt 7.2.3 är det regeringens uppfattning att presumtionen är att forskning är en uppgift av allmänt intresse och att det därmed är fråga om ett berättigat intresse. Det finns därmed stora möjligheter att behandla personuppgifter efter en intresseavvägning under förutsättning att erforderliga säkerhetsåtgärder vidtas. Forskningsutföraren har enligt artikel 21.1 att bedöma om det berättigade intresset som denne grundar sin behandling på från början är avgörande och väger tyngre i det enskilda fallet. I de fall det inte väger tyngre än den registrerades intressen, rättigheter och friheter ska forskningen inte få utföras.

Umeå universitet ifrågasätter om bedömningen i utkastet till lagrådsremiss, avseende möjligheterna att i detta sammanhang behandla personuppgifter efter en intresseavvägning, innebär en ändring i hur intresseavvägningen ska göras och hänvisar till Datainspektionens informationsskrift om intresseavvägning där det framgår att en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad. Datainspektionens informationsskrift rör intresseavvägning generellt och behandlar inte specifikt forskningsändamål. Som framgår av avsnitt 7.1.3 har Artikel 29gruppen uttalat beträffande intresseavvägning att vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse kan uppstå nämner Artikel 29-gruppen behandling för bl.a. forskningsändamål.

Det är sammanfattningsvis regeringens bedömning att rätten att göra invändningar enligt artikel 21 inte kan anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Det är vidare regeringens bedömning att rätten att invända mot behandling är en viktig rättighet för den registrerade och därför bör finnas i de fall den är tillämplig vid behandling av personuppgifter för forskningsändamål.

Regeringen anser således att något undantag från rätten att invända mot personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

14. Behöver ytterligare anpassningar göras i etikprövningslagen?

14.1. Inga ytterligare anpassningar behöver göras i etikprövningslagen

Regeringens bedömning: Resterande bestämmelser i lagen om etikprövning av forskning som avser människor behöver inte anpassas med anledning av EU:s dataskyddsförordning.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Enligt Karlstads universitet skulle en direkt hänvisning till dataskyddsförordningen i 6 § etikprövningslagen kunna underlätta förståelsen för att reglerna i dataskyddsförordningen alltid måste tillämpas även i de fall där ett forskningsetiskt godkännande har inhämtats för ett forskningsprojekt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen, bland annat Regionala etikprövningsnämnden i Lund, eller har inget att invända. Stockholms universitet anför att för att etikprövning enligt etikprövningslagen ska kunna fylla sin funktion, som en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för andra forskningsändamål än klinisk läkemedelsprövning enligt dataskyddsförordningen, är det viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Det måste med andra ord säkerställas att allt som räknas som forskning enligt dataskyddsförordningen också räknas som forskning enligt definitionen i etikprövningslagen. Annars kan viss personuppgiftsbehandling för forskningsändamål som enligt dataskyddsförordningen måste omfattas av sådan skyddsåtgärd för att få utföras falla utanför etikprövningslagens tillämpningsområde. Detta skulle innebära att dessa behandlingar inte skulle få utföras enligt dataskyddsförordningen (såvida de inte skulle omfattas av andra skyddsåtgärder som uppfyller förordningens krav). Enligt Forskningsdatautredningen bör forskningsbegreppet (inom den kompletterande nationella dataskyddslagstiftningens tillämpningsområde) avgränsas på följande vis: ”Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå” (s. 97). För att uppnå den nivå av harmoni som krävs för att regleringen ska fungera som avsett föreslår Stockholms universitet att etikprövningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med denna avgränsning.

Regionala etikprövningsnämnden i Umeå påpekar att Forskningsbegreppet inte har definierats i förordningen men att det av skäl 159 framgår att man har tänkt sig en mycket vid tolkning som även omfattar exempelvis teknisk utveckling och demonstration och studier av allmänt intresse inom folkhälsoområdet. Som kontrast till detta kan man ställa etikprövningslagens definition som är tämligen snäv och utesluter till exempel kvalitetssäkring, resultatuppföljning och studentarbeten. Om man inte gör något åt detta anser etikprövningsnämnden att det kommer att bli oklart hur man ska tillämpa bestämmelserna om ändamålsbegränsning (art. 5.1 b), rättslig grund (art. 6.1 e), behandling av känsliga personuppgifter (art. 9.2 g-j) och undantag (art. 89).

Högskolan i Borås konstaterar att i utkastet till lagrådsremiss utvecklar inte regeringen sin syn på definition av ”forskningsändamål” utan hänvisar till dataskyddsförordningens definition. Regeringen föreslår vidare etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter. I etikprövningslagen finns en definition av ”forskning”. Högskolan önskar framföra vikten av ett sammanhållet förändringsarbete avseende lagar och förordningar med anledning av att dataskyddsförordningen träder i kraft.

Sveriges lantbruksuniversitet efterfrågar vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling och framför att det synes vara en av förändringarna i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete att definiera forskning. Att i etikprövningslagen definiera forskning är välkommet – men den definitionen har i sig ett oklart rekvisit i det att den talar om ”[…]samt utvecklingsarbete på vetenskaplig grund,[…]” som något som ska ses som forskning. Då denna definition synes vara så nära vi kommer att komma en definition av forskningsändamål, utan att den uttryckligen gör anspråk på att vara den definitionen i förhållande till dataskyddsförordningen, är det angeläget att det blir så tydligt som möjligt vad som utgör det, för att undvika att vi tillämpar privilegierna i dataskyddsförordningen på ett felaktigt sätt. För SLU:s del innebär det framförallt osäkerhet i hur vi ska betrakta vårt uppdrag att bedriva fortlöpande miljöanalys enligt 1 kap. 1a § förordning (1993:221) för Sveriges lantbruksuniversitet. Detta synes kunna rymmas under definitionen av forskning enligt den nya lydelse i etikprövningslagen som föreslås i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete, men är ändå särreglerat från forskningsuppdraget i förordningen för Sveriges lantbruksuniversitet. Den ökade tvärvetenskapligheten på området när det utvecklas infrastruktur för forskning gör att detta är relevant för SLU att få belyst, även om det är en mycket specifik fråga.

Skälen för regeringens bedömning: I avsnitt 12 har regeringen föreslagit att definitionen av behandling av personuppgifter i 2 § etikprövningslagen ska ändras genom att hänvisningen till 3 § PUL ska bytas ut mot en hänvisning till artikel 4.2 i dataskyddsförordningen. I nämnda avsnitt föreslås vidare att tillämpningsområdet för etikprövningslagen enligt 3 § ska utökas med anledning av att dataskyddsförordningens definition av särskilda kategorier av personuppgifter (känsliga personuppgifter) är vidare än dataskyddsdirektivets och PUL:s definitioner samt att hänvisningarna till PUL i den paragrafen ska tas bort. Regeringen har i avsnitt 13.2 föreslagit att 12 § etikprövningslagen, som reglerar att person-

uppgifter får lämnas ut för att användas i forskning om hinder inte föreligger på grund av regler om sekretess och tystnadsplikt, ska upphävas. Som framgår av det avsnittet anser regeringen att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser därför i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmelser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Det är regeringens bedömning att övriga bestämmelser i etikprövningslagen är förenliga med dataskyddsförordningen.

Karlstads universitet önskar en förtydligad koppling till dataskyddsförordningen i 6 § etikprövningslagen. Av sista meningen i 6 § framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. Detta innebär enligt förarbetena att ett godkännande vid etikprövning inte alltid är en tillräcklig förutsättning för forskningens bedrivande. Forskning som har etikgodkänts måste ändå vara förenlig med bland annat dataskyddsförordningens bestämmelser, i de delar där någon tillämplig kompletterande särreglering inte förekommer.

Detta förhållande torde enligt Karlstads universitet bli ännu mer betydelsefullt när dataskyddsförordningen börjar tillämpas, eftersom dataskyddsförordningen till skillnad från PUL inte är subsidiär i förhållande till etikprövningslagen. Regeringen instämmer i stort i det resonemang Karlstad universitet för i sitt yttrande men anser inte att en uttrycklig hänvisning till dataskyddsförordningen bör införas i den aktuella bestämmelsen. Dataskyddsförordningen är direkt tillämplig i Sverige och jämställs i den svenska rättsordningen med en lag. Att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning gäller för all forskning som etikprövningslagen omfattar, inte bara personuppgiftsbehandling för forskningsändamål, vilket innebär att det är ett stort antal författningar som kan komma ifråga utöver dataskyddsförordningen. Att enbart hänvisa till dataskyddsförordningen riskerar därför att bli missvisande i sammanhanget.

Stockholms universitet och Regionala etikprövningsnämnden i Umeå framhåller att det är viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Stockholms universitet föreslår därför att etikprövningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med den avgränsning som förts fram av Forskningsdatautredningen. I etikprövningslagen definieras forskning idag som vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Regeringen kan konstatera att forskning inte definieras i dataskyddsförordningen, men att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning i förordningen (skäl 159) och att förordningen även ska omfatta historiska forskningsändamål (skäl 160). Av dessa skäl kan utläsas att inom begreppet vetenskapliga forskningsändamål ska inordnas t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning, privatfinansierad forskning och studier som utförs av ett allmänt intresse inom folkhälsoområdet. När det gäller historiska forskningsändamål anges forskning för

historiska och genealogiska ändamål som exempel. Det är regeringens uppfattning att grundforskning, tillämpad forskning och privatfinansierad forskning samt forskning för historiska och genealogiska ändamål tydligt omfattas av etikprövningslagens definition av forskning. Beträffande teknisk utveckling och demonstration bör sådan verksamhet kunna inordnas inom ramen för forskningsdefinitionen genom formuleringen om utvecklingsarbete på vetenskaplig grund, i den mån känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas i sådan forskningsverksamhet. Vetenskapliga studier som utförs av ett allmänt intresse inom folkhälsoområdet kan enligt regeringens mening inte anses utgöra annat än sådan forskning som omfattas av etikprövningslagens definition. Det är regeringens uppfattning att det är möjligt att det skulle kunna förekomma situationer då etikprövningslagens definition av forskning inte fullt ut täcker vad som avses med forskningsändamål enligt dataskyddsförordningen, mot bakgrund av att dataskyddsförordningen inte har en tydlig definition utan enbart en riktlinje om att tolka begreppet vitt och några få exempel på vad som ska inordnas. Vilka dessa situationer skulle kunna vara har dock regeringen inte kunnat utröna, utan det får rättstillämpningen utvisa liksom behov av eventuella ytterligare lagstiftningsåtgärder.

Som framgått ovan för Forskningsdatautredningen ett resonemang kring en alternativ definition av forskning i sitt delbetänkande, vilken formulerades som ”vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå”. Utredningen föreslog dock ingen ändring i etikprövningslagen. Det saknas därför tillräckligt beredningsunderlag för en sådan justering i detta lagstiftningsärende. Därtill pågår redan en översyn av etikprövningslagen. Som Sveriges lantbruksuniversitet påpekar i sitt remissyttrande har bl.a. definitionen av forskning i 2 § etikprövningslagen setts över av Utredningen om översyn av etikprövningen, som i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104) har föreslagit en ändrad definition. Betänkandet bereds för närvarande inom Regeringskansliet. Universitetets önskan om vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling kommer att behandlas inom ramen för det lagstiftningsarbetet.

14.2. Rättsligt stöd för personuppgiftsbehandling i etikprövningsnämndernas verksamhet

Även etikprövningsnämndernas personuppgiftsbehandling behöver ha rättsligt stöd i dataskyddsförordningen och tillämplig nationell rätt. Den personuppgiftsbehandling som etikprövningsnämnderna utför i sin verksamhet utgör enligt regeringens bedömning inte behandling för forskningsändamål, så som begreppet är avsett att tolkas enligt dataskyddsförordningen. Personuppgiftsbehandling i etikprövningsnämndernas verksamhet omfattas i stället av regleringen i dataskyddsförordningen och dataskyddslagen.

15. Vilka behov finns det av sektorslagstiftning på forskningsområdet?

15.1. Det behövs för närvarande inte någon forskningsdatalag

Regeringens förslag: En bestämmelse om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, ska föras in i dataskyddslagen.

Regeringens bedömning: Utöver förslaget ovan är det för närvarande tillräckligt att etikprövningslagen och de befintliga registerförfattningarna på forskningsområdet anpassas till EU:s dataskyddsförordning. Det bör i nuläget inte införas någon ytterligare lag som kompletterar EU:s dataskyddsförordning vid personuppgiftsbehandling för forskningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att en ny lag som kompletterar dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål, forskningsdatalagen, ska införas.

Remissinstanserna: Majoriteten av remissinstanserna som yttrat sig i frågan tillstyrker eller ställer sig positiva till införandet av en särskild forskningsdatalag. Datainspektionen konstaterar att dataskyddsförordningen är direkt tillämplig men har en direktivliknande karaktär, dvs. den kräver i vissa fall kompletterande nationell lagstiftning. Om det inte säkerställs att särskild nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, finns det en risk för att behandling av personuppgifter för forskningsändamål inte kan utföras.

Uppsala universitet påpekar att genomförandet av den direktivliknande dataskyddsförordningen leder till ett mycket komplext rättsligt system där

EU-förordningen ska tillämpas parallellt med svensk lagstiftning som i sin tur är subsidiär i flera led.

Försvarsmaktens uppfattning är att svensk lagstiftning bör vara tydlig och överskådlig vilket underlättar tillämpningen. Försvarsmakten gör bedömningen att införandet av en ny separat forskningsdatalag som komplement till den föreslagna dataskyddslagen riskerar att få motsatt effekt och av det skälet förordar Försvarsmakten att innehållet i föreslagen dataforskningslag istället inarbetas i den föreslagna dataskyddslagen. Västerbottens läns landsting anser att de förändringar som föreslås bör gå att inrymma i den generella lagstiftningen i stället för att skapa en egen lag.

Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga synpunkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Ingen remissinstans invänder mot den lagtekniska bedömning som görs att en särskild forskningsdatalag endast skulle komma att innehålla ett fåtal bestämmelser, varav några skulle bli

av upplysningskaraktär. Bland de som ställer sig positiva till förslagen och bedömningarna finns Luleå kommun, Högskolan i Borås, Karlstads universitet, Karolinska institutet och Malmö universitet. Göteborgs universitet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsremiss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intressen av att kunna använda personuppgifter och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Stockholms läns landsting anser att regeringen fört fram vägande skäl för att inte gå vidare med den bakomliggande utredningens förslag till forskningsdatalag. Mot bakgrund av de synpunkter som redovisas i utkastet till lagrådsremiss delar Arbetsgivarverket uppfattningen att en särskild forskningsdatalag inte bör införas i nuläget. Bland de som inte har några synpunkter på eller erinran mot bedömningen finns Justitiekanslern, Kammarrätten i Stockholm och Regionala etikprövningsnämnderna i Göteborg och Linköping samt Socialstyrelsen.

Regionala etikprövningsnämnden i Lund tillstyrker bedömningen i denna del av det skäl som anges i utkastet, nämligen att en sådan lagstiftning i stort skulle innebära en onödig dubbelreglering. Nämnden konstaterar dock att avståendet från ett införande av forskningsdatalag innebär ett bekymmer i fråga om privata forskare och vilken rättslig grund de kommer att kunna använda för sin personuppgiftsbehandling.

Flera remissinstanser, Kalmar läns landsting, Lunds universitet, Stockholms universitet, Vinnova, Sveriges lantbruksuniversitet, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Läkemedelsindustriföreningen och Sveriges Kommuner och Landsting (SKL), vidhåller sin tidigare redovisade positiva inställning till införandet av en särskild forskningsdatalag och de framhåller att en särskild forskningsdatalag skulle vara pedagogisk, bidra till tydlighet och underlätta för forskarna att tillämpa dataskyddsförordningen. SKL har dock inget att erinra mot att behövliga regler istället inarbetas i andra lagar om en ny forskningsdatalag bara skulle innehålla ett fåtal paragrafer, varav ett par skulle ha karaktären av upplysningsbestämmelser. Regionala etikprövningsnämnden i Umeå anser att lagstiftningen hade vunnit i klarhet om det hade funnits en forskningsdatalag eller ett avgränsat kapitel med motsvarande innehåll i dataskyddslagen. Västra Götalands läns landsting avstyrker regeringens bedömning i denna del och framhåller att det finns ett behov av att införa en forskningsdatalag för att undanröja oklarheter och gråzonsproblematik.

Skälen för regeringens förslag och bedömning

En forskningsdatalag skulle innehålla få bestämmelser

Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget att en ny forskningsdatalag ska införas. Regeringen har i tidigare avsnitt analyserat i vilken mån de möjligheter till nationell reglering som finns enligt dataskyddsförordningen när det gäller villkoren för behandling av personuppgifter för forskningsändamål kan och bör utnyttjas. Regeringen har då bedömt, mot bakgrund av remissutfallet avseende de enskilda bestämmelserna, att flera av de bestämmelser som utredningen har föreslagit ska ingå i en forskningsdatalag inte bör införas.

Mot den bakgrunden kan det övervägas om det är befogat att införa en forskningsdatalag eller om den eller de bestämmelser om behandling av personuppgifter för forskningsändamål som bedöms behövas bör placeras i andra lagar, t.ex. dataskyddslagen, som Försvarsmakten och Västerbottens läns landsting har föreslagit.

Som framgår av avsnitt 9.3 föreslår regeringen att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd). En motsvarande bestämmelse fanns i PUL, men då PUL har upphävts måste bestämmelsen föras in i en annan lag.

I avsnitt 10.3 har regeringen bedömt att etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning. Regeringen har vidare bedömt att redan regleringen i etikprövningslagen, med nödvändiga anpassningar till dataskyddsförordningen, måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j i dataskyddsförordningen. Det innebär att en bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag anges att känsliga personuppgifter med stöd av artikel 9.2 j i dataskyddsförordningen får behandlas, om behandlingen är nödvändig för andra forskningsändamål än klinisk läkemedelsprövning och om behandlingen har godkänts enligt etikprövningslagen, närmast får karaktären av en upplysningsbestämmelse.

I avsnitt 11.2 har regeringen gjort bedömningen att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen. Även i detta fall gör regeringen bedömningen att en bestämmelse i en ny forskningsdatalag som hänvisar till etikprövningslagen skulle ha karaktären av en upplysningsbestämmelse eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1.

Regeringen konstaterar att upplysningsbestämmelser bara bör införas om de har ett särskilt upplysningsvärde. Dataskyddsförordningen började tillämpas den 25 maj 2018 och PUL upphörde då att gälla. Regeringen konstaterar att en forskningsdatalag bara skulle innehålla dels bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd), dels ett par upplysningsbestämmelser.

Om en forskningsdatalag införs bedöms det därutöver behövas bestämmelser som reglerar lagens förhållande till dataskyddsförordningen, dataskyddslagen och annan nationell reglering som innehåller bestämmelser om personuppgiftsbehandling för forskningsändamål samt författningens tillämpningsområde. Innan regeringen tar ställning till om det finns skäl att införa en lag som huvudsakligen kommer att innehålla upplysningsbestämmelser bör frågan om vilket tillämpningsområde en sådan lag skulle ha, behandlas.

Frågor om det territoriella tillämpningsområdet

Vare sig Dataskyddsutredningen eller Forskningsdatautredningen har lämnat förslag om det territoriella tillämpningsområdet för dataskyddslagen respektive forskningsdatalagen. Två promemorior remitterades därför, dels promemorian Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39), dels Kompletterande promemoria till betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). På grundval av den förstnämnda promemorian har det i dataskyddslagen införts kompletterande bestämmelser om tillämpningsområdet för den lagen. I den andra promemorian föreslås en bestämmelse som innebär att forskningsdatalagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Det innebär att etableringslandsprincipen tillämpas och att principerna i dataskyddsförordningen och dataskyddslagen följs.

Majoriteten av de remissinstanser som yttrat sig tillstyrker, ställer sig positiva till eller har inte något att invända mot förslaget. Flera remissinstanser, som Forskningsrådet för hälsa, arbetsliv och välfärd (Forte),

Karlstads universitet, Lunds universitet, Mittuniversitet, Stockholms universitet, Centrala etikprövningsnämnden och Regionala etikprövningsnämnden i Umeå, har emellertid påpekat att det i promemorian föreslagna tillämpningsområdet innebär att det kommer att finnas en diskrepans i förhållande till etikprövningslagens tillämpningsområde. Det föreslagna tillämpningsområdet för forskningsdatalagen, som innebär att principerna i dataskyddsförordningen och dataskyddslagen ska följas, innebär att lagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behandlingen utförs inom ramen för verksamhet som bedrivs vid verksamhetsställen här i landet, oavsett var behandlingen av personuppgifter äger rum. Etikprövningslagen tillämpas i stället på forskning som ska utföras i Sverige (5 § etikprövningslagen). Skillnaden innebär således att forskningsdatalagen skulle bygga på var den personuppgiftsansvarige är etablerad och att behandling av personuppgifter som sker inom ramen för den verksamhet som den personuppgiftsansvarige bedriver skulle omfattas av lagen oberoende av var personuppgiftsbehandlingen faktiskt äger rum, medan regleringen i etikprövningslagen bygger på var forskningen som innefattar personuppgiftsbehandling faktiskt utförs.

I de allra flesta fall skulle den föreslagna bestämmelsen om forskningsdatalagens tillämpningsområde innebära att regleringen i den lagen och etikprövningslagen är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som sker inom ramen för forskningsverksamhet som bedrivs av en forskningsutförare som har verksamhetsställe i Sverige rent faktiskt äger rum utanför Sverige. Etikprövningslagen är då inte tillämplig. Även den motsatta situationen tas upp av remissinstanserna, dvs. att forskning som innefattar behandling av personuppgifter till någon del sker i Sverige men inte inom ramen för ett verksamhetsställe här. Då krävs ett etikgodkännande enligt etikprövningslagen men forskningsdatalagen är inte tillämplig. Det kan alltså förekomma

situationer då regleringen i lagarna inte är helt förenliga. För att åstadkomma att regleringen i lagarna är förenliga med varandra krävs en översyn av tillämpningsområdet för etikprövningslagen. Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvudmannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterligare övervägande behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle ske av forskning som ska utföras i Sverige. Ett beredningsunderlag för en anpassning av etikprövningslagen till principerna som gäller för tillämpningsområdet för dataskyddsförordningen och som föreslagits för den föreslagna forskningsdatalagen saknas i nuläget. En forskningsdatalag skulle således komma att ha ett tillämpningsområde som inte helt överensstämmer med tillämpningsområdet för etikprövningslagen, som lagen skulle hänvisa till.

I en situation där personuppgiftsbehandlingen i forskningsverksamhet som bedrivs vid ett verksamhetsställe i Sverige utförs utanför Sverige och forskningsutföraren inte kan få ett etikgodkännande för en behandling av känsliga personuppgifter eller ett tillstånd från Läkemedelsverket behöver den personuppgiftsansvarige förlita sig på samtycke från de registrerade enligt artikel 6.1 a i dataskyddsförordningen. Som framgår av avsnitt 7.2 bör dataskyddsförordningen normalt inte innebära något hinder för forskningsaktörer att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningsutförare.

Det bör i nuläget inte införas en forskningsdatalag

En särskild forskningsdatalag skulle visserligen, som ett antal remissinstanser påtalar, kunna skapa klarhet kring rättsläget nu när dataskyddsförordningen har börjat tillämpas och PUL har upphävts. En forskningsdatalag skulle emellertid som angivits endast komma att innehålla ett fåtal paragrafer, varav två bestämmelser har karaktären av upplysningsbestämmelser. Endast den bestämmelse om användningsbegränsning som har funnits i PUL behövs i sak (bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen). Det upplysningsvärde som upplysningsbestämmelserna skulle kunna ha uppväger dock enligt regeringen inte den förvirring som skulle kunna uppstå om den lag som innehåller upplysningsbestämmelserna inte har helt samma tillämpningsområde som de lagar som den hänvisar till. Den bestämmelse om användningsbegränsning som har funnits i PUL kan vidare med fördel placeras i dataskyddslagen, då den lagen har ett motsvarande tillämpningsområde som föreslogs i promemorian för forskningsdatalagen. I 4 kap. dataskyddslagen finns det bestämmelser om användningsbegränsningar vid behandling av personuppgifter för statistik- och arkivändamål. Det framstår som logiskt att det kapitlet kompletteras med en bestämmelse om användningsbegränsning vid behandling av personuppgifter för forskningsändamål.

Det är därför regeringens sammantagna bedömning att en särskild forskningsdatalag inte bör införas i nuläget. Flertalet remissinstanser har tillstyrkt, inte haft några synpunkter på eller erinran mot denna bedömning.

Det sagda innebär att när det gäller personuppgiftsbehandling för andra forskningsändamål än kliniska läkemedelsprövningar kommer PUL och etikprövningslagen att ersättas av dataskyddsförordningen, dataskyddslagen och en uppdaterad etikprövningslag.

När det gäller kliniska läkemedelsprövningar kommer PUL, etikprövningslagen och läkemedelslagen att ersättas av EU:s förordning om kliniska prövningar av humanläkemedel, den föreslagna lagen med kompletterande bestämmelser om etisk granskning till den nämnda EU-förordningen, en uppdaterad läkemedelslag samt dataskyddsförordningen och dataskyddslagen.

15.2. Sekretess ska gälla för uppgifter som behandlas i strid med personuppgiftsregleringen

Regeringens förslag: Sekretess ska gälla för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med etikprövningslagen i fråga om känsliga personuppgifter eller uppgifter om lagöverträdelser.

Regeringens bedömning: Den tystnadsplikt som följer av sekretessbestämmelsen bör inte inskränka den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Utredningen föreslår inte någon sådan bestämmelse. Remissinstanserna: Arbetsgivarverket och Arbetsförmedlingen tar upp behovet av att göra en ändring i 21 kap. 7 § OSL, utöver de ändringar i bestämmelsen som Dataskyddsutredningen föreslagit i sitt betänkande

SOU 2017:39. Enligt 21 kap 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Dataskyddsutredningen har i betänkandet föreslagit att bestämmelsen i 21 kap 7 § OSL i stället för att hänvisa till personuppgiftslagen, bör hänvisa till dataskyddsförordningen och dataskyddslagen. Eftersom 19 och 21 §§ PUL, i de delar som anger att känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen, enligt utredningens förslag i stället föreslås flyttas över till forskningsdatalagen, framhåller Arbetsgivarverket och Arbetsförmedlingen behovet av att det i 21 kap 7 § OSL införs en hänvisning även till forskningsdatalagen. Detta i syfte att undvika att sekretessbelagda känsliga personuppgifter lämnas ut för forskningsändamål utan att detta är förenligt med vad som anges i forskningsdatalagen.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag. I utkastet till lagrådsremiss fanns inte någon bedömning angiven.

Remissinstanserna: Datainspektionen är positiv till att sekretesskyddet bevaras men anser att det finns anledning att analysera vilka motsvarande

skyddsåtgärder som behövs när enskilda utförare av forskning behandlar personuppgifter. Lunds universitet anser att förslaget till ändring i offentlighets- och sekretesslagen är nödvändigt. Svenska Tidningsutgivareföreningen har inget att invända mot förslaget men framhåller att lagrådsremissen bör kompletteras med ett förtydligande att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande till medier som omfattas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).

Kungl. Tekniska högskolan (KTH) anser att hänvisningen till etikprövningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighets- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation, en behandling för forskningsändamål som inte har godkänts enligt etikprövningslagen, som avsikten är att bestämmelsen ska reglera. KTH framhåller dessutom att det i bestämmelsen även bör hänvisas till 3 § i etikprövningslagen.

Skälen för regeringens förslag: Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL. Det får numera anses fastslaget i praxis att det som ska bedömas är huruvida mottagarens avsedda behandling av de personuppgifter som begärs ut uppfyller kraven enligt PUL (HFD 2014 ref. 66). Eftersom PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen har det även gjorts en följdändring i 21 kap. 7 § OSL, som innebär att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

I propositionen Ny dataskyddslag konstaterade regeringen att det kommer att finnas andra författningar än dataskyddslagen i svensk rätt som innehåller bestämmelser om behandling av personuppgifter. Så var fallet redan tidigare, men bestämmelsen i 21 kap. 7 § OSL hänvisade i sin tidigare lydelse bara till PUL. Då Dataskyddsutredningen inte föreslagit att sekretessbestämmelsens tillämpningsområde ska utsträckas till att även omfatta t.ex. behandling av utlämnade uppgifter som kan antas strida mot registerförfattningar konstaterade regeringen i propositionen att konsekvenserna av en sådan utvidgning inte var utredda och regeringen lämnade därför inte något förslag till utvidgning av bestämmelsens tillämpningsområde i propositionen.

PUL innehöll bestämmelser som särskilt reglerade möjligheten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL).

Dataskyddsförordningen anger särskilda villkor som gäller vid behandling av personuppgifter för forskningsändamål, som t.ex. att sådan behandling ska omfattas av lämpliga skyddsåtgärder och att behandling av känsliga personuppgifter för sådant ändamål ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, dvs. behandlingen måste ha stöd i nationell rätt, och den måste innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Förordningen anger däremot inte mer preciserat

vilka skyddsåtgärder som ska tillämpas vid behandling av personuppgifter för forskningsändamål.

Den föreslagna dataskyddslagen innehåller inga bestämmelser som särskilt reglerar behandling av personuppgifter för forskningsändamål. Som regeringen närmare utvecklar i avsnitt 10.3 och 11.2 gör regeringen bedömningen att den reglering som finns i etikprövningslagen, som anger att forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bara får utföras om den har godkänts vid en etikprövning (se 3 och 6 §§etikprövningslagen) – med nödvändiga anpassningar till dataskyddsförordningen – ger det stöd som krävs i nationell rätt enligt dataskyddsförordningen för att behandling av sådana uppgifter ska vara tillåten. Regeringen gör därför i avsnitt 15.1 bedömningen att några bestämmelser som motsvarar 19 och 21 §§ PUL inte behöver överföras till en ny forskningsdatalag. Om en hänvisning till etikprövningslagens bestämmelser om krav på godkännande av forskning som innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inte tas in i 21 kap. 7 § OSL skulle det innebära en ändring i sak i förhållande till gällande rätt, på så vis att det sekretesskydd som gäller idag om det kan antas att en känslig personuppgift eller uppgifter om lagöverträdelser efter ett utlämnande kommer att behandlas för forskningsändamål utan ett godkännande enligt etikprövningslagen, inte längre skulle gälla. Regeringen anser därför, i linje med Arbetsgivarverkets och Arbetsförmedlingens synpunkter, att 21 kap. 7 § OSL bör ändras så att det ska gälla sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen.

KTH anser att hänvisningen till etikprövningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighet- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation som avsikten är att bestämmelsen ska reglera. KTH anser att det i 21 kap. 7 § OSL även bör hänvisas till 3 § etikprövningslagen.

Av 6 § etikprövningslagen framgår att forskning som avses i 3–5 §§ i den lagen bara får utföras om den har godkänts vid etikprövning. Bestämmelsen i 3 § anger att lagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Enligt 4 § ska lagen också tillämpas på forskning som innebär ett fysiskt ingrepp på en forskningsperson, utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Bestämmelsen i 5 § reglerar lagens geografiska tillämpningsområde. Mot bakgrund av att 21 kap. 7 § OSL reglerar sekretessen för personuppgifter, att 6 § etikprövningslagen innehåller ett krav på att forskning som avses i 3–5 §§ bara får utföras bara om den har godkänts vid en etikprövning och då det av dessa paragrafer enbart är 3 § som reglerar personuppgifter anser regeringen att det är tillräckligt att i 21 kap. 7 § OSL hänvisa till 6 § etikprövningslagen.

Hänvisningen innebär i praktiken att det gäller sekretess för känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, om det kan antas att sådana uppgifter efter ett utlämnande kommer att behandlas utan ett godkännande enligt 6 § etikprövningslagen.

Rätten att meddela och offentliggöra uppgifter

Sekretess innebär både tystnadsplikt och handlingssekretess (3 kap. 1 § OSL). Den tystnadsplikt som följer av en sekretessbestämmelse har inte företräde framför rätten enligt 1 kap. 1 § TF och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen (YGL) att meddela och offentliggöra uppgifter, om inte annat anges i TF, YGL eller OSL. Handlingssekretessen har dock alltid företräde framför rätten att meddela och offentliggöra uppgifter. Det kan således vara tillåtet att muntligen t.ex. lämna en uppgift till en journalist eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna en allmän handling som den sekretessbelagda uppgiften framgår av till t.ex. en journalist eller att t.ex. själv publicera handlingen.

Stor återhållsamhet ska iakttas när det övervägs om en inskränkning ska göras i rätten att meddela och offentliggöra uppgifter. Faktorer som bör beaktas vid sådana överväganden är bl.a. vilken styrka sekretessen har, om uppgiften har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.). Ändringen i 21 kap. 7 § OSL föreslås för att en ändring i sak inte ska uppstå i förhållande till vad som gällde fram till den 25 maj 2018 då dataskyddsförordningen började tillämpas, PUL upphävdes och följdändringen i 21 kap. 7 § OSL trädde i kraft. Regeringen har inte tidigare funnit skäl för att inskränka rätten att meddela och offentliggöra uppgifter när det gäller den tystnadsplikt som följer av bestämmelsen i 21 kap. 7 § OSL. Det finns inte skäl att frångå den bedömning som tidigare har gjorts. Denna rätt bör även fortsättningsvis ha företräde framför den tystnadsplikt som följer av den föreslagna bestämmelsen. Detta innebär, som Svenska Tidningsutgivareföreningen påtalar, att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande av uppgifter till medier som omfattas av TF eller YGL med stöd av rätten att meddela och offentliggöra uppgifter.

Hänvisningar till S15-2

  • Prop. 2017/18:298: Avsnitt 19.3

16. Anpassningar av vissa registerförfattningar

16.1. Lagen om rättspsykiatriskt forskningsregister ska anpassas till dataskyddsförordningen

16.1.1. Innehållet i lagen och Forskningsdatautredningens uppdrag

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §).

Bakgrunden till lagen var ett behov av förbättrade möjligheter till forsknings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV påtalade för regeringen under tidigt 1990-tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betänkandet Rättspsykiatriskt forskningsregister (SOU 1996:72). Regeringen anpassade förslagen i utredningens betänkande till PUL, vilken är baserad på det upphävda dataskyddsdirektivet. Lagen om rättspsykiatriskt forskningsregister är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet.

Lagen om rättspsykiatriskt forskningsregister innehåller bl.a. bestämmelser om för vilka ändamål registret får användas (3 §), vilka uppgifter som får finnas i registret (4–9 §§), vilka myndigheter som ska lämna uppgifter till registret (10 §), vilken information som ska lämnas till den registrerade (12 §), utlämnande av uppgifter från registret (13 §), sekretess (14 §), rättelse och skadestånd (15 §) och överklagande (16 §).

I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.

Enligt direktiven till Forskningsdatautredningen skulle utredningen undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag, föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen skulle börja tillämpas, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag. Utredningen har redovisat förslaget om en anpassning av lagen till dataskyddsförordningen i sitt delbetänkande SOU 2017:50 och det förslaget behandlas nedan. Den del av uppdraget som avser att analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag har redovisats den 5 juni 2018 i betänkandet Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Förslaget i det betänkandet behandlas inte i detta lagstiftningsärende.

16.1.2. Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om rättspsykiatriskt forskningsregister är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig tillstyrker allmänt utredningens förslag eller ser allmänt positivt på förslagen eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Endast några enstaka remissinstanser framför synpunkter på utredningens förslag till anpassning av lagen.

Centrala etikprövningsnämnden, Statens väg- och transportforskningsinstitut, Sveriges geologiska undersökningar och Verket för innovationssystem (Vinnova) tillstyrker förslagen till anpassningar av registerförfattningen. Även RMV ställer sig positivt till förslaget om anpassning av bestämmelserna i lagen men framhåller med avseende på utredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna:

Flertalet remissinstanser tillstyrker, har inga syn-

punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns lands-

ting, Västra Götalands läns landsting och Karlstads universitet. Ingen remissinstans ställer sig negativ till de föreslagna ändringarna i lagen och bedömningarna som gjorts i utkastet till lagrådsremiss.

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, som redogjorts för, enligt artikel 6.2 och 6.3 att behålla eller införa mer specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning i artikel 6.1 c och e.

Bedömningarna som gjordes vid införandet av lagen om rättspsykiatriskt forskningsregister baserades på dataskyddsdirektivet och PUL (se prop. 1998/99:72). Det var regeringens bedömning vid införandet av lagen om rättspsykiatriskt forskningsregister att den behandling av personuppgifter som lagen omfattade var nödvändig för att utföra en uppgift av viktigt allmänt intresse. Artikel 8.4 i dataskyddsdirektivet gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Beträffande ändamålet utvecklingsarbete anförde regeringen i propositionen som ligger till grund för lagen att det är av stor vikt att RMV har ett bra underlag för sitt arbete med uppföljning, utvärdering och kvalitetssäkring. Att RMV kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedömningar ansågs vara viktigt både för samhället och för de enskildas rättssäkerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt intresse att det motiverar ett undantag i enlighet med artikel 8.4 i dataskyddsdirektivet från förbudet mot behandling av känsliga personuppgifter. Regeringen gjorde även bedömningen att behandlingen av personuppgifter i enlighet med den föreslagna lagen i alla delar är förenlig med artikel 8 i Europakonventionen. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med lagen om rättspsykiatriskt forskningsregister är ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet.

RMV framhåller med avseende på Forskningsdatautredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas. I avvaktan på vidare beredning av Forskningsdatautredningens slutbetänkande, där utredningen redovisar sitt uppdrag att analysera det långsiktiga behovet av en särskild lag på området, finns det enligt regeringens uppfattning inte skäl att utifrån regleringen i dataskyddsförordningen nu göra någon annan bedömning än att ändamålen med lagen är ett viktigt allmänt intresse.

Registerlagen reglerar en uppgift av allmänt intresse. Som regeringen närmare kommer att redogöra för längre fram i detta avsnitt innehåller registerlagen huvudsakligen sådana särskilda bestämmelser som anpassar tillämpningen av bestämmelserna i dataskyddsförordningen och som den i den nationella rätten fastställda rättsliga grunden att utföra en uppgift av allmänt intresse får innehålla enligt artikel 6.3. Regeringens övergripande uppfattning är att regleringen är proportionell i förhållande till ändamålet. Regeringen delar därför utredningens bedömning att registerlagen utgör en sådan tillåten specifik nationell reglering för att närmare fastställa hur

förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Regleringen av personuppgiftsbehandling i registerlagen måste uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande analyseras registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

16.1.3. Lagens inledande bestämmelser bör behållas

Regeringens bedömning: De inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om rättspsykiatriskt forskningsregister anges att RMV får för de ändamål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. I andra stycket anges att RMV är personuppgiftsansvarigt för registret.

Den inledande paragrafens första stycke anger för vilken verksamhet lagen gäller. Det är regeringens uppfattning att bestämmelser i nationell kompletterande lagstiftning till dataskyddsförordningen som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Av 1 § framgår att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikeln framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i dataskyddsförordningen definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel 2.1 i registerlagen. Det är därför regeringens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten. I 1 § andra stycket lagen om rättspsykiatriskt forskningsregister anges att det är RMV som är personuppgiftsansvarigt för registret. 1 3 § anges att registret endast får användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Genom bestämmelserna om lagens tillämpningsområde och ändamålen för registret ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut den personuppgiftsansvarige direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas i sin helhet.

16.1.4. Hänvisningar till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om rättspsykiatriskt forskningsregister ska tas bort och, där det är lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 2 § i lagen om rättspsykiatriskt forskningsregister anges att PUL gäller vid behandling av personuppgifter för registret, om inget annat följer av lagen om registret. Med anledning av att

PUL upphävts när dataskyddsförordningen börjat tillämpas bör hänvisningen till PUL tas bort.

Vissa bestämmelser i registerlagen innehåller också hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till PUL avseende information som ska lämnas till den registrerade (12 §), i fråga om rättelse och skadestånd (15 §) samt hänvisningen till 26 och 28 §§ PUL i bestämmelsen om överklagande (16 §). Dessa hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen, se respektive avsnitt nedan.

16.1.5. Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen

Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om rättspsykiatriskt forskningsregister som tydliggör att lagen kompletterar dataskyddsförordningen.

Det ska också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forskningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte något annat följer av lagen om rättspsykiatriskt forskningsregister.

Utredningens förslag överensstämmer i sak med regeringens förslag.

Utredningens förslag till lagtext har formulerats på ett annat sätt än regeringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om rättspsykiatriskt forskningsregister införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock i likhet med utredningen att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör registerlagens förhållande till dataskyddsförordningen och det blir tydligt att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.

Dataskyddslagen kompletterar dataskyddsförordningen på en generell nivå i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om

rättspsykiatriskt forskningsregister bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte avvikande bestämmelser finns i lagen om rättspsykiatriskt forskningsregister. En bestämmelse som upplyser om detta bör införas i sistnämnda lag. I dataskyddslagen finns det generella bestämmelser som utgör tillåtna specificeringar av och undantag från dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Dataskyddslagens bestämmelser gäller därmed i den mån inte lagen om rättspsykiatriskt forskningsregister, eller annan författning, föreskriver annat. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i lagen som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forskningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om rättspsykiatriskt forskningsregister.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om rättspsykiatriskt forskningsregister förhåller sig till brottsdatalagen.

Brottsdatalagen ska gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den ska också gälla för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som 1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Rättsmedicinalverket ansvarar bl.a. för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål,

m.m., rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, verksamhet med utfärdande av sådana intyg som avses i lagen (2005:225 ) om rättsintyg i anledning av brott, rättsmedicinsk medverkan i övrigt på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen och rättskemiska och rättsgenetiska undersökningar. Myndigheten ska också ansvara för utvecklingsarbete och stöd åt forskning av betydelse för verksamheten (se 1 och 2 §§ förordningen [2007:976] med instruktion för Rättsmedicinalverket). Verksamheten bidrar till utredningen och lagföringen av brott och ger underlag för beslut om påföljder för brott. Rättsmedicinalverket har alltså vissa arbetsuppgifter som gör att brottsdatalagen blir tillämplig. Av de inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister framgår emellertid att den verksamhet lagen specifikt reglerar och som lagens tillämpningsområde är avgränsat till är verksamheten med förandet av det rättspsykiatriska forskningsregistret. Som nämnts får det rättspsykiatriska forskningsregistret endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin och Rättsmedicinalverkets utvecklingsarbete. Lagen om rättspsykiatriskt forskningsregister reglerar således inte den verksamhet hos Rättsmedicinalverket som det främst är aktuellt att brottsdatalagen kan bli tillämplig på. I brottsdatalagen anges vidare att om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla (1 kap. 5 §). Om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en författning som reglerar ett visst register gäller de i stället för bestämmelserna i brottsdatalagen. En bestämmelse som reglerar lagens förhållande till andra författningar finns således i brottsdatalagen. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om rättspsykiatriskt forskningsregister införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen.

16.1.6. Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om rättspsykiatriskt forskningsregister kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forskningsregistret får enligt första punkten endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller, enligt andra

punkten, för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete).

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gällde enligt PUL (9 §), som baserades på dataskyddsdirektivet.

Formuleringen av ändamålet har vid införandet av lagen om rättspsykiatriskt forskningsregister bedömts uppfylla kraven enligt dataskyddsdirektivet och PUL. Regeringen framhöll att ändamålen borde preciseras så noga som möjligt av flera skäl, först och främst för att värna om skyddet för den personliga integriteten (prop. 1998/99:72 s. 36 f.).

När det gäller frågan hur specificerat ett ändamål behöver vara för att uppfylla kravet i artikel 5.1 b kan noteras att det i skäl 33 anges att det ofta inte är möjligt att fullt ut identifiera en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning. I den första punkten har ändamålet preciserats till behandling av personuppgifter för forskning inom rättspsykiatrin. Personuppgiftsbehandling enligt lagen sker inte med stöd av samtycke men enligt regeringens uppfattning kan skäl 33 ge vägledning för hur man ska se på ändamålsbeskrivning generellt vid behandling av personuppgifter för forskningsändamål oavsett vilken grund som behandlingen baseras på. Ändamålet har angivits vara forskning inom rättspsykiatrin. Området för forskningen har således preciserats. Regeringen anser därför att ändamålsbeskrivningen i första punkten är förenlig med dataskyddsförordningen och kan behållas. Det krävs också att forskningen och behandlingen har godkänts enligt etikprövningslagen för att uppgifterna i registret ska få användas. Detta är ett villkor, en skyddsåtgärd, som infördes till skydd för den registrerade mot bakgrund av att registret innehåller mycket känsliga personuppgifter.

När det gäller ändamålet användning i Rättsmedicinalverkets utvecklingsarbete ansågs ändamålet vara ett viktigt allmänt intresse då lagen infördes och därmed berättigat.

Regeringen delar utredningens bedömning att kraven på tillräckligt preciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet och att regeringens och riksdagens redan gjorda bedömningar därför är fortsatt giltiga och förenliga med dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas.

Finalitetsprincipen har begränsats i lagen

Av propositionen med förslaget till lag om rättspsykiatriskt forskningsregister framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de föreslagna två ändamålen (prop. 1998/99:72 s. 33). De uppräknade ändamålen och tillåtna behandlingarna i lagen är således uttömmande. Detta innebär en begränsning av finalitetsprincipen enligt

dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b).

Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med dataskyddsförordningen och därmed kan behållas.

16.1.7. Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om vilka uppgifter om registrerade personer som får registreras kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 4 § lagen om rättspsykiatriskt forskningsregister anges att registret endast får innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I 4 § andra stycket anges att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personuppgifter från det brottmålet föras in i registret. I 5–9 §§ anges därefter vilka uppgifter för varje person som får registreras i registret. Majoriteten av de slags uppgifter som anges i 5–9 §§ registerlagen är sådana uppgifter som kategoriserades som känsliga personuppgifter enligt 13 § PUL (artikel 8.1 i dataskyddsdirektivet) eller personuppgifter om lagöverträdelser m.m. enligt 21 § PUL. Motsvarande bestämmelser beträffande särskilda kategorier av personuppgifter (känsliga personuppgifter) finns i artikel 9.1 i dataskyddsförordningen och beträffande personuppgifter om lagöverträdelser m.m. i artikel 10 i dataskyddsförordningen.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös

eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 9.2 räknas ett antal undantag från förbudet upp. Förbudet gäller bl.a. inte om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g) och inte heller om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål (artikel 9.2 j). I båda dessa fall anges det att behandlingen ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla lämpliga och särskilda skyddsåtgärder. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 i dataskyddsförordningen förtydligas bl.a. att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det.

Av artikel 10 i dataskyddsförordningen framgår att behandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts.

Som redogjorts för i avsnittet om ändamålsbestämmelsen i 3 § lagen om rättspsykiatriskt forskningsregister har regeringen i samband med införandet av lagen och då ändamålet med personuppgiftsbehandlingen enligt lagen fastställdes gjort bedömningen att behandling av personuppgifter för forskningsändamål ur det rättspsykiatriska forskningsregistret liksom behandling av personuppgifter ur registret för utvecklingsarbete inom RMV är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt intresse. Det väl avgränsade ändamålet med behandlingen samt den strikta bedömningen av vilka uppgifter som får registreras för varje person bedömdes av regeringen utgöra ett fullgott skydd för de registrerades personliga integritet. Regeringen och riksdagen fann således vid införandet av registerlagen att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas.

När det gäller behandling av känsliga personuppgifter i registret för utvecklingsarbete inom RMV enligt 3 § andra punkten finns det ingen anledning att göra en annan bedömning än att det är ett sådant viktigt allmänt intresse att behandlingen är tillåten även enligt artikel 9.2 g i dataskyddsförordningen. Genom artikel 9.2 j finns vidare ett särskilt stöd i dataskyddsförordningen för behandling av känsliga personuppgifter i det rättspsykiatriska forskningsregistret för forskning inom rättspsykiatrin enligt 3 § första punkten. Både när det gäller forskning och utvecklingsarbete inom

RMV sker behandlingen av känsliga personuppgifter på grundval av bestämmelser i nationell rätt. Det är även nu regeringens bedömning att de aktuella bestämmelserna står i proportion till det eftersträvade syftet med behandling av personuppgifter och är förenliga med det väsentliga innehållet i rätten till dataskydd. Som kommer att framgå av den följande redogörelsen för bestämmelserna i lagen innehåller den också ett antal bestämmelser om skyddsåtgärder.

I 5 § lagen om rättspsykiatriskt forskningsregister anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § PUL angavs att uppgifter om personnummer eller samordningsnummer fick behandlas utan samtycke bara när det var klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen i 22 § PUL infördes med stöd av artikel 8.7 i dataskyddsdirektivet som angav att medlemsstaterna skulle bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering fick behandlas. Bestämmelsen i 5 § lagen om rättspsykiatriskt forskningsregister är således införd efter en bedömning utifrån kraven i PUL.

Behandling av nationella identifikationsnummer regleras i artikel 87 i dataskyddsförordningen, som anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor sådana identifikationsnummer får behandlas. Sådan behandling får endast ske med iakttagande av lämpliga skyddsåtgärder. I dataskyddslagen har det införts en motsvarande bestämmelse till bestämmelsen i 22 § PUL. Bestämmelsen anger att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av uppgifter om personnummer och samordningsnummer är tillåten (3 kap. 10 och 11 §§ dataskyddslagen).

Eftersom motsvarande möjligheter till undantag från förbudet mot behandling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer som finns i dataskyddsdirektivet finns i dataskyddsförordningen anser regeringen, i likhet med utredningen, att de bedömningar som gjordes vid införandet av bestämmelserna om vilka uppgifter om registrerade personer som ska finnas i registret kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare regeringens bedömning att dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i registerlagen genom kravet på etikprövning samt regleringarna avseende direktåtkomst, sekretess och restriktionerna vid utlämnande av uppgifter.

När det gäller uppgifter i registret som utgör uppgifter om lagöverträdelser enligt artikel 10 i dataskyddsförordningen sker behandlingen under kontroll av myndighet och lagen uppfyller dessutom som nämnts enligt regeringens bedömning kravet på att nationell rätt ska innehålla lämpliga skyddsåtgärder.

Sammanfattningsvis delar därför regeringen utredningens bedömning att bestämmelserna i 4–9 §§ registerlagen är förenliga med dataskyddsförordningen och kan och bör behållas som tillåten specificerande nationell reglering enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

16.1.8. Andra myndigheters uppgiftsskyldighet bör behållas

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om att Socialstyrelsen, Kriminalvården respektive

Statens Institutionsstyrelse ska lämna uppgifter till det rättspsykiatriska forskningsregistret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Av 10 § lagen om rättspsykiatriskt forskningsregister framgår att Socialstyrelsen, Kriminalvården respektive

Statens institutionsstyrelse ska lämna vissa uppgifter (enligt 6–9 a §§ i lagen) till det rättspsykiatriska forskningsregistret.

Ett skäl för att författningsreglera tillförande av uppgifter till registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet skulle fungera i praktiken. En sådan reglering är dock också nödvändig i många fall för att uppgifter ska kunna tillföras registret utan hinder av att sekretess gäller för uppgifterna (prop. 1998/99:72 s. 46 f.). Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400, OSL) får en uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten följer av lag eller förordning. Bestämmelsen i 10 § lagen om rättspsykiatriskt forskningsregister är således en sådan sekretessbrytande författningsreglering som gör det möjligt för de aktuella myndigheterna att lämna även sekretessbelagda uppgifter till registret. Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt regeringens uppfattning en sådan tillåten specifik nationell bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.1.9. Bestämmelsen om direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 11 § lagen om rättspsykiatriskt forskningsregister får endast RMV ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, dataskyddsdirektivet eller i PUL finns det särskilda bestämmelser som direkt rör denna form av behandling.

Begränsningen i 11 § är ett villkor som gäller för behandlingen och en sådan skyddsåtgärd som krävs enligt dataskyddsförordningen vid all behandling av personuppgifter för forskningsändamål och som särskilt krävs vid behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser. Det är regeringens uppfattning att bestämmelsen i sak är förenligt med dataskyddsförordningen och att den är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g, då behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, eller undantaget i artikel 9.2 j, då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål, ska kunna tillämpas och behandlingen enligt lagen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas.

16.1.10. Bestämmelsen om vilken information som ska lämnas ska anpassas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om vilken information som ska lämnas till den registrerade ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av dataskyddsförordningen. Hänvisningen till personuppgiftslagen ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Av 12 § lagen om rättspsykiatriskt forskningsregister framgår vilken information om behandlingen som

RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade har således rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har stärkts i detta avseende.

Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant genomfördes genom 23–25 §§ PUL.

Viss information som ska lämnas enligt 12 § lagen om rättspsykiatriskt forskningsregister motsvaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i lagen om rättspsykiatriskt forskningsregister inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade kan enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock, som utredningen föreslagit, bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Det innebär att punkt 1 om att RMV är personuppgiftsansvarigt, punkt 2 om ändamålen med behandlingen, punkt 3 om vilken typ av uppgifter behandlingen avser och punkt 4 om mottagarna av uppgifterna bör utgå.

När det gäller 12 § punkt 6 i registerlagen om information som ska lämnas efter ansökan samt om rättelse och skadestånd finns motsvarande bestämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskyddsförordningen. Dessa delar av punkten bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att berörda bestämmelserna finns i PUL måste slutligen ersättas med en hänvisning till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Till skillnad från artikel 14 i dataskyddsförordningen innehåller 12 § lagen om rättspsykiatriskt forskningsregister inget undantag från när information ska lämnas. Artikel 14.5 i dataskyddsförordningen anger undantag från kravet att lämna information. Genom att artikel 14 i dataskyddsförordningen är direkt tillämplig, då förordningen började tillämpas den 25 maj 2018, är även bestämmelserna om undantag då information inte behöver lämnas direkt tillämpliga.

Hänvisningar till S16-1-10

16.1.11. Bestämmelsen om utlämnande av uppgifter bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om utlämnande av uppgifter kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 13 § första stycket lagen om rättspsykiatriskt forskningsregister ska RMV till Socialstyrelsen, Kriminalvården och Statens institutionsstyrelse, på medium för automatiserad behandling, lämna de uppgifter som är nödvändiga för att dessa myndigheter ska kunna lämna uppgifter enligt 10 § till det rättspsykiatriska forskningsregistret. Av 13 § andra stycket i paragrafen framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på medium för automatiserad behandling endast om uppgifterna ska användas för det ändamål som anges i 3 § punkten 1, dvs. för forskning inom rättspsykiatrin.

Regleringen i bestämmelsens första stycke syftar till att RMV ska underlätta för de berörda myndigheterna att i sin tur lämna uppgifter till registret enligt 10 § registerlagen, genom att RMV ska lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behandling. En sådan reglering påverkas inte av dataskyddsförordningen.

När det gäller regleringen i andra stycket om att uppgifter från registret, utöver vad som anges i första stycket, endast får lämnas ut på medium för automatiserad behandling om uppgifterna ska användas för forskning inom rättspsykiatrin, anförde regeringen i propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på medium för automatiserad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikprövning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om användning i enlighet med registrets ändamål.

Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförordningen. En sådan skyddsåtgärd bör liksom skyddsåtgärden i 11 § enligt regeringens bedömning rymmas inom den tillåtna specificeringen i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Sammantaget delar regeringen utredningens bedömning att bestämmelsen om utlämnande av uppgifter kan och bör behållas.

16.1.12. Upplysningen om sekretess bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som upplyser om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret i offentlighets- och sekretesslagen kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL.

Sekretess är en skyddsåtgärd såväl enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen i 14 § lagen om rättspsykiatriskt forskningsregister är enligt regeringens bedömning, i likhet med bestämmelserna i 11 och 13 §§, en sådan specificering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.1.13. Bestämmelsen om rättelse och skadestånd ska upphävas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 15 § lagen om rättspsykiatriskt forskningsregister hänvisas till att bestämmelserna i PUL om rättelse och skadestånd ska gälla vid behandling av personuppgifter enligt den förstnämnda lagen.

Bestämmelserna om rättelse och skadestånd i PUL fanns i 28 § respektive 48 §. Bestämmelsen om rättelse i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen och bestämmelsen i 48 § PUL om skadestånd gällde endast om behandling skett i strid med den lagen. För att bestämmelserna om rättelse

och skadestånd skulle vara tillämpliga även vid behandling i strid med lagen om rättspsykiatriskt forskningsregister krävdes det därför att det särskilt angavs att bestämmelserna i PUL gäller om behandling av personuppgifter sker i strid med lagen om rättspsykiatriskt forskningsregister. Det är skälet till att hänvisningen i 15 § har införts.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16.

Vid införandet av lagen om rättspsykiatriskt forskningsregister har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. När dataskyddsförordningen nu börjat tillämpas gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte ska införas i svensk rätt.

Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om rätt till rättelse bör därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen. I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd. Dessutom har det i dataskyddslagen införts en bestämmelse som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om rättspsykiatriskt forskningsregister.

Detta innebär sammantaget att bestämmelsen i 15 § registerlagen bör upphävas i dess helhet och inte ersättas med någon hänvisning till dataskyddsförordningen.

16.1.14. Bestämmelsen om överklagande ska upphävas

Regeringens förslag: Bestämmelsen om överklagande i lagen om rättspsykiatriskt forskningsregister ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Enligt 16 § lagen om rättspsykiatriskt forskningsregister får beslut av RMV om information som ska lämnas ef-

ter ansökan enligt 26 § PUL och om rättelse enligt 28 § samma lag överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Av propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister framgår att bestämmelsen om skadestånd ursprungligen infördes i lagen för att några bestämmelser om överklagande i de angivna situationerna inte fanns i PUL vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt berörde den enskilde skulle kunna överklagas. Efter att bestämmelsen i lagen om rättspsykiatriskt forskningsregister infördes kom dock en bestämmelse med motsvarande innehåll att införas i PUL genom 52 §. Någon motsvarande reglering fanns dock inte i dataskyddsdirektivet.

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel. I artikel 79.2 i dataskyddsförordningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas.

I dataskyddslagen finns bestämmelser om överklagande som i sak motsvarar 52 § PUL (7 kap. 2 § dataskyddslagen). Då dataskyddslagen ska gälla i den mån inte annat föreskrivs i lagen om rättspsykiatriskt forskningsregister är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Regeringen anser därför att bestämmelsen om överklagande i 16 § lagen om rättspsykiatriskt forskningsregister bör upphävas.

16.2. Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningen

16.2.1. Innehållet i lagen

Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013. Lagens syfte är att ge ett tydligt lagstöd för register som förs med de registrerades samtycke i syfte att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt och skydda den enskildes personliga integritet i sådan verksamhet.

Känsliga personuppgifter samlas enligt lagen in med uttryckligt samtycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forskningsprojekt som har godkänts vid en etikprövning. Lagen innehåller bl.a. bestämmelser om för vilka ändamål personuppgifterna får behandlas (5–8 §§), vilka personuppgifter som får finnas i register enligt lagen (9 §), intern elektronisk åtkomst (10 §), gallring (12 §), samtycke och information (14 och 15 §§), utplåning av uppgifter (16 §) och skadestånd (17 §).

Regeringen beslutar vilka universitet och högskolor som ska få föra register i enlighet med lagen och vilka register som får föras. Föreskrifter om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Lagen är tidsbegränsad och har förlängts vid två tillfällen, senast genom beslut av riksdagen i november 2017, till att gälla till och med den 31 december 2020. Skälet till att lagen är tidsbegränsad är det utredningsarbete som påbörjades år 2013, när regeringen gav en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning (dir. 2013:08). Utredningen, som tog sig namnet Registerforskningsutredningen (U 2013:01) lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45).

Forskningsdatautredningen fick den 7 juli 2016 i uppdrag att bl.a. analysera vilken svensk reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den övergripande reglering som Dataskyddsutredningen skulle komma att föreslå. När det gäller lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skulle utredningsarbetet bedrivas i två steg. I ett första skede skulle utredningen analysera vilka anpassningar som behövde göras i den lagen inför att dataskyddsförordningen skulle börja tillämpas. I ett andra skede skulle utredningen utreda i vilken mån förslagen som lämnades i Registerforskningsutredningens betänkande SOU 2014:45 är förenliga med dataskyddsförordningen och kan ligga till grund för en långsiktig reglering av forskningsdatabaser. Uppdraget i den första delen redovisades i det delbetänkande som ligger till grund för denna proposition. Uppdraget i den andra delen redovisades i betänkandet Rätt att forska – En långsiktig reglering av forskningsdatabaser (SOU 2018:36) den 5 juni 2018. Det sistnämnda betänkandet behandlas inte i denna proposition.

16.2.2. Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig är generellt positiva utredningens förslag eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland andra Justitiekanslern har inga synpunkter på förslagen och bedömningarna beträffande lagen.

Centrala etikprövningsnämnden, Statens väg- och transportforskningsinstitut, Sveriges geologiska undersökningar och Verket för innovationssystem (Vinnova) tillstyrker förslagen till anpassningar av lagen. Skåne läns landsting, Västra Götalands läns landsting, Svenska läkaresällskapet och Sveriges Kommuner och Landsting (SKL) stöder eller välkomnar

utredningens bedömning att lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna

:

Flertalet remissinstanser tillstyrker, har inga syn-

punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns landsting, Västra Götalands läns landsting och Karlstads universitet. Datainspektionen vidhåller sin ståndpunkt att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser.

Skälen för regeringens bedömning: Dataskyddsförordningen är som nämnts direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning i artikel 6.1 c och e.

Av motiven till lagen framgår explicit att det är regeringens bedömning att ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till specifika forskningsprojekt som har godkänts vid etikprövning är ett sådant viktigt allmänt intresse som avsågs i artikel 8.4 i dataskyddsdirektivet. Artikel 8.4 gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa utgör ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet. Regeringen delar utredningens bedömning att det inte torde föreligga någon skillnad i sak avseende innebörden i begreppet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen.

Personuppgiftsbehandlingen enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är alltså enligt regeringens bedömning laglig enligt artikel 6.1 e då den bedömts vara nödvändig för ett utföra en uppgift av allmänt intresse. Lagen innehåller ett antal bestämmelser som anger bl.a. ändamålet, vilka uppgifter som får finnas i registret och andra villkor som gäller för behandling av uppgifter i registret. Sådana bestämmelser är möjliga att ha i nationell rätt när grunden för behandlingen är att den är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.2 och 6.3. Regeringen anser också att regleringen är proportionell i förhållande till ändamålet. Regeringen delar därför utredningens bedömning att lagen utgör en sådan tillåten specifik nationell

reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Datainspektionen ifrågasätter med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Regeringen anser till skillnad från Datainspektionen att ändamålsbestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.).

Behandling av personuppgifter ska enligt 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ändamål och är ett krav som stärker skyddet för den registrerades integritet.

Utgångspunkten för lagen har varit att det ska vara en samtyckesbaserad reglering. Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av personuppgifter för forskningsändamål. I sammanhanget bör även skäl 43 i dataskyddsförordningen beaktas. Av skäl 43 framgår som nämnts att samtycke inte bör vara en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskild om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt. Möjligheten att använda samtycke som rättslig grund har behandlats närmare i avsnitt 7.1.1 och 7.2.1. När det gäller offentliga forskningsutförare kan det, som framgår av sistnämnda avsnitt, enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För offentliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant organ. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. De universitet och högskolor som omfattas av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är i och för sig myndigheter men med hänsyn till hur starkt frivilligheten framhålls i lagen är det regeringens bedömning att det inte kan anses föreligga betydande ojämlikhet mellan den enskilde och den personuppgiftsansvarige i de fall lagen omfattar.

Den personuppgiftsbehandling som lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande kommer regeringen att gå igenom lagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

16.2.3. Bestämmelsen om lagens syfte bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens syfte kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt och att skydda den enskildes personliga integritet i sådan verksamhet. Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan kan sägas ange en grund för bestämmelserna om för vilka ändamål behandling av personuppgifter enligt lagen får ske. Att i nationell lag fastställa syftet med en behandling som grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse är tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt regeringens bedömning kan och bör därför bestämmelsen behållas.

16.2.4. Bestämmelsen om lagens tillämpningsområde bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens tillämpningsområde kan och bör behållas.

Utredningens förslag överensstämmer delvis med regeringens bedömning. Utredningen har föreslagit att andra stycket i bestämmelsen ska tas bort men bedömt att bestämmelsen i övrigt kan behållas.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges lagens tillämpningsområde. Lagen gäller enligt 2 § första stycket behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes

uttryckliga samtycke sker i sådant syfte som anges i 1 §, dvs. att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet. Vidare är lagen enligt 2 § andra stycket tillämplig bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. I 2 § tredje stycket anges att regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen, och vilka register enligt lagen som får föras.

I 3 § anges att PUL gäller vid behandling av personuppgifter, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Som regeringen återkommer till i nästa avsnitt ska hänvisningarna till PUL tas bort och ersättas av en upplysning om att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kompletterar dataskyddsförordningen.

Regeringen delar utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.

Formuleringen i 2 § andra stycket motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Andra stycket i den aktuella bestämmelsen förtydligar att helt manuell behandling av personuppgifter som inte ingår i någon samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier faller utanför lagens tillämpningsområde. Regeringen anser till skillnad från utredningen att andra stycket i bestämmelsen bör behållas för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade.

Sammanfattningsvis är det därför regeringens bedömning att bestämmelsen i sin helhet kan och bör behållas.

16.2.5. Hänvisningarna till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 3 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att PUL gäller vid all behandling av personuppgifter, om inte annat följer av den förstnämnda lagen. Då PUL har upphävts ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till PUL i 3 § ska tas bort. Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till 28 § PUL i fråga om rättelse (13 §), 26 § PUL om information efter ansökan (14 § andra stycket p. 7) och 48 § PUL om skadestånd (17 §). Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen (2018:218), se respektive avsnitt nedan.

16.2.6. Det ska tas in hänvisningar till dataskyddsförordningen och dataskyddslagen

Regeringens förslag: Det ska införas en upplysningsbestämmelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, som tydliggör att den lagen kompletterar dataskyddsförordningen.

I lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska det också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen.

Utredningens förslag överensstämmer i sak med regeringens förslag.

Utredningens förslag till lagtext har formulerats på ett annat sätt än regeringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock, i likhet med utredningen, att det bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör lagens förhållande till dataskyddsförordningen och det blir tydligt att lagen inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.

Genom dataskyddslagen har det som tidigare nämnts införts en lag som på generell nivå kompletterar dataskyddsförordningen i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till den lagen. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförordningen finns det i dataskyddslagen generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges det att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i den lagen som anger att vid behandling av personuppgifter enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen,

om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förhåller sig till brottsdatalagen.

Brottsdatalagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som

1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjukdomar och människors hälsa i övrigt och för att lämna ut uppgifter för sådan forskning. Statliga universitet och högskolor kan inte sägas ha någon sådan brottsbekämpande eller brottsutredande uppgift som anges i brottsdatalagen och är därmed inte någon sådan behörig myndighet på vars verksamhet brottsdatalagen är tillämplig. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen.

16.2.7. Bestämmelsen om vilka som är personuppgiftsansvariga bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka som är personuppgiftsansvariga kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att de universitet och högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i dataskyddsförordningen att ange vem som är personuppgiftsansvarig i den nationella rätten. I 5–8 §§ lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges för vilka ändamål personuppgifter får behandlas enligt lagen. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka som är personuppgiftsansvariga. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas.

16.2.8. Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen.

Ingen annan remissinstans kommenterar bedöm-

ningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen vidhåller sin ståndpunkt att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser. Ingen annan remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gäller enligt PUL (9 §), som baseras på dataskyddsdirektivet.

De primära ändamål som personuppgifter får behandlas för enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, anges i 5 §. De är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndighet och att forskningen och personuppgiftsbehandlingen är godkända enligt etikprövningslagen. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men de får vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. Regeringen anser att dessa ändamålsbestämmelser är tillräckligt preciserade för att uppfylla kraven i dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör därför behållas.

Datainspektionen ifrågasätter med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med data-

skyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Som regeringen redan har anfört i avsnitt 16.2.2 anser regeringen till skillnad från Datainspektionen att ändamålsbestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.). Det har sedan dess inte tillkommit någon praxis från EU-domstolen som ger anledning till någon annan bedömning än tidigare. Mot denna bakgrund delar inte regeringen Datainspektionens uppfattning.

Sekundära ändamål och finalitetsprincipen

Termen sekundära ändamål avser myndigheters utlämnande av personuppgifter för att tillgodose andras behov. Ett sekundärt ändamål enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är enligt 7 § första stycket utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Personuppgifter som registrerats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är regeringens bedömning att bestämmelsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad.

Personuppgifter som behandlas för det primära ändamålet att ingå i ett register enligt lagen eller för att lämnas ut för sådan forskning som lagen avser får enligt 8 § första stycket i registerlagen, utöver vad som anges i 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse har förts in i lagen för att undvika konflikt med andra lagar som innebär en uppgiftsskyldighet. Det kan bl.a. finnas en skyldighet att lämna uppgifter till tillsynsmyndigheten, dvs. Datainspektionen. Bestämmelsen är enligt regeringens uppfattning en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 som kan kvarstå oförändrad.

De uppräknade ändamålen och tillåtna behandlingarna i lagen är enligt 8 § andra stycket uttömmande. Det innebär en begränsning av finalitetsprincipen enligt dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b). Mot bakgrund av att ändamålen med behandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas.

16.2.9. Det bör även fortsättningsvis anges vilka personuppgifter som får finnas i registret

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka personuppgifter som får finnas i registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka uppgifter som får finnas i ett register som förs med stöd av lagen. Uppräkningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräkning råder det enligt regeringens uppfattning inget tvivel om att uppgifterna som samlas in med stöd av lagen utgörs av huvudsakligen känsliga personuppgifter, enligt definitionen i 13 § PUL där bland annat personuppgifter om hälsa ingick. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (särskilda kategorier av uppgifter). Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier uppgifter som omfattas av det principiella förbudet mot behandling, jämfört med motsvarande reglering i dataskyddsdirektivet och PUL. I 3 kap. 1 § dataskyddslagen anges att med känsliga uppgifter avses i den lagen sådana uppgifter som avses i artikel 9.1.

I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga undantag från förbudet i artikel 9.1, till exempel om den registrerade har lämnat sitt samtycke (artikel 9.2 a) eller om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i artikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att

förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det.

Motsvarande förbud mot behandling av känsliga personuppgifter fanns i dataskyddsdirektivets artikel 8.1, vilken införlivades i svensk rätt genom

13 § PUL. Undantag från förbudet var bland annat möjligt om den registrerade lämnat sitt uttryckliga samtycke (artikel 8.2 a i dataskyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirektivet).

I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerlagen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet. De bestämmelser som finns i registerlagen bl.a. ifråga om information, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas enligt registerlagen.

Eftersom motsvarande möjligheter till undantag finns i dataskyddsförordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter enligt registerlagen finns således i artikel 9.2 a i dataskyddsförordningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskyddsförordningen.

16.2.10. Begränsningen av intern elektronisk åtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om begränsning av intern elektronisk åtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 10 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförordningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att reglera i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g när en behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i artikel 9.2 j när en behandling är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas.

16.2.11. Förbudet mot direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om förbud mot utlämnande genom direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 11 § i registerlagen får utlämnande genom direktåtkomst till personuppgifter i registret inte förekomma. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförordningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g då behandlingen är

nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i artikel 9.2 j då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen enligt lagen vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är en sådan bestämmelse. Mot den angivna bakgrunden kan och bör bestämmelsen behållas.

I ett beslut i ett tillsynsärende gällande personuppgiftsbehandlingen i det s.k. LifeGene-registret har Datainspektionen konstaterat att Karolinska institutet, som är personuppgiftsansvarigt, medger deltagare i projektet att via en personlig hemsida på egen hand söka efter uppgifter om sig själva som finns i registret. Enligt Datainspektionen är det fråga om att institutet ger deltagarna direktåtkomst till uppgifter i registret utan lagligt stöd (beslut av Datainspektionen 6 februari 2015, dnr 708-2014). Frågan om förbudet mot direktåtkomst enligt bestämmelsen även fortsättningsvis bör gälla mot den enskilde själv övervägdes av Forskningsdatautredningen i samband med utredningens slutbetänkande (SOU 2018:36).

16.2.12. Bestämmelsen om gallring ska anpassas

Regeringens förslag: Terminologin i bestämmelsen om gallring i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningens terminologi.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Enligt 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska personuppgifter gallras när de inte längre behövs för de ändamål som avses i 5 § 1 och 2, dvs. att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och att lämna ut uppgifter för sådan forskning i den utsträckning och på det sätt som anges i 6 §. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller

historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Motsvarande bestämmelse finns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskyddsförordningen. Regeringen anser att bestämmelserna i 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, dvs. att personuppgifter ska gallras så snart de inte längre behövs, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, utgör en sådan nationell bestämmelse om lagringstid som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundas på en uppgift av allmänt intresse. Tidigare bedömningar och avvägningar mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallringsbestämmelsen i registerlagen, är fortfarande relevanta och balanserade. Det är därför regeringens bedömning att bestämmelsen om gallring inte behöver ändras i sak.

I dataskyddsförordningen används formuleringen ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”, vilket i viss mån skiljer sig från dataskyddsdirektivet, där formuleringen ”historiska, statistiska eller vetenskapliga ändamål” används. Formuleringen i 12 § registerlagen bör anpassas till dataskyddsförordningen.

16.2.13. Bestämmelsen om rättelse ska upphävas

Regeringens förslag: Bestämmelsen om rättelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 13 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att bestämmelserna om rättelse i 28 § PUL ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den förstnämnda lagen.

Bestämmelsen i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen. För att bestämmelserna om rättelse skulle vara tillämpliga även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det i den lagen särskilt

angavs att bestämmelserna i 28 § PUL gäller om behandling av personuppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16. Till skillnad från vad som gäller enligt PUL är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det finns därför inte skäl att införa motsvarande hänvisning till dataskyddsförordningen.

Vid införandet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. Enligt dataskyddsförordningen gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte heller ska införas i svensk rätt.

Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om rätt till rättelse ska därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen.

16.2.14. Bestämmelsen om samtycke och information ska anpassas

Regeringens förslag: Bestämmelsen om samtycke och information i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Den hänvisning till personuppgiftslagen som finns ska tas bort.

Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslagen särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 14 § första stycket lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa

anges att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt lagen utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen. Av andra stycket i paragrafen framgår vilken information som ska lämnas till en person innan han eller hon lämnar sitt samtycke. I uppräkningen av vilken information som ska lämnas till den enskilde finns en hänvisning till bl.a. 26 § PUL. I den paragrafen fanns bestämmelser om vilken information som ska lämnas till den registrerade efter ansökan.

Det följer av 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa att kravet på samtycke till behandling i 14 § gäller såväl personuppgifter som inhämtas från den registrerade som personuppgifter som inhämtas från annan än den registrerade.

Det är regeringens bedömning att bestämmelsen i 14 § första stycket om att samtycke krävs för behandling av personuppgifter enligt lagen är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

I artikel 13 i dataskyddsförordningen anges vilken information som den personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter samlas in från den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än motsvarande bestämmelse som fanns i artikel 10 i dataskyddsdirektivet. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har samlats in från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information i en sådan situation är mer utförlig än motsvarande som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade har således i båda fallen rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har stärkts i detta avseende.

Uppräkningen av vilken information som ska lämnas enligt 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skiljer sig i viss mån åt från den uppräkning som finns i artiklarna 13 och 14 i dataskyddsförordningen. Viss information som ska lämnas enligt 14 § registerlagen motsvaras av information enligt de direkt tillämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen medan vissa punkter i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Enligt regeringens bedömning innebär detta att

14 § andra stycket punkt 2 om för vilka ändamål behandling kan ske och vilka uppgifter som får registreras och punkt 7 om rätten till information bör anpassas till dataskyddsförordningen genom att den del i punkt 2 som avser för vilka ändamål behandling kan ske stryks och att hänvisningen till

26 § PUL i punkt 7 stryks. Vidare bör punkt 4 om vem som är personuppgiftsansvarig, punkt 5 om hur länge uppgifterna sparas, punkt 6 om rätten till rättelse och punkt 10 om rätten att få uppgifter utplånade utgå.

Vidare skiljer sig bestämmelsen i 14 § i registerlagen från artiklarna 13 och 14 i dataskyddsförordningen på så sätt att den anger att informationen ska ha lämnats innan den registrerade ger sitt samtycke till behandlingen av personuppgifter. I artikel 13 i dataskyddsförordningen anges det att informationen ska lämnas när personuppgifterna erhålls när det är fråga om uppgifter som samlas in från den registrerade och i artikel 14 anges det att informationen ska lämnas inom en rimlig period, dock senast inom en månad, när uppgifterna inte har samlats in från den registrerade. Bestämmelsen i registerlagen begränsar inte den registrerades rätt till information. Liksom att samtycke är en förutsättning för att personuppgifter ska få behandlas enligt lagen är ett krav som stärker den registrerades integritet är även kravet på att informationen lämnas innan den registrerade lämnar sitt samtycke ett krav som stärker den registrerades rättigheter. Denna del av bestämmelsen är därmed enligt regeringens uppfattning en tillåten precisering för att anpassa tillämpningen i nationell rätt enligt artikel 6.2 och 6.3 och den kan och bör behållas.

16.2.15. Bestämmelsen om information om utlämnande till forskning bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om att den registrerade ska få information om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Den registrerade har enligt 15 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.

Bestämmelsen kan sägas vara en specificering av den rättighet som anges i artikel 15.1 c i dataskyddsförordningen, dvs. att den registrerade ska ha rätt att få information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut. Bakgrunden till bestämmelsen i registerlagen är bedömningen att den registrerade kan behöva få tillgång till information om till vilka forskningsprojekt uppgifter

om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter. Bestämmelsen är, enligt regeringens bedömning, en sådan nationell specificering som är tillåten enligt skäl 8 samt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.2.16. Bestämmelsen om utplåning ska upphävas

Regeringens förslag: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om den registrerades rätt till utplåning av uppgifter ska upphävas.

Utredningens förslag överensstämmer inte med regeringens förslag.

Utredningen har föreslagit att bestämmelsen om den registrerades rätt till utplåning av uppgifter ska ändras på så sätt att första meningen i paragrafen ersätts med en inledande upplysning om artikeln i dataskyddsförordningen som reglerar rätten till radering men att bestämmelsen i övrigt behålls och att begreppet utplåna genomgående ersättas med begreppet radera i enlighet med terminologin i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: Av 16 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa framgår att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen ställs vidare vissa formella krav på hur en begäran om utplåning ska vara utformad. Det ställs också krav på att den personuppgiftsansvarige utplånar uppgifterna i enlighet med begäran om inom två månader från det att begäran gjordes och sänder en bekräftelse till den registrerade på att utplåning har skett. Dessutom ställs det vissa krav på innehållet i bekräftelsen som ska sändas till den registrerade.

Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i dataskyddsförordningen såtillvida att den registrerade har en ovillkorlig rätt att få sina uppgifter utplånade. Enligt artikel 17 i dataskyddsförordningen har den registrerade rätt att få sina personuppgifter raderade om någon av ett antal uppräknade situationer föreligger. Rätten till radering gäller inte heller enligt artikel 17.3 i den utsträckning som behandlingen är nödvändig för något av ett antal uppräknade skäl, bl.a. om den är nödvändig för vetenskapliga eller historiska forskningsändamål i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Den registrerades rätt till utplåning enligt registerlagen avviker alltså från vad som anges i den direkt tillämpliga artikel 17 i dataskyddsförordningen. Denna del av paragrafen är därför enligt regeringens bedömning inte förenlig med dataskyddsförordningen. Resterande del av paragrafen

innehåller bestämmelser som närmare reglerar förfarandet vid en begäran om utplåning. Det ställs krav på den registrerade som går utöver vad som framgår av dataskyddsförordningen genom kraven på att begäran ska göras skriftligen och vara undertecknad av den registrerade. I artikel 17 i dataskyddsförordningen anges dessutom att den registrerade har rätt att få sina personuppgifter raderade utan onödigt dröjsmål när någon av de uppräknade situationerna föreligger medan det i bestämmelsen i registerlagen anges att ett utplånande ska ske inom två månader från det att begäran gjordes. Enligt regeringens bedömning finns det inte någon grund i dataskyddsförordningen för att i nationell rätt ställa sådana ytterligare krav på den registrerade eller begränsa rättigheten på sådant sätt. Bestämmelsen kan därför inte behållas utan ska upphävas. Den motsvarande rätten till radering kommer därmed att följa direkt av dataskyddsförordningen.

16.2.17. Bestämmelsen om skadestånd ska upphävas

Regeringens förslag: Bestämmelsen om skadestånd i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget särskilt.

Skälen för regeringens förslag: I 17 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att bestämmelserna i 48 § PUL om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med

lagen

om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelsen i 48 § PUL gällde endast om behandling skett i strid med den lagen. För att bestämmelsen om skadestånd skulle vara tillämplig även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det särskilt angavs att bestämmelserna i PUL gäller om behandling av personuppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar nu när PUL har upphävts.

I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd.

Dessutom har det i dataskyddslagen införts en bestämmelse i dataskyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i data-

skyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelsen om skadestånd i 17 § i registerlagen bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.

17. Ikraftträdande- och övergångsbestämmelser

17.1. Lagändringarna ska träda i kraft den 1 januari 2019

Regeringens förslag: Ändringarna i lagen om rättspsykiatriskt forskningsregister, etikprövningslagen, offentlighets- och sekretesslagen, lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt i lagen med kompletterande bestämmelser till

EU:s dataskyddsförordning ska träda i kraft den 1 januari 2019.

Utredningens förslag överensstämmer inte med regeringens förslag.

Utredningen föreslår att forskningsdatalagen och lagändringarna ska träda i kraft den 25 maj 2018.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig instämmer i förslaget eller har inget att invända. Lunds universitet framför att det har implikationer för forskningen att förändringarna i etikprövningslagen (liksom de övriga förslagen) föreslås träda i kraft 1 januari 2019, eftersom Sverige därmed kommer att sakna kompletterande bestämmelser till dataskyddsförordningen från det att dataskyddsförordningens bestämmelser börjar tillämpas den 25 maj till årets slut. Detta är problematiskt på flera sätt. Ett av problemen är att etikprövningslagen inte kommer att ha anpassats till förordningens utökade lista på ”känsliga personuppgifter”. En än mer grundläggande fråga är enligt universitetet om det alls är möjligt att erhålla etiskt tillstånd så länge etikprövningslagen hänvisar till den upphävda personuppgiftslagen. Universitet anser att man bör undersöka om det finns möjlighet att låta förändringarna träda i kraft tidigare än vad som nu föreslagits. Skulle detta inte vara möjligt behöver svenska universitet och högskolor vägledning för den period då förslagen inte hunnit träda i kraft. Även Stockholms universitet, Regionala etikprövningsnämnden i Uppsala och Läkemedelsindustriföreningen påpekar att det senare ikraftträdandet av ändringarna i etikprövningslagen innebär att nationell rätt inte kommer att innehålla någon reglerad skyddsåtgärd för behandling av de kategorier av känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen som inte omfattas av 13 § PUL.

Även dessa remissinstanserna efterlyser vägledning för dem som har att tillämpa regleringen under denna övergångsperiod. Regionala etikprövningsnämnden i Umeå konstaterar att fram till dess att lagändringarna träder i kraft är en etikgranskning enligt 3 § etikprövningslagen på sin höjd är möjlig till den del projektet behandlar känsliga personuppgifter enligt PUL-uppräkningen. Om ett projekt även innefattar behandling av t.ex. genetiska uppgifter kommer den delen att bli föremål för etikprövningsnämndens prövning endast som en del i den allmänna avvägningen av risk mot värde i 9 § etikprövningslagen. Nämnden anför att det får bli den personuppgiftsansvariges eget ansvar att se till att det finns rättslig grund och erforderligt samtycke m.m.

Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. I samband med att dataskyddslagen trädde i kraft den 25 maj 2018 upphävdes PUL. Av p 5 i övergångsbestämmelserna framgår dock att PUL fortsatt ska gälla efter den 25 maj 2018 i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till PUL. Som framgått av avsnitt 12 och 16 finns sådana hänvisningar i etikprövningslagen, lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Detta innebär att etikprövning enligt etikprövningslagen ska hanteras i enlighet med dessa lagars nuvarande lydelse till dess förslagen om ändrade lydelser i dessa lagar träder i kraft.

Förslagen bör träda i kraft så snart som möjligt. Med hänsyn till den tid som lagstiftningsprocessen tar föreslås att ändringarna ska träda i kraft den 1 januari 2019. Det är regeringens bedömning att det inte är möjligt med ett tidigare ikraftträdande. Som några remissinstanser har påpekat innefattar uppräkningen i artikel 9.1 i dataskyddsförordningen några fler kategorier uppgifter än 13 § PUL, nämligen behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning. Fram till dess att ändringen i etikprövningslagen träder i kraft kommer nationell rätt inte att innehålla någon reglerad skyddsåtgärd i form av etikprövning för behandling av de kategorier av känsliga personuppgifter som anges i artikel 9.1 men som inte omfattas av 13 § PUL. Det är dock regeringens uppfattning att tilläggen i artikel 9.1 jämfört med 13 § PUL inte innebär några stora skillnader i praktiken. Personuppgifter om sexuell läggning har i svensk rätt ansetts ingå i kategorin sexualliv (prop. 2017/18:115 s. 19). Genetiska uppgifter avslöjar ofta uppgifter om hälsa och/eller etniskt ursprung och utgör i dessa fall känsliga uppgifter inom även PUL:s tillämpningsområde. Biometriska uppgifter för att entydigt identifiera en fysisk person är en ny kategori i sammanhanget och definieras i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel

4.14). Regeringen har ingen uppfattning om i vilken utsträckning sådana personuppgifter behandlas för forskningsändamål. Det kan dock inte uteslutas att det kan förekomma behandling av känsliga personuppgifter för forskningsändamål som faller utanför etikprövningslagens nuvarande tillämpningsområde. I sådana situationer måste den personuppgiftsansvarige bedöma om övriga befintliga skyddsåtgärder, t.ex. sekretessreglering, kan anses tillräckliga i sammanhanget. Som Regionala etikprövningsnämnden i Umeå påpekar är det ett ansvar för varje forskningsutförare som är personuppgiftsansvarig att se till att behandlingen sker i enlighet med dataskyddsförordningen. Om den personuppgiftsansvarige vid en bedömning av den enskilda situationen kommer fram till att befintliga skyddsåtgärder inte kan anses tillräckliga för att kunna grunda behandlingen på artikel 9.2 j, så kan den personuppgiftsansvarige behöva inhämta den registrerades samtycke för att behandlingen ska vara tillåten enligt dataskyddsförordningen.

När det gäller den generella skyddsåtgärden att uppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen kommer regleringen i PUL av denna skyddsåtgärd att gälla vid behandling som omfattas av lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa genom hänvisningen till PUL i dessa lagar. Vid behandling av personuppgifter för forskningsändamål i övriga fall blir konsekvensen att under den aktuella perioden fram till att ändringen i dataskyddslagen träder i kraft kommer någon bestämmelse med en sådan skyddsåtgärd inte att gälla. Det kan i detta sammanhang påminnas om det generella kravet i artikel 89.1 i dataskyddsförordningen på att behandling av personuppgifter för forskningsändamål ska omfattas av skyddsåtgärder.

17.2. Övergångsbestämmelser behövs inte

Regeringens bedömning: Övergångsbestämmelser behövs inte.

Utredningens bedömning överensstämmer delvis med regeringens bedömning. Utredningen har angivit att dataskyddsförordningen inte ger utrymme för några övergångsbestämmelser.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens bedömning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig instämmer i bedömningen eller har inget att invända.

Skälen för regeringens bedömning: Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tillämpas. Dataskyddsförordningen ger därmed mycket begränsat utrymme för övergångsbestämmelser

Det är regeringens bedömning att några övergångsbestämmelser inte behövs i de lagar som föreslås anpassas till dataskyddsförordningen.

18. Konsekvenser

18.1. Övergripande konsekvenser

Inledningsvis kan regeringen konstatera att dataskyddsförordningen i sig kommer att leda till stora konsekvenser för både det allmänna och enskilda. Dessa behandlas dock inte i detta lagstiftningsärende.

Dataskyddsförordningen är direkt tillämplig men lämnar vissa möjligheter till nationella kompletterande och specificerande bestämmelser. När det gäller personuppgiftsbehandling för just forskningsändamål ger dataskyddsförordningen i flera fall utrymme för kompletterande nationell lagstiftning. Om dessa möjligheter inte tas till vara kommer förutsättningarna för att behandla personuppgifter för forskningsändamål att kraftigt försämras jämfört med idag. Det är därför inte är ett rimligt alternativ att någon nationell reglering inte kommer till stånd. De förslag till ändringar i etikprövningslagen, offentlighets- och sekretesslagen och dataskyddslagen som regeringen lämnar i denna proposition utgör de nödvändiga kompletterande nationella bestämmelser som krävs för att den samlade dataskyddsregleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri och rättigheter. Regeringen föreslår även vissa anpassningar av registerförfattningar till dataskyddsförordningen. Majoriteten av bestämmelserna i registerförfattningarna kvarstår oförändrade. Förslagen i övrigt är nödvändiga följder av eller anpassningar till dataskyddsförordningen och till att PUL upphävts. Någon ändring i sak i förhållande till vad som gäller idag är inte avsedd.

En allmän utgångspunkt för regeringen har varit att bibehålla de rättigheter och skyldigheter i samband med personuppgiftsbehandling för forskningsändamål som finns i dag, inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. Varken möjligheterna till sådan personuppgiftsbehandling, eller den enskildes integritetsskydd ska försämras jämfört med dagens situation. De ändringar som regeringen föreslår i de aktuella författningarna motsvarar därför i stort sett de tidigare bestämmelserna i PUL och de andra aktuella författningarna.

Mot bakgrund av detta är det regeringens bedömning att förslagen i propositionen inte får några övergripande konsekvenser varken för det allmänna eller för enskilda forskningsutförare.

Som framgått i avsnitt 17 har lagändringarna inte kunnat träda i kraft den 25 maj 2018 då dataskyddsförordningen började tillämpas utan lagändringarna föreslås träda i kraft den 1 januari 2019. Konsekvenserna av detta har behandlats i avsnitt 17.1.

18.2. Konsekvenser för den personliga integriteten

Dataskyddsförordningens bestämmelser innebär i sig en förstärkning av den registrerades rätt till information och tillgång till personuppgifter jämfört med motsvarande reglering i den nu upphävda PUL.

Vid personuppgiftsbehandling för forskningsändamål möjliggör dataskyddsförordningen att undantag från vissa av den registrerades rättigheter kan föreskrivas i nationell rätt. Regeringen har bedömt att några sådana undantag inte ska införas i svensk rätt, utan att den registrerades rättigheter ska lämnas intakta enligt förordningen.

När det gäller den generella skyddsåtgärd i form av en användningsbegränsning som regeringen föreslår ska införas i dataskyddslagen utgör det ett visst utökat skydd för den registrerade att undantaget för myndigheters användning av personuppgifter i allmänna handlingar, som framgått av motsvarande skyddsåtgärd i PUL, inte föreslås införas i dataskyddslagen.

Det är regeringens uppfattning i övrigt att det befintliga skyddet i nuvarande reglering för den personliga integriteten bibehålls i och med de föreslagna ändringarna i etikprövningslagen och offentlighets- och sekretesslagen och anpassningarna av de övriga författningarna.

18.3. Ekonomiska konsekvenser och konsekvenser i övrigt

Regeringen bedömer att de ekonomiska konsekvenserna av förslagen i denna proposition blir ytterst begränsade. Initialt kan förslagen innebära ökade kostnader för bland annat utbildning av personal i det nya dataskyddsregelverket. Dessa bedöms dock vara av den omfattningen att de ryms inom befintliga ekonomiska ramar.

Förslagen bedöms inte få några andra ekonomiska konsekvenser eller några konsekvenser för företag eller konkurrensförhållanden, den kommunala självstyrelsen, jämställdheten mellan män och kvinnor, de integrationspolitiska målen, miljön eller Sveriges medlemskap i Europeiska uni onen.

19. Författningskommentar

19.1. Förslaget till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande bestämmelser för behandling av personuppgifter i det rättspsykiatriska forskningsregistret.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen behandlas i avsnitt 16.1.5.

2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

I paragrafen, som är ny, anges att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen, om inte annat följer av denna lag.

Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter i det rättspsykiatriska forskningsregistret. Dataskyddslagen är subsidiär i förhållande till lagen om rättspsykiatriskt forskningsregister. Det innebär att om lagen om rättspsykiatriskt forskningsregister innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.1.5.

12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade.

Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om

1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

2. bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd, och

3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Paragrafen reglerar vilken information som ska lämnas till den registrerade.

Bestämmelsen anpassas till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen, vilken är direkt tillämplig. Hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.1.10.

19.2. Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

2 § I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

I paragrafen definieras vissa grundläggande begrepp som används i lagen.

Paragrafen ändras på sätt att i definitionen av behandling av personuppgifter ersätts hänvisningen till definitionen i den upphävda personuppgiftslagen (1998:204), förkortad PUL, med en hänvisning till den definition av begreppet som finns i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv

95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen behandlas i avsnitt 14.1.1.

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

I denna paragraf och i 4 och 5 §§ anges lagens tillämpningsområde.

Första punkten, som hänvisar till känsliga personuppgifter enligt 13 § PUL, ändras så att en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) görs. Detta innebär att all behandling för forskningsändamål av sådana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskyddsförordningen.

Andra punkten, som hänvisar till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL ändras på så sätt att hänvisningen till den paragrafen tas bort. Detta innebär att kravet på etikprövning enligt etikprövningslagen omfattar all personuppgiftsbehandling för forskningsändamål av de angivna kategorierna av personuppgifter, både sådan personuppgiftsbehandling som utförs av myndigheter och sådan som utförs av enskilda forskningsutförare. I artikel 10 i dataskyddsförordningen anges något färre kategorier av personuppgifter om lagöverträdelser än i 21 § PUL. Någon ändring i sak när det gäller de kategorier av personuppgifter om lagöverträdelser som ska vara föremål för etikprövning görs inte i förevarande paragraf. Kravet på etikprövning kommer således även fortsättningsvis att gälla samma kategorier av personuppgifter om lagöverträdelser som hittills. Detta innebär att tillämpningsområdet är mer omfattande än vad som framgår av artikel 10 i dataskyddsförordningen och även omfattar friande domar i brottmål och administrativa frihetsberövanden.

Bestämmelsen behandlas i avsnitt 12.

19.3. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

21 kap.

7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med

1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen,

2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller

3. 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor.

Paragrafen reglerar sekretess i fall där det kan antas att utlämnade uppgifter kommer att behandlas i strid med dataskyddsregleringen.

Efter förslag i propositionen Ny dataskyddslag (prop. 2017/18:105) har en ändring gjorts i paragrafen som innebär dels ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL, ersatts med en hänvisning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen. Den nu aktuella ändringen innebär att en hänvisning även görs till kravet på godkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor, benämnd etikprövningslagen, när det är fråga om forskning som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. (se 6 § etikprövningslagen och hänvisningen i det lagrummet till 3 § samma lag).

PUL innehöll bestämmelser som särskilt reglerade möjligheten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL). Genom hänvisningen till PUL i förevarande paragraf gällde sekretess för uppgifter om det kunde antas att uppgiften efter utlämnandet skulle komma att behandlas i strid med kravet på godkännande i etikprövningslagen. PUL har upphävts i samband med att dataskyddsförordningen började tillämpas. Det förs därför in en hänvisning till 6 § etikprövningslagen i förevarande paragraf, vilket innebär att sekretess även framöver kommer att gälla för uppgifter om det kan antas att känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden efter ett utlämnande kommer att behandlas i strid med kravet på etikprövning.

Bestämmelsen behandlas i avsnitt 15.2.

Hänvisningar till S19-3

19.4. Förslaget till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande bestämmelser för behandling av personuppgifter i vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.6.

3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, anger hur lagen förhåller sig till dataskyddslagen.

Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter enligt förevarande lag. Dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att om denna lag eller föreskrifter som har meddelats i anslutning till lagen innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.2.6.

12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Paragrafen innehåller bestämmelser om gallring.

Terminologin i paragrafen anpassas till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” byts ut mot ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.

Bestämmelsen behandlas i avsnitt 16.2.12.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. vilka uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. rätten till information enligt 15 § denna lag, 5.

vilken

myndighet som har tillsyn över att denna lag följs, och

6. rätten till skadestånd.

Av bestämmelsens första stycke framgår att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen. I andra stycket regleras vilken information som ska ha lämnats till en person innan denne lämnar sitt samtycke.

Bestämmelsens andra stycke anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.14.

19.5. Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

4 kap. 3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Paragrafen, som är ny, fastställer begränsningar för hur personuppgifter som behandlas för forskningsändamål får användas. Paragrafen motsvarar delvis 9 § fjärde stycket i den upphävda personuppgiftslagen (1998:204), förkortad PUL.

Bestämmelsen, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av

personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, förhindrar som huvudregel att personuppgifter som behandlas av den personuppgiftsansvarige enbart för forskningsändamål används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får bara vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. Med vitala intressen avses intressen som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständigheter som utgör synnerliga skäl. För att det ska vara tillåtet att använda uppgifterna för att vidta åtgärder i fråga om den registrerade krävs också att användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (se artikel 5.1 b i dataskyddsförordningen). Undantaget från användningsbegränsningen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten enligt dataskyddsförordningen.

I förhållande till den motsvarande bestämmelsen som fanns i PUL har bestämmelsen utformats så att det tydligare framgår att användningsbegränsningen gäller personuppgifter som enbart behandlas för forskningsändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas enligt förarbetena (se prop. 1997/98:44 s. 120). Vidare har undantaget att åtgärder i fråga om den registrerade får vidtas om den registrerade lämnat sitt samtycke tagits bort. Om samtycke inhämtas för att en uppgift ska användas för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt och undantaget är därför överflödigt.

Till skillnad från vad som tidigare gällde enligt PUL (se 8 § andra stycket PUL) innebär bestämmelsen en begränsning även av myndigheters möjligheter att använda personuppgifter i allmänna handlingar för att vidta åtgärder i fråga om den registrerade.

I övrigt bör bestämmelsen tolkas och tillämpas på ett likartat sätt som bestämmelsen i 9 § fjärde stycket PUL. Praxis kring tillämpningen av den bestämmelsen bör således vara vägledande.

Bestämmelsen behandlas i avsnitt 9.3.

196

Prop. 2017/18:298

Bilaga 1

I

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679

av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om

det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)

Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i

Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget

om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de

personuppgifter som rör honom eller henne.

(2) Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett

deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till

skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet,

säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och

konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3) Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers

grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av

personuppgifter mellan medlemsstaterna.

(1) EUT C 229, 31.7.2012, s. 90.

(2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling

av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

4.5.2016

L 119/1

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

197

(4) Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter

är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande

rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter

och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för

privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och

religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk

domstol samt kulturell, religiös och språklig mångfald.

(5) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande

ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och

privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella

myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i

stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6) Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av

personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det

möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en

helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över.

Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av

personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt

som en hög skyddsnivå säkerställs för personuppgifter.

(7)

Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av

kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala

ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den

rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)

Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom

medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för

samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på,

införliva delar av denna förordning i nationell rätt.

(9) Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande

enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda

uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av

internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av

personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av

personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk

verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina

skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och

tillämpningen av direktiv 95/46/EG.

(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av

personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling

av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna

om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör

säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för

att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift­

sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa

hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om

dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden

som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att

specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade

känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare

omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig

behandling av personuppgifter.

4.5.2016

L 119/2

Europeiska unionens officiella tidning

SV

198

Prop. 2017/18:298

Bilaga 1

(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och

specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av

personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att

reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i

medlemsstaterna.

(12) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för

fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för

personuppgifter.

(13) För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som

hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar

rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag,

och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt

ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling

av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn­

digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av

personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska

personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och

medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som

sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner

och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta

hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag

samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation

2003/361/EG (1).

(14) Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett

medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar

inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer,

exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15) För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara

teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara

tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller

är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt

särskilda kriterier, bör inte omfattas av denna förordning.

(16) Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det

fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande

nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de

agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)

Europaparlamentets och rådets förordning (EG) nr 45/2001 (

2) är tillämplig på den behandling av

personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av

unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till

principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen.

För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga

anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda

förordningarna kan tillämpas samtidigt.

(18) Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet

som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes-

eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­

tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,

s. 1).

4.5.2016

L 119/3

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

199

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan

verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som

tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls­

verksamhet.

(19) Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter,

säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på

behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna

förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt,

nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga

myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för

dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna

förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av

tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika

bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det

fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra

ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.

När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör

denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och

rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för

att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning,

avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande

och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning

av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter,

skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden

för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av

personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter

när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets

oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att

anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka

framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets

medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling

av uppgifter.

(21) Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt

bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det

direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations­

samhällets tjänster mellan medlemsstaterna.

(22) All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp­

giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om

behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av

verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial

eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga

myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster,

särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

4.5.2016

L 119/4

Europeiska unionens officiella tidning

SV

200

Prop. 2017/18:298

Bilaga 1

(23) För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av

personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig

eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om

behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är

kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder

varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den

personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av

unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets

eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett

språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att

fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller

flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av

kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att

erbjuda varor eller tjänster till registrerade inom unionen.

(24) Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en

personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av

denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de

befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade,

bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med

hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för

att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25) Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig

på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska

beskickning eller konsulat.

(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person.

Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att

kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om

en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den

personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt

identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att

användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader

och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som

den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen

information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som

anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör

därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller

forskningsändamål.

(27) Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får

fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28) Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och

hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett

uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för

dataskydd.

(29) För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för

pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs

verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är

nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande

uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den

personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp­

giftsansvarigs verksamhet.

4.5.2016

L 119/5

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

201

(30) Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och

protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår

som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas

för att skapa profiler för fysiska personer och identifiera dem.

(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig

förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter

eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte

betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild

utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga

myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i

enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters

behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är

tillämpliga på behandlingens ändamål.

(32) Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och

otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter

rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan

inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på

informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i

sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter.

Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all

behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för

samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara

tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga

forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till

vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.

Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av

forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34) Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade

genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför

allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta

motsvarande information.

(35) Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd

som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda­

hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv

2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att

identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en

kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om

exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades

fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan

sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36) Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den

personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling

av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande

hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

4.5.2016

L 119/6

Europeiska unionens officiella tidning

SV

202

Prop. 2017/18:298

Bilaga 1

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs

huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör

inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för

behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av

personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller

behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe

och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets

huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om

denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga

behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den

behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den

personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för

personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det

samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift­

sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera

verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om

behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas

som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den

utförs fastställs av ett annat företag.

(37) En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade

företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de

övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av

eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av

personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en

koncern.

(38) Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker,

följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt

skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa

personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som

erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas

för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39) Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska

personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i

vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all

information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och

lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till

registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information

för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse

på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna

om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de

kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna

behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de

behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är

begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte

rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt

bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder

bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer

lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig

användning av personuppgifter och den utrustning som används för behandlingen.

(40) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade

eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

4.5.2016

L 119/7

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

203

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger

den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras

eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis

en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella

ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och

precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid

Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42) När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade

har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det

finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt

samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den

personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med

användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den

registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för

vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har

någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av

personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp­

giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att

samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke

antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av

personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet

tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant

genomförande.

(44) Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett

avtal.

(45) Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling

som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i

unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag

för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en

rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift

av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten

eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings

allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp­

giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till

vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra

en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan

huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets­

utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig­

rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål,

såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning,

exempelvis en yrkesorganisation.

(46) Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av

avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

4.5.2016

L 119/8

Europeiska unionens officiella tidning

SV

204

Prop. 2017/18:298

Bilaga 1

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte

uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och

intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av

humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer,

särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47) En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken

personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de

registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de

registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat

intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och

den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den

personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som

inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med

detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades

intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges

intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig

någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den

rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte

gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter

som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp­

giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48) Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha

ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland

annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av

personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49) Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är

absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät

eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller

illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade

eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga

via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av

datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och

tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt

tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings­

attacker och skador på datasystem och elektroniska kommunikationssystem.

(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara

tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall

krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter

medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i

myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller

medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling

bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga

eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av

uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i

medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa

om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna

ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den

ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen

med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de

registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

4.5.2016

L 119/9

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

205

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga

skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på

medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i

syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att

behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla

omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade

om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den

personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i

flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en

behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan

överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör

emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller

annan bindande tystnadsplikt.

(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter

bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de

grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som

avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen

godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte

systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras

som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av

en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som

fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda

bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att

fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den

personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de

allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för

laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av

personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller

för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som

bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52) Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i

unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda

personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om

behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för

hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar

och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och

förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de

förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet,

eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska

ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för

fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller

inom ett administrativt eller ett utomrättsligt förfarande.

(53) Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i

hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort,

särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system,

inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana

uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell

och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av

kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller

hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt

intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten

eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs

av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för

behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när

behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

4.5.2016

L 119/10

Europeiska unionens officiella tidning

SV

206

Prop. 2017/18:298

Bilaga 1

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och

lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna

bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska

uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom

unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier

av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och

särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas

enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som

rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans

bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och

allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för

andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55) Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften

som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56) Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska

partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får

behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder

fastställs.

(57) Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera

en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att

kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning.

Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade

lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad,

till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den

registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58) Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad,

lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder

visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till

allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten

gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in,

vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt

skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk

som barnet lätt kan förstå.

(59) Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning,

inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller

radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör

också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter

behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara

skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana

önskemål.

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och

hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

4.5.2016

L 119/11

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

207

(60) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och

syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs

för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika

omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt

om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även

informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna

om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade

symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen.

Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61) Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid

den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från

en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan

lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till

denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än

det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta

andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den

registrerade på grund av att olika källor har använts, bör allmän information ges.

(62) Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan

innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag

eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade

informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör

antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63) Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och

med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna

kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa,

exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande

läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom

och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod

behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk

behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan

behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom

vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på

andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt

som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all

information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den

personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken

behandling en framställan avser, innan informationen lämnas ut.

(64) Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär

tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte

behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av

uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den

personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och

kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för

vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller

invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

4.5.2016

L 119/12

Europeiska unionens officiella tidning

SV

208

Prop. 2017/18:298

Bilaga 1

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt

relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna

med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna

utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock

vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig

förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts

den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande,

utövande eller försvar av rättsliga anspråk.

(66) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift­

sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska

åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den

registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I

samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik

och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera

de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67) Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda

personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller

tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av

behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för

ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör

klart anges inom systemet.

(68) För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna

behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon

har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt

format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att

utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den

registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig

för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig

grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga

som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när

behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp­

giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs

av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom

eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla

behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning

personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och

friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd

radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i

synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för

genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av

avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en

personuppgiftsansvarig till en annan.

(69) När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av

allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på

grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt

att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör

ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den

registrerades intressen eller grundläggande rättigheter och friheter.

(70) Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om

inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling,

inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen

meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

4.5.2016

L 119/13

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

209

(71) Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av

personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför

rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett

automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling

omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga

aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades

arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende,

vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i

betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering,

bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den

personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier

och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella

tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en

tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av

ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga

samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga

skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att

framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att

överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av

omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige

använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och

organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter

korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar

potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande

effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,

medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder

som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av

personuppgifter bör endast tillåtas på särskilda villkor.

(72) Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga

grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom

denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73) Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller

radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut

samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges

relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är

nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten,

exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid

förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner,

inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller

överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål

av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en

medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av

arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare

totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd,

folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska

konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74) Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs

på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och

kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör

inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska

personers rättigheter och friheter.

4.5.2016

L 119/14

Europeiska unionens officiella tidning

SV

210

Prop. 2017/18:298

Bilaga 1

(75) Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till

följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i

synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat

anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt

hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas

sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter

behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i

fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt

överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms,

framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa,

personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa

eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer,

framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal

registrerade.

(76) Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån

behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv

bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77) Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder

och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den

risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt

fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd

certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också

utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers

rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan

risk.

(78) Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att

lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna

visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt

för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat

bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet

om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe­

handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid

utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på

behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av

dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter,

tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen,

säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende

dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga

upphandlingar.

(79) Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi­

trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt

fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt

fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en

behandling utförs på en personuppgiftsansvarigs vägnar.

(80) När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar

personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe­

handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de

registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i

unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte

behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av

personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

4.5.2016

L 119/15

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

211

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av

behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet

eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar

och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig

fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med

avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den

personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra

sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet,

vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att

sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i

händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81) För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska

utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt

ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga

om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller

kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts­

biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett

sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett

personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller

medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet

för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av

registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen

för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den

personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav­

talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med

mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp­

giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna,

beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den

unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82) För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra

register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden

bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så

att det kan tjäna som grund för övervakningen av behandlingen.

(83) För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift­

sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom

kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet,

med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ

av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker

som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller

otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts,

lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84) I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk

för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens­

bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.

Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa

att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning

avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift­

sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande­

kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk,

materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till

begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt

hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som

omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

4.5.2016

L 119/16

Europeiska unionens officiella tidning

SV

212

Prop. 2017/18:298

Bilaga 1

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp­

giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så

är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i

enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra

en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör

skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86) Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift­

sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens

rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva

personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de

potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt,

i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra

relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en

omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid

fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87) Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har

vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera

tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med

hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för

den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess

uppgifter och befogenheter enligt denna förordning.

(88) När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig

hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga

tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av

missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade

intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en

personuppgiftsincident.

(89) Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe­

terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp­

giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av

effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en

hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål.

Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för

vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift­

sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90) I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art,

omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende

dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung.

Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska

minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91) Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder

personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal

registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur,

där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan

behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling

gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

4.5.2016

L 119/17

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

213

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en

systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av

dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller

uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder.

Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning,

särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga

tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades

rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller

använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av

personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter

som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör

en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92) Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på

ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam

tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam

tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad

horisontell verksamhet.

(93) Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med

antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det

offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(94) Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder,

säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers

rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som

är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig­

heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling

samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av

fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om

samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande

från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet

befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens­

bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig­

heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(95) Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de

skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd

med tillsynsmyndigheten.

(96) Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift­

ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen

överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.

(97) När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter

som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp­

giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk

övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts­

biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och

uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om

dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att

övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas

kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande

verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling

4.5.2016

L 119/18

Europeiska unionens officiella tidning

SV

214

Prop. 2017/18:298

Bilaga 1

som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller

personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift­

sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

(98) Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att

tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom

vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I

synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp­

giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers

rättigheter och friheter.

(99) Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör

sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som

mottas och de åsikter som framförs som svar på samråden.

(100) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer

och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på

relevanta produkters och tjänsters dataskydd.

(101) Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är

nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har

medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den

skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när

personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare

i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från

tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma

eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och

internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna

förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om

överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp­

giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(102) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av

personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella

avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån

sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå

av skydd för de registrerades grundläggande rättigheter.

(103) Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad

sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa

rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen

som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet

eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha

underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att

ett sådant beslut ska återkallas.

(104) I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör

kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland

beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella

människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive

lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet

av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör

hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga

rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en

4.5.2016

L 119/19

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

215

tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när

personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en

effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds­

myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ

och rättslig prövning.

(105) Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör

kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens

deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av

dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981

om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas.

Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella

organisationer.

(106) Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor

i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av

artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå

föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras

i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all

relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet

av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet

och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda

besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar­

lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar­

lamentet och rådet.

(107) Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland

eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av

personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte

kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande

företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till

samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god

tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet

eller organisationen för att avhjälpa situationen.

(108) Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder

för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den

registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard­

bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits

av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör

säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för

behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är

tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva

kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för

behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring

av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i

tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på

grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som

föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe­

ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(109) Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe­

stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer

för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

4.5.2016

L 119/20

Europeiska unionens officiella tidning

SV

216

Prop. 2017/18:298

Bilaga 1

standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett

annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under

förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av

kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.

Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder

via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(110) En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig

av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer

inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under

förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som

säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.

(111) Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den

registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett

avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller

utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger

möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas

nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att

konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring

inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras

när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer

eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(112) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till

viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter,

skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter,

till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning

inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att

skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes

fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat

skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen

uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en

internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje

överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt

eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna

eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna

anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.

(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också

vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den

registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift­

sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta

särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt

situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga

åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras

personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till

överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn

tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera

tillsynsmyndigheten och den registrerade om överföringen.

(114) Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift­

sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara

och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl

har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i

förhållande till dem.

4.5.2016

L 119/21

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

217

(115) Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs

av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden

eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp­

giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt

avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en

medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt

och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.

Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda.

Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns

i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

(116) När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan

utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande

av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller

göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans

över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga

regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn­

smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina

internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och

tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för

personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom

verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av

ömsesidighet och i överensstämmelse med denna förordning.

(117) Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna

inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under

fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta

hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(118) Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller

övervakningsmekanismer eller bli föremål för domstolsprövning.

(119) Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa

tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en

tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i

mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och

kommissionen.

(120) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den

infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som

är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje

tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller

nationella budgeten.

(121) De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats

lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande

antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en

ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt

medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens

oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med

deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som

står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten

eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd

tillsynsmyndighetens ledamot eller ledamöter.

(122) Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och

utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling

4.5.2016

L 119/22

Europeiska unionens officiella tidning

SV

218

Prop. 2017/18:298

Bilaga 1

inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen

inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller

privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller

behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i

unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål

som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja

allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av

personuppgifter.

(123) Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att

tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras

personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta

ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs

något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.

(124) Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett

personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet

är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda

verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad

påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns­

myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller

för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som

ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift­

sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom

registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats

in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den

tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom

ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning,

framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad

påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.

(125) Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de

befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns­

myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar

att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som

klagomålet har lämnats in till.

(126) Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som

bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda

verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp­

giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna

förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den

personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i

unionen.

(127) Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall,

om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet

för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar

registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter

inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan

dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den

ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om

samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad

mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet

på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör

den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den

medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa

ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När

den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den

4.5.2016

L 119/23

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

219

ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga

hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.

(128) Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte

tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den

enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna

förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.

(129) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe­

terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter,

korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge

råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter

enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna

förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en

tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra

uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas

befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets­

garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig,

nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av

omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder

som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora

olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör

utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta

förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör

vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och

datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes

bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.

Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt

bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den

tillsynsmyndighet som antog beslutet hör.

(130) Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den

ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i

enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör

den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av

administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet

har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens

territorium i samverkan med den behöriga tillsynsmyndigheten.

(131) Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller

personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen

endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där

klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar

eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den

tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som

innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den

personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild

behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade

inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller

tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller

behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas

nationella rätt.

(132) Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda

åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små

och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.

4.5.2016

L 119/24

Europeiska unionens officiella tidning

SV

220

Prop. 2017/18:298

Bilaga 1

(133) Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna

förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt

bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom

en månad från det att begäran mottogs av den andra tillsynsmyndigheten.

(134) Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den

anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(135) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller

samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet

avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett

betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller

kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen

bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt

fördragen.

(136) Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande,

om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär

detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter.

För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande

beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller

mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om

sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.

(137) Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara

föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En

tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium

med en viss giltighetsperiod, som inte bör överskrida tre månader.

(138) Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha

rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden

som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda

tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda

tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(139) I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende

unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör

företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på

behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en

tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare.

Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha

specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att

lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och

främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina

uppgifter.

(140) Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid

Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning

anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och

rapportera till denne.

(141) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat

där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,

4.5.2016

L 119/25

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

221

om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns­

myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så

är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för

eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör

inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om

ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade

underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder,

såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att

andra kommunikationsformer utesluts.

(142) Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon

ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som

har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och

bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål

till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar

utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En

medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt

att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett

effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd

av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna

sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den

registrerades mandat.

(143) Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de

villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i

enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan

inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en

personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot

besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263

i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller

juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en

tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens

utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål.

Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte

är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.

Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där

tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt.

Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga

frågor som rör den tvist som anhängiggjorts vid dem.

Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma

medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som

anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande

är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen

av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande

av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har

inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om

giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den

anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens

beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet,

i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den

frist som anges i artikel 263 i EUF-fördraget.

(144) Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att

ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift­

sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig

domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana

relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra

4.5.2016

L 119/26

Europeiska unionens officiella tidning

SV

222

Prop. 2017/18:298

Bilaga 1

domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran

förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har

behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden.

Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är

påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika

rättegångar.

(145) När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden

kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller

personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är

en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(146) Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida

till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts­

biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för

skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut

återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra

bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna

förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i

enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna

förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp­

giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig

eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i

enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift­

sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den

registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp­

giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift­

sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.

(147) Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att

begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde,

bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets

förordning (EU) nr 1215/2012 (1), påverka tillämpningen av sådana särskilda bestämmelser.

(148) För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa

sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns­

myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift

som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand

utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad

och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden

av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn­

dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp­

giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer.

Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets­

garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett

effektivt rättsligt skydd och korrekt rättsligt förfarande.

(149) Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna

förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen

för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som

gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av

sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av

principen ne bis in idem enligt domstolens tolkning.

(150) För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör

samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna

(1) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande

och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).

4.5.2016

L 119/27

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

223

förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de

administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten

med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till

överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att

sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna

av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses

vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa

sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna

inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift.

Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa

sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av

administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning

påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna

förordning.

(151) Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning.

Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms

som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten

inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa

medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn­

digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet

som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella

och avskräckande.

(152) Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel

vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva,

proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör

fastställas i medlemsstaternas nationella rätt.

(153) Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet,

vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd

av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska,

akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att

rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet,

som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det

audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder

som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter.

Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter,

personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella

organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där

personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella

rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av

rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i

denna frihet, som till exempel journalistik.

(154) Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att

få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som

ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör

kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller

i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör

sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från

den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den

nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen

till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ

som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets

och rådets direktiv 2003/98/EG (1) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende

(1) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga

sektorn (EUT L 345, 31.12.2003, s. 90).

4.5.2016

L 119/28

Europeiska unionens officiella tidning

SV

224

Prop. 2017/18:298

Bilaga 1

på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt

och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I

synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter,

tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga

enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som

oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.

(155) En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva

särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det

gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från

den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal

stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen,

men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och

förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

(156) Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska

forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades

rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska

åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av

personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller

statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa

ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de

registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter).

Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör

på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra

undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd,

rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med

behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska

forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de

registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till

den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att

minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet.

Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning,

exempelvis om kliniska prövningar.

(157) Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med

avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av

registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom

samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande

kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och

andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ

kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra

livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig

forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor

och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

(158) Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med

beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller

privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med

unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma,

organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för

allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för

arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära

regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

4.5.2016

L 119/29

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

225

(159) Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna

behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en

vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning

och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt

artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga

forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att

tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål

bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom

ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och

sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i

denna förordning tillämpas på dessa åtgärder.

(160) Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna

behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att

denna förordning inte bör gälla för avlidna personer.

(161) När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de

relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (1) tillämpas.

(162) Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling.

Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt

innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och

lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för

statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av

personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat.

Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett

statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter,

utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller

beslut som avser en särskild fysiskperson.

(163) De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in

för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas,

framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan

hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar­

lamentets och rådets förordning (EG) nr 223/2009 (2) innehåller ytterligare preciseringar om statistisk konfiden­

tialitet för europeisk statistik.

(164) Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få

tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning,

genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den

mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta

påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt,

där detta krävs enligt unionsrätten.

(165) Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och

religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med

artikel 17 i EUF-fördraget.

(166) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter

och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av

(1) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om

upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).

(2) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av

Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till

Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG,

Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

4.5.2016

L 119/30

Europeiska unionens officiella tidning

SV

226

Prop. 2017/18:298

Bilaga 1

personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget

delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller

certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden

för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under

sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör

den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så

snabbt som möjligt och på lämpligt sätt.

(167) För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande­

befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU)

nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora

företag.

(168) Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan

personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder,

tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett

territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation,

standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan

personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,

ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt

mellan tillsynsmyndigheter och styrelsen.

(169) Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga

genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom

det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.

(170) Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer

och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av

medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på

unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om

Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna

förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(171) Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna

förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från

det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är

det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna

fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket

gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från

tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras,

ersätts eller upphävs.

(172) Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett

yttrande den 7 mars 2012 (1).

(173) Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i

förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål

som anges i Europaparlamentets och rådets direktiv 2002/58/EG (2), däribland den personuppgiftsansvariges

skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv

2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över,

framför allt för att säkerställa konsekvens med denna förordning.

(1) EUT C 192, 30.6.2012, s. 7.

(2) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom

sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

4.5.2016

L 119/31

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

227

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte

1.

I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av

personuppgifter och om det fria flödet av personuppgifter.

2.

Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av

personuppgifter.

3.

Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för

fysiska personer med avseende på behandlingen av personuppgifter.

Artikel 2

Materiellt tillämpningsområde

1.

Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk

väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.

Denna förordning ska inte tillämpas på behandling av personuppgifter som

a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes

hushåll,

d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa

straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna

säkerheten.

3.

Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner,

organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan

behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med

artikel 98.

4.

Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele­

vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Artikel 3

Territoriellt tillämpningsområde

1.

Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs

av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs

i unionen eller inte.

4.5.2016

L 119/32

Europeiska unionens officiella tidning

SV

228

Prop. 2017/18:298

Bilaga 1

2.

Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i

unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen,

om behandlingen har anknytning till

a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds

kostnadsfritt eller inte, eller

b) övervakning av deras beteende så länge beteendet sker inom unionen.

3.

Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som

inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

Artikel 4

Definitioner

I denna förordning avses med

1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en

registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti­

fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska,

psykiska, ekonomiska, kulturella eller sociala identitet,

2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av

personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering,

strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring,

spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

3. begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i

framtiden,

4. profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används

för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna

fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet,

beteende, vistelseort eller förflyttningar,

5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan

tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa

kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer

att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,

6. register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om

samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7. personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt

eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om

ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den

personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i

medlemsstaternas nationella rätt,

8. personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar

personuppgifter för den personuppgiftsansvariges räkning,

9. mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp­

gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta

4.5.2016

L 119/33

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

229

personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella

rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig

med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

10. tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade,

den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller

personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den

registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av

personuppgifter som rör honom eller henne,

12. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller

till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt

behandlats,

13. genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk

person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från

en analys av ett biologiskt prov från den fysiska personen i fråga,

14. biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons

fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna

fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,

15. uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda­

hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

16. huvudsakligt verksamhetsställe:

a) när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen

där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av

personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det

sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe

som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,

b) när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där

vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i

unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom

ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som

personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,

17. företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift­

sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes

skyldigheter enligt denna förordning,

18. företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket

inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,

19. koncern: ett kontrollerande företag och dess kontrollerade företag,

20. bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett

personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en

uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett

eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,

21. tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,

4.5.2016

L 119/34

Europeiska unionens officiella tidning

SV

230

Prop. 2017/18:298

Bilaga 1

22. berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att

a) den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats

territorium,

b) registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i

väsentlig grad kommer att påverkas av behandlingen, eller

c) ett klagomål har lämnats in till denna tillsynsmyndighet,

23. gränsöverskridande behandling:

a) behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en

medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp­

giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller

b) behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe

tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad

påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,

24. relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en

överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift­

sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår

hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt

i tillämpliga fall det fria flödet av personuppgifter inom unionen,

25. informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv

(EU) 2015/1535 (1),

26. internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat

organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.

KAPITEL II

Principer

Artikel 5

Principer för behandling av personuppgifter

1.

Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet

och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som

är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller

historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de

ursprungliga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts­

minimering).

d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att

personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål

(korrekthet).

(1) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska

föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

4.5.2016

L 119/35

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

231

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är

nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i

den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska

forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska

och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades

rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig

eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga

tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.

Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artikel 6

Laglig behandling av personuppgifter

1.

Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika

ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på

begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för

en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan­

svariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade

intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver

skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.

Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av

bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare

fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling,

inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.

Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara

nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets­

utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i

denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken

typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut

och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling,

inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda

4.5.2016

L 119/36

Europeiska unionens officiella tidning

SV

232

Prop. 2017/18:298

Bilaga 1

situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse

och vara proportionell mot det legitima mål som eftersträvas.

4.

Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på

den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och

proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift­

sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp­

gifterna ursprungligen samlades in bland annat beakta följande:

a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare

behandlingen.

b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den

personuppgiftsansvarige.

c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9

eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7

Villkor för samtycke

1.

Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har

samtyckt till behandling av sina personuppgifter.

2.

Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om

samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt

tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna

förordning, ska denna del inte vara bindande.

3.

De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka

lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den

registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.

Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet

av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av

personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1.

Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a

behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska

sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har

föräldraansvar för barnet.

Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder

inte är under 13 år.

4.5.2016

L 119/37

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

233

2.

Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller

godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.

Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om

giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk

övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt

identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska

vara förbjuden.

2.

Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera

specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte

kan upphävas av den registrerade.

b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina

skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd,

i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som

antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades

grundläggande rättigheter och intressen fastställs.

c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen

när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening

eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att

behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av

organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan

den registrerades samtycke.

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av

domstolarnas dömande verksamhet.

g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller

medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det

väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att

säkerställa den registrerades grundläggande rättigheter och intressen.

h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin,

bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård,

behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på

grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på

hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett

skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård

och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt,

där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt

tystnadsplikt.

4.5.2016

L 119/38

Europeiska unionens officiella tidning

SV

234

Prop. 2017/18:298

Bilaga 1

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål

eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella

rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till

dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades

grundläggande rättigheter och intressen.

3.

Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna

behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller

medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person

som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som

fastställs av nationella behöriga organ.

4.

Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller

biometriska uppgifter eller uppgifter om hälsa.

Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande

säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt

unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och

friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 11

Behandling som inte kräver identifiering

1.

Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre

kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara

tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att

följa denna förordning.

2.

Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att

identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana

fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa

artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

KAPITEL III

Den registrerades rättigheter

Avsnitt 1

Insyn och villkor

Artikel 12

Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av

den registrerades rättigheter

1.

Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information

som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en

koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för

information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form,

inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas

muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

4.5.2016

L 119/39

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

235

2.

Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med

artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den

registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att

han eller hon inte är i stånd att identifiera den registrerade.

3.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en

månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt

artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad

begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan

förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade

lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade

inte begär något annat.

4.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige

utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder

inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

5.

Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas

enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart

ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den

åtgärd som begärts, eller

b) vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

6.

Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att

betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare

information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.

Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas

kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över

den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.

Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken

information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.

Avsnitt 2

Information och tillgång till personuppgif ter

Artikel 13

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

1.

Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift­

sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för

behandlingen.

4.5.2016

L 119/40

Europeiska unionens officiella tidning

SV

236

Prop. 2017/18:298

Bilaga 1

d) Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en

internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas

eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga

eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.

Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp­

gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent

behandling:

a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som

används för att fastställa denna period.

b) Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av

personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt

rätten till dataportabilitet.

c) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla

sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d) Rätten att inge klagomål till en tillsynsmyndighet.

e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är

nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de

möjliga följderna av att sådana uppgifter inte lämnas.

f) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det

åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda

följderna av sådan behandling för den registrerade.

3.

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för

vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information

om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.

Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

Artikel 14

Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

1.

Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den

registrerade med följande information:

a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för

behandlingen.

d) De kategorier av personuppgifter som behandlingen gäller.

e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

4.5.2016

L 119/41

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

237

f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland

eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller

saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning

till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.

Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande

information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:

a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som

används för att fastställa denna period.

b) Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

c) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av

personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt

rätten till dataportabilitet.

d) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan

att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

e) Rätten att inge klagomål till en tillsynsmyndighet.

f) Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga

källor.

g) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det

åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda

följderna av sådan behandling för den registrerade.

3.

Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a) inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de

särskilda omständigheter under vilka personuppgifterna behandlas,

b) om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första

kommunikationen med den registrerade, eller

c) om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för

vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information

om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.

Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a) den registrerade redan förfogar över informationen,

b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning,

särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller

statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln

sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i

sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och

friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,

c) erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats

nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades

berättigade intressen, eller

d) personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas

nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

4.5.2016

L 119/42

Europeiska unionens officiella tidning

SV

238

Prop. 2017/18:298

Bilaga 1

Artikel 15

Den registrerades rätt till tillgång

1.

Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör

honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a) Ändamålen med behandlingen.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt

mottagare i tredjeländer eller internationella organisationer.

d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt,

de kriterier som används för att fastställa denna period.

e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller

begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f) Rätten att inge klagomål till en tillsynsmyndighet.

g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter

kommer.

h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det

åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda

följderna av sådan behandling för den registrerade.

2.

Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha

rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.

Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under

behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig

avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska

informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något

annat.

4.

Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Avsnitt 3

Rättelse och radering

Artikel 16

Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som

rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att

komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17

Rätt till radering (”rätten att bli bortglömd”)

1.

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter

raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något

av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

4.5.2016

L 119/43

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

239

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och

det finns inte någon annan rättslig grund för behandlingen.

c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för

behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d) Personuppgifterna har behandlats på olagligt sätt.

e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas

nationella rätt som den personuppgiftsansvarige omfattas av.

f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i

artikel 8.1.

2.

Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera

personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för

genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som

behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller

reproduktioner av dessa personuppgifter.

3.

Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a) För att utöva rätten till yttrande- och informationsfrihet.

b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats

nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller

som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt

artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar

uppnåendet av syftet med den behandlingen.

e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 18

Rätt till begränsning av behandling

1.

Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av

följande alternativ är tillämpligt:

a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige

möjlighet att kontrollera om personuppgifterna är korrekta.

b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en

begränsning av deras användning.

c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den

registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den

personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2.

Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring,

endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller

för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för

unionen eller för en medlemsstat.

4.5.2016

L 119/44

Europeiska unionens officiella tidning

SV

240

Prop. 2017/18:298

Bilaga 1

3.

En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift­

sansvarige innan begränsningen av behandlingen upphör.

Artikel 19

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av

behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella

rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1

och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige

ska informera den registrerade om dessa mottagare på den registrerades begäran.

Artikel 20

Rätt till dataportabilitet

1.

Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har

tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att

överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits

personuppgifterna hindrar detta, om

a) behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och

b) behandlingen sker automatiserat.

2

Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av

personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.

3.

Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den

rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är

ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.

Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

Avsnitt 4

Rätt att göra invändningar och automatiserat individuellt beslutsfattande

Artikel 21

Rätt att göra invändningar

1.

Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra

invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f,

inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla

personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den

registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga

anspråk.

2.

Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända

mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering

i den utsträckning som denna har ett samband med sådan direkt marknadsföring.

3.

Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre

behandlas för sådana ändamål.

4.5.2016

L 119/45

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

241

4.

Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2

uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

5.

När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får

den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

6.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i

enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att

göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig

för att utföra en uppgift av allmänt intresse.

Artikel 22

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.

Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling,

inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar

honom eller henne.

2.

Punkt 1 ska inte tillämpas om beslutet

a) är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,

b) tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som

fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller

c) grundar sig på den registrerades uttryckliga samtycke.

3.

I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa

den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp­

giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.

Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1,

såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har

vidtagits.

Avsnitt 5

Beg ränsningar

Artikel 23

Begränsningar

1.

Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller

personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter

och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de

rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för

andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett

demokratiskt samhälle i syfte att säkerställa

a) den nationella säkerheten,

b) försvaret,

c) den allmänna säkerheten,

4.5.2016

L 119/46

Europeiska unionens officiella tidning

SV

242

Prop. 2017/18:298

Bilaga 1

d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga

sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en

medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa

och social trygghet,

f) skydd av rättsväsendets oberoende och rättsliga åtgärder,

g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för

lagreglerade yrken,

h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall

som nämns i a–e och g,

i) skydd av den registrerade eller andras rättigheter och friheter,

j) verkställighet av civilrättsliga krav.

2.

Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så

är relevant, avseende

a) ändamålen med behandlingen eller kategorierna av behandling,

b) kategorierna av personuppgifter,

c) omfattningen av de införda begränsningarna,

d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller

kategorierna av behandling,

g) riskerna för de registrerades rättigheter och friheter, och

h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

KAPITEL IV

Personuppgiftsansvarig och personuppgiftsbiträde

Avsnitt 1

Allmänna skyldigheter

Artikel 24

Den personuppgiftsansvariges ansvar

1.

Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik­

hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga

tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna

förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.

Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan­

svariges genomförande av lämpliga strategier för dataskydd.

3.

Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som

avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

4.5.2016

L 119/47

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

243

Artikel 25

Inbyggt dataskydd och dataskydd som standard

1.

Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning,

sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och

friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva

behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är

utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av

de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades

rättigheter skyddas.

2.

Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet,

säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den

skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras

tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes

medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.

En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1

och 2 i den här artikeln följs.

Artikel 26

Gemensamt personuppgiftsansvariga

1.

Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska

de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt

respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den

registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13

och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs

genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för

arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.

Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas

respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt

för den registrerade.

3.

Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna

förordning med avseende på och emot var och en av de personuppgiftsansvariga.

Artikel 27

Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i

unionen

1.

Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en

företrädare i unionen.

2.

Skyldigheten enligt punkt 1 i denna artikel ska inte gälla

a) tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i

artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i

artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med

hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller

b) en offentlig myndighet eller ett offentligt organ.

4.5.2016

L 119/48

Europeiska unionens officiella tidning

SV

244

Prop. 2017/18:298

Bilaga 1

3.

Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i

samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.

4.

Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för

den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter

och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna

förordning.

5.

Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga

åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.

Artikel 28

Personuppgiftsbiträden

1.

Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast

anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska

åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades

rättigheter skyddas.

2.

Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt

förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska

personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts­

biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot

sådana förändringar.

3.

När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan

rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med

avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och

ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och

rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet

när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna

behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas

av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan

uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt

denna rätt,

b) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller

omfattas av en lämplig lagstadgad tystnadsplikt,

c) ska vidta alla åtgärder som krävs enligt artikel 32,

d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

e)

med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och

organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att

svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med

beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den

personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga

kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs

i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av

den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

4.5.2016

L 119/49

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

245

Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om

han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas

dataskyddsbestämmelser.

4.

I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling

på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt

enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som

de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet

enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska

åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet

inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig

gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.

Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd

certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses

punkterna 1 och 4 i den här artikeln.

6.

Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar

tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras

på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en

certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.

7.

Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln,

i enlighet med det granskningsförfarande som avses i artikel 93.2.

8.

En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här

artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.

9.

Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett

elektroniskt format.

10.

Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för

behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att

det påverkar tillämpningen av artiklarna 82, 83 och 84.

Artikel 29

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets

överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift­

sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 30

Register över behandling

1.

Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som

utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift­

sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.

b) Ändamålen med behandlingen.

c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

4.5.2016

L 119/50

Europeiska unionens officiella tidning

SV

246

Prop. 2017/18:298

Bilaga 1

d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i

tredjeländer eller i internationella organisationer.

e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i

artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

2.

Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av

behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift­

sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller

personuppgiftsbiträdets företrädare samt dataskyddsombudet.

b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i

artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

3.

De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.

På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift­

sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

5.

De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter

färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades

rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som

avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.

Artikel 31

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran

samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Avsnitt 2

Säkerhet för personuppgif ter

Artikel 32

Säkerhet i samband med behandlingen

1.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning,

sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och

friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder

för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

4.5.2016

L 119/51

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

247

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings­

systemen och -tjänsterna,

c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk

incident,

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska

åtgärder som ska säkerställa behandlingens säkerhet.

2.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i

synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig

åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.

Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som

avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

4.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person

som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till

personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller

medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Artikel 33

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1.

Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte

senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är

behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska

personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en

motivering till förseningen.

2.

Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap

om en personuppgiftsincident.

3.

Den anmälan som avses i punkt 1 ska åtminstone

a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet

registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information

kan erhållas,

c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin­

cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4.

Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen

tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.

Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring

personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det

möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34

Information till den registrerade om en personuppgiftsincident

1.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den

personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

4.5.2016

L 119/52

Europeiska unionens officiella tidning

SV

248

Prop. 2017/18:298

Bilaga 1

2.

Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar

beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c

och d.

3.

Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder

tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra

uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades

rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande

åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4.

Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får

tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att

personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

Avsnitt 3

Konsekvensbedömning avseende dataskydd samt föregående samråd

Artikel 35

Konsekvensbedömning avseende dataskydd

1.

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning,

sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den

personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för

skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga

risker.

2.

Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en

konsekvensbedömning avseende dataskydd.

3.

En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk

behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller

på liknande sätt i betydande grad påverkar fysiska personer.

b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter

som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c) Systematisk övervakning av en allmän plats i stor omfattning.

4.

Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som

omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska

översända dessa förteckningar till den styrelse som avses i artikel 68.

5.

Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter

som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa

förteckningar till styrelsen.

6.

Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den

mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av

varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan

påverka den fria rörligheten för personuppgifter i unionen.

4.5.2016

L 119/53

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

249

7.

Bedömningen ska innehålla åtminstone

a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt,

den personuppgiftsansvariges berättigade intresse,

b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att

säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de

registrerades och andra berörda personers rättigheter och berättigade intressen.

8.

De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder

enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av

dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens­

bedömning avseende dataskydd.

9.

Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras

företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller

behandlingens säkerhet.

10.

Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella

rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller

serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en

allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om

inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

11.

Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i

enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Artikel 36

Förhandssamråd

1.

Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning

avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift­

sansvarige vidtar åtgärder för att minska risken.

2.

Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna

förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns­

myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift­

sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har

enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen

är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en

sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till

förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information

som den har begärt med tanke på samrådet.

3.

Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten

lämna

a) i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga

och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b) ändamålen med och medlen för den avsedda behandlingen,

c) de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt

denna förordning,

d) i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

4.5.2016

L 119/54

Europeiska unionens officiella tidning

SV

250

Prop. 2017/18:298

Bilaga 1

e) konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f) all annan information som begärs av tillsynsmyndigheten.

4.

Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som

ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör

behandling.

5.

Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska

samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling

för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende

social trygghet och folkhälsa.

Avsnitt 4

Dataskyddsombud

Artikel 37

Utnämning av dataskyddsombudet

1.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna

ett dataskyddsombud om

a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av

domstolarnas dömande verksamhet,

b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av

sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de

registrerade i stor omfattning, eller

c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av

särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och

överträdelser, som avses i artikel 10.

2.

En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett

dataskyddsombud.

3.

Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda

dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och

storlek.

4.

I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella

rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som

företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd­

sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller

personuppgiftsbiträden.

5.

Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om

lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

6.

Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra

uppgifterna på grundval av ett tjänsteavtal.

7.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter

och meddela dessa till tillsynsmyndigheten.

Artikel 38

Dataskyddsombudets ställning

1.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt

och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

4.5.2016

L 119/55

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

251

2.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de

uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt

tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

3.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot

instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av

den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska

rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

4.

Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes

personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.

Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller

konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

6.

Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts­

biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Artikel 39

Dataskyddsombudets uppgifter

1.

Dataskyddsombudet ska ha minst följande uppgifter:

a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som

behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds­

bestämmelser.

b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe­

stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter,

inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande

granskning.

c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den

enligt artikel 35.

d) Att samarbeta med tillsynsmyndigheten.

e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd

som avses i artikel 36, och vid behov samråda i alla andra frågor.

2.

Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade

med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Avsnitt 5

Uppförandekod och cer tif iering

Artikel 40

Uppförandekoder

1.

Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av

uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika

sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

2.

Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna

förordning, till exempel när det gäller

a) rättvis och öppen behandling,

4.5.2016

L 119/56

Europeiska unionens officiella tidning

SV

252

Prop. 2017/18:298

Bilaga 1

b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,

c) insamling av personuppgifter,

d) pseudonymisering av personuppgifter,

e) information till allmänheten och de registrerade,

f) utövande av registrerades rättigheter,

g) information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar

för barn,

h) åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i

enlighet med artikel 32,

i) anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till

registrerade,

j) överföring av personuppgifter till tredjeländer eller internationella organisationer,

k) utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga

och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77

och 79.

3.

Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt

punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas

av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna

förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till

tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller

personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande

instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.

4.

Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det

organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av

personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller

befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.

Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en

uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller

utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida

utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det

utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.

6.

Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda

uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra

uppförandekoden.

7.

Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig

enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses

i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning

är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.

8.

Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med

denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt

yttrande till kommissionen.

9.

Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som

getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas

i enlighet med det granskningsförfarande som avses i artikel 93.2.

4.5.2016

L 119/57

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

253

10.

Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt

punkt 9 offentliggörs på lämpligt sätt.

11.

Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem

på lämpligt sätt.

Artikel 41

Övervakning av godkända uppförandekoder

1.

Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får

övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig

expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.

2.

Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ

har

a) visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns­

myndigheten finner tillfredsställande,

b) upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas

lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över

hur den fungerar,

c) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på

vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde,

och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

d) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte

leder till en intressekonflikt.

3.

Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i

punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.

4.

Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av

bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga

skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse

av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts­

biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för

att de vidtagits.

5.

Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för

ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.

6.

Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.

Artikel 42

Certifiering

1.

Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå,

införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att

personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda

behoven hos mikroföretag samt små och medelstora företag ska beaktas.

4.5.2016

L 119/58

Europeiska unionens officiella tidning

SV

254

Prop. 2017/18:298

Bilaga 1

2.

Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i

denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna

förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och

personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av

personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift­

sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt

bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.

3.

Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.

4.

En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets

ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är

behöriga enligt artikel 55 eller 56.

5.

En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den

behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3

eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering,

det europeiska sigillet för dataskydd.

6.

Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av

certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga

tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier­

ingsförfarandet.

7.

Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år

och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska,

i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om

kraven för certifieringen inte eller inte längre uppfylls.

8.

Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och

offentliggöra dem på lämpligt sätt.

Artikel 43

Certifieringsorgan

1.

Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58

ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten

för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering.

Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:

a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,

b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG)

nr 765/2008 (1) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den

tillsynsmyndighet som är behörig enligt artikel 55 eller 56.

2.

Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har

a) visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten

finner tillfredsställande,

(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i

samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

4.5.2016

L 119/59

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

255

b) förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är

behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,

c) upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för

dataskydd,

d) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket

certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att

göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

e) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte

leder till en intressekonflikt.

3.

Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av

kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt

artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs

i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.

4.

De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen

eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets

ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på

samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.

5.

De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till

beviljandet eller återkallelsen av den begärda certifieringen.

6.

De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av

tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till

styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på

lämpligt sätt.

7.

Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre­

diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för

ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna

förordning.

8.

Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de

krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.

9.

Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och

sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och

märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

KAPITEL V

Överföring av personuppgifter till tredjeländer eller internationella organisationer

Artikel 44

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett

tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och

personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel,

inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat

tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att

den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

4.5.2016

L 119/60

Europeiska unionens officiella tidning

SV

256

Prop. 2017/18:298

Bilaga 1

Artikel 45

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.

Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat

att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella

organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.

När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a) rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning,

både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och

straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning,

dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till

ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella

organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och

rättslig prövning för de registrerade vars personuppgifter överförs,

b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar

tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler

följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av

deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

c) vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort,

eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i

multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.

Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt

besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en

internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln.

Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant

utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning

ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är

tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings­

förfarande som avses i artikel 93.2.

4.

Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan

påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i

direktiv 95/46/EG fungerar.

5.

Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här

artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en

internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln

och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i

den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande

som avses i artikel 93.2.

När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart

tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.

6.

Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den

situation som lett till beslutet enligt punkt 5.

7.

Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett

territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga

enligt artiklarna 46–49.

8.

Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de

tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för

vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.

4.5.2016

L 119/61

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

257

9.

De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de

ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.

Artikel 46

Överföring som omfattas av lämpliga skyddsåtgärder

1.

I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde

endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga

skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns

tillgängliga.

2.

Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta

formen av

a) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b) bindande företagsbestämmelser i enlighet med artikel 47,

c) standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som

avses i artikel 93.2,

d) standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i

enlighet med det granskningsförfarande som avses i artikel 93.2,

e) en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den

personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det

gäller registrerades rättigheter, eller

f) en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden

för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när

det gäller de registrerades rättigheter.

3.

Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också

i synnerhet ta formen av

a) avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige,

personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen,

eller

b) bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka

inbegriper verkställbara och faktiska rättigheter för registrerade.

4.

Tillsynsmyndigheten ska tillämpa den mekanism för enhetlighet som avses i artikel 63 i de fall som avses i punkt 3

i den här artikeln.

5.

Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli

giltigt tills det, vid behov, ändrats, ersatts eller upphävts av den tillsynsmyndigheten. De beslut som fattas av

kommissionen på grundval av artikel 26.4 i direktiv 95/46/EG ska förbli i kraft tills de, vid behov, ändrats, ersatts eller

upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 2 i den här artikeln.

Artikel 47

Bindande företagsbestämmelser

1.

Den behöriga tillsynsmyndigheten ska godkänna bindande företagsbestämmelser i enlighet med den mekanism för

enhetlighet som föreskrivs i artikel 63 under förutsättning att de

a) är rättslig bindande, tillämpas på, och verkställs av alla delar som berörs inom den koncern eller grupp av företag

som deltar i gemensam ekonomisk verksamhet, inklusive deras anställda,

4.5.2016

L 119/62

Europeiska unionens officiella tidning

SV

258

Prop. 2017/18:298

Bilaga 1

b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter när det gäller behandlingen av deras

personuppgifter, och

c) uppfyller villkoren i punkt 2.

2.

De bindande företagsbestämmelser som avses i punkt 1 ska närmare ange åtminstone följande:

a) struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet

och för var och en av dess medlemmar,

b) vilka överföringar eller uppsättningar av överföringar av uppgifter som omfattas, inklusive kategorierna av

personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka

tredjeländer som avses,

c) bestämmelsernas rättsligt bindande natur, såväl internt som externt,

d) tillämpningen av allmänna principer för dataskydd, särskilt avgränsning av syften, uppgiftsminimering, begränsade

lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rättslig grund för behandling,

behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerhet och villkoren när det

gäller vidare överföring av uppgifter till organ som inte är bundna av bindande företagsbestämmelser,

e) de registrerades rättigheter avseende behandling och medlen för att utöva dessa rättigheter, inklusive rätten att inte

bli föremål för beslut grundade enbart på automatisk behandling, inklusive profilering, enligt artikel 22, rätten att

inge klagomål till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79,

rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbe­

stämmelserna,

f) att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad inom en medlemsstats territorium tar

på sig ansvaret om en berörd enhet som inte är etablerad inom unionen bryter mot de bindande företagsbestäm­

melserna; den personuppgiftsansvarige eller personuppgiftsbiträdet får helt eller delvis undantas från denna

skyldighet endast på villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hållas ansvarig för

den skada som har uppkommit,

g) hur de registrerade ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser

som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,

h) uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet

med ansvar för kontrollen av att de bindande företagsbestämmelserna följs inom den koncern eller grupp av företag

som deltar i gemensam ekonomisk verksamhet, samt i fråga om utbildning och hantering av klagomål,

i) förfaranden för klagomål,

j) rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera

att de bindande företagsreglerna följs; sådana rutiner ska inbegripa dataskyddstillsyn och metoder för att säkerställa

korrigerande åtgärder för att skydda de registrerades rättigheter; resultaten av sådana kontroller bör meddelas den

person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag

som deltar i gemensam ekonomisk verksamhet, och bör på begäran vara tillgänglig för den behöriga tillsynsmyndig­

heten,

k) rutinerna för att rapportera och dokumentera ändringar i bestämmelserna, samt rutinerna för att rapportera dessa

ändringar till tillsynsmyndigheten,

l) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp

av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, särskilt genom att meddela tillsynsmyndig­

heten resultaten av kontroller av de åtgärder som avses i led j,

m) rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem i koncernen eller

gruppen av företag som deltar i gemensam ekonomisk verksamhet är underkastad i ett tredjeland och som sannolikt

kommer att ha en avsevärd negativ inverkan på de garantier som ges genom de bindande företagsbestämmelserna,

och

n) lämplig utbildning om dataskydd för personal som har ständig eller regelbunden tillgång till personuppgifter.

4.5.2016

L 119/63

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

259

3.

Kommissionen får närmare ange vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas,

personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser i den

mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som

avses i artikel 93.2.

Artikel 48

Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten

Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personupp­

giftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det

grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det

begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt

detta kapitel.

Artikel 49

Undantag i särskilda situationer

1.

Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder

enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av

personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

a) Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de

eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat

skyddsnivå eller lämpliga skyddsåtgärder.

b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för

att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan

fysisk eller juridisk person i den registrerades intresse.

d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset.

e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

f) Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den

registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g) Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge

allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett

berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt

angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om

bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här

punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast

omöverföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den

personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte

väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och

på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgift­

sansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhanda­

hållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de

tvingande berättigade intressen som eftersträvas.

2.

En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av

personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse

ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

4.5.2016

L 119/64

Europeiska unionens officiella tidning

SV

260

Prop. 2017/18:298

Bilaga 1

3.

Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av

offentliga myndigheter som ett led i myndighetsutövning.

4.

Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella

rätt som den personuppgiftsansvarige omfattas av.

5.

Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till

viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett

tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.

6.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de

lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.

Artikel 50

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta

lämpliga åtgärder för att

a) utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om

skydd av personuppgifter,

b) på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av

personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt

informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra

grundläggande rättigheter och friheter,

c) involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det

gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d) främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende

behörighetskonflikter med tredjeländer.

KAPITEL VI

Oberoende tillsynsmyndigheter

Avsnitt 1

Oberoende ställning

Artikel 51

Tillsynsmyndighet

1.

Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka

tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband

med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).

2.

Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta

ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

3.

Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska

företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter

följer reglerna för den mekanism för enhetlighet som avses i artikel 63.

4.

Varje medlemsstat ska senast den 25 maj 2018 anmäla till kommissionen vilka nationella bestämmelser den antar

i enlighet med detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.

4.5.2016

L 119/65

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

261

Artikel 52

Oberoende

1.

Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina

befogenheter i enlighet med denna förordning.

2.

Varje tillsynsmyndighets ledamot eller ledamöter ska i utförandet av sina uppgifter och utövandet av sina

befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får

varken begära eller ta emot instruktioner av någon.

3.

Tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och

under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras

tjänsteutövning.

4.

Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella

resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och

utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens

verksamhet.

5.

Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta

instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.

6.

Varje medlemsstat ska säkerställa att varje tillsynsmyndighet blir föremål för finansiell kontroll, utan att detta

påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den

övergripande statsbudgeten eller nationella budgeten.

Artikel 53

Allmänna villkor för tillsynsmyndighetens ledamöter

1.

Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom ett

öppet förfarande med insyn av

— deras parlament,

— deras regering,

— deras statschef, eller

— ett oberoende organ som genom medlemsstatens nationella rätt anförtrotts utnämningen.

2.

Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av

personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.

3.

En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i

enlighet med den berörda medlemsstatens nationella rätt.

4.

En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor

som krävs för att utföra uppdraget.

Artikel 54

Regler för inrättandet av en tillsynsmyndighet

1.

Varje medlemsstat ska fastställa följande i lag:

a) Varje tillsynsmyndighets inrättande.

4.5.2016

L 119/66

Europeiska unionens officiella tidning

SV

262

Prop. 2017/18:298

Bilaga 1

b) De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en

tillsynsmyndighet.

c) Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.

d) Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid

tillsättandet av de första ledamöterna efter den 24 maj 2016, då ett stegvis tillsättningsförfarande med kortare

perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.

e) Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många

perioder.

f) Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har,

förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och

vilka bestämmelser som gäller för anställningens upphörande.

2.

Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller

medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell

information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under

mandatperioden ska denna tystnadsplikt i synnerhet gälla rapportering från fysiska personer om överträdelser av denna

förordning.

Avsnitt 2

Behörighet, uppgif ter och befogenheter

Artikel 55

Behörighet

1.

Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt

denna förordning inom sin egen medlemsstats territorium.

2.

Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska

tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.

3.

Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin

dömande verksamhet.

Artikel 56

Den ansvariga tillsynsmyndighetens behörighet

1.

Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller

personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig

tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling

i enlighet med det förfarande som föreskrivs i artikel 60.

2.

Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in

till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i

medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.

3.

I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga

tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndighe­

ten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med

hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som

är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.

4.5.2016

L 119/67

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

263

4.

Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som

föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast

till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till

detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3.

5.

Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som

underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.

6.

Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda

motpart när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behandling.

Artikel 57

Uppgifter

1.

Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt

territorium ansvara för följande:

a) Övervaka och verkställa tillämpningen av denna förordning.

b) Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om

behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

c) I enlighet med medlemsstatens nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra

institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers

rättigheter och friheter när det gäller behandling.

d) Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna

förordning.

e) På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning,

och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

f) Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80,

och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde

om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller

samordning med en annan tillsynsmyndighet.

g) Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till

att denna förordning tillämpas och verkställs på ett enhetligt sätt.

h) Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls

från en annan tillsynsmyndighet eller annan myndighet.

i) Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika­

tionsteknik och affärspraxis.

j) Anta sådana standardavtalsklausuler som avses i artiklarna 28.8 och 46.2 d.

k) Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt

artikel 35.4.

l) Ge råd om behandling av personuppgifter enligt artikel 36.2.

m) Främja framtagande av uppförandekoder enligt artikel 40.1 samt yttra sig över och godkänna sådana

uppförandekoder som tillhandahåller tillräckliga garantier, i enlighet med artikel 40.5.

n) Uppmuntra till inrättandet av certifieringsmekanismer för dataskydd och av sigill och märkningar för dataskydd i

enlighet med artikel 42.1 samt godkänna certifieringskriterierna i enlighet med artikel 42.5.

o) I tillämpliga fall genomföra en periodisk översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

4.5.2016

L 119/68

Europeiska unionens officiella tidning

SV

264

Prop. 2017/18:298

Bilaga 1

p) Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt

artikel 41 och ett certifieringsorgan enligt artikel 43.

q) Ackreditera ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt

artikel 43.

r) Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 46.3.

s) Godkänna sådana bindande företagsbestämmelser som avses i artikel 47.

t) Bidra till styrelsens verksamhet.

u) Hålla arkiv över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.

v) Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.

2.

Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt

formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.

Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för

dataskyddsombudet.

4.

Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyn­

digheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger

tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.

Artikel 58

Befogenheter

1.

Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

a) Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges

eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra

sina uppgifter.

b) Genomföra undersökningar i form av dataskyddstillsyn.

c) Genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7.

d) Meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.

e) Från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information

som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

f) Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till

all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt

eller medlemsstaternas nationella processrätt.

2.

Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

a) Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt

kommer att bryta mot bestämmelserna i denna förordning.

b) Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot

bestämmelserna i denna förordning.

c) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få

utöva sina rättigheter enligt denna förordning.

4.5.2016

L 119/69

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

265

d) Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med

bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period,

e) Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.

f) Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

g) Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17

och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2

och 19.

h) Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42

eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre

uppfylls.

i) Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta

stycke, beroende på omständigheterna i varje enskilt fall.

j) Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.

3.

Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:

a) Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för förhandssamråd som avses i artikel 36.

b) På eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i

enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör

skydd av personuppgifter.

c) Ge tillstånd till behandling enligt artikel 36.5 om medlemsstatens rätt kräver ett sådant förhandstillstånd.

d) Avge ett yttrande om och godkänna utkast till uppförandekoder enligt artikel 40.5.

e) Ackreditera certifieringsorgan i enlighet med artikel 43.

f) Utfärda certifieringar och godkänna kriterier för certifiering i enlighet med artikel 42.5.

g) Anta standardiserade dataskyddsbestämmelser enligt artiklarna 28.8 och 46.2 d.

h) Godkänna avtalsklausuler enligt artikel 46.3 a.

i) Godkänna administrativa överenskommelser enligt artikel 46.3 b.

j) Godkänna bindande företagsbestämmelser enligt artikel 47.

4.

Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga

skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas

nationella rätt i enlighet med stadgan.

5.

Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga

myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga

förfaranden, för att verkställa bestämmelserna i denna förordning.

6.

Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem

som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av

kapitel VII.

Artikel 59

Verksamhetsrapporter

Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer

av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till

det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska

göras tillgängliga för allmänheten, kommissionen och styrelsen.

4.5.2016

L 119/70

Europeiska unionens officiella tidning

SV

266

Prop. 2017/18:298

Bilaga 1

KAPITEL VII

Samarbete och enhetlighet

Avsnitt 1

Samarbete

Artikel 60

Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna

1.

Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med

denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheter­

na ska utbyta all relevant information med varandra.

2.

Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt

bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att

utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personupp­

giftsbiträde som är etablerad i en annan medlemsstat.

3.

Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den

relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsyns­

myndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.

Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i

enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den

ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att

invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses

i artikel 63.

5.

Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de

andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta

reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.

Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den

ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsyns­

myndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av

det.

7.

Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller

personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra

berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en

relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om

beslutet.

8.

Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag

från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.

9.

Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå

delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och

en av dessa delar av frågan. Den ansvariga tillsynsmyndigheten ska anta beslutet om den del som gäller åtgärder som

avser den personuppgiftsansvarige och meddela det till den personuppgiftsansvariges eller personuppgiftsbiträdets

huvudsakliga eller enda verksamhetsställe på medlemsstatens territorium och underrätta den enskilde om detta, medan

den enskildes tillsynsmyndighet ska anta beslutet för den del som gäller avvisande av eller avslag på klagomålet och

meddela det till den enskilde och underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om detta.

10.

Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens

beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga

åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i

unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka

åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra

berörda tillsynsmyndigheterna.

4.5.2016

L 119/71

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

267

11.

Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande

behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.

12.

Den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna ska förse varandra med den

information som krävs enligt denna artikel på elektronisk väg med användning av ett standardiserat format.

Artikel 61

Ömsesidigt bistånd

1.

Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och

tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det

ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden

om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.

2.

Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan

tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana

åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.

3.

En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med begäran och skälen till denna.

Information som utbytts får endast användas för det syfte för vilket den har begärts.

4.

Den tillsynsmyndighet som tar emot en begäran får endast vägra att tillmötesgå begäran om

a) den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra,

eller

b) det skulle stå i strid med denna förordning eller unionsrätten eller den nationella rätt i en medlemsstat som tillsyns­

myndigheten omfattas av att tillmötesgå begäran.

5.

Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om

resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den

tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med

punkt 4.

6.

Den tillsynsmyndighet som tar emot en begäran ska som regel tillhandahålla den information som begärts av

andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.

7.

Tillsynsmyndigheter som tar emot en begäran får inte ta ut någon avgift för åtgärder som vidtagits av dem till följd

av en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyn­

digheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.

8.

Om en tillsynsmyndighet inte tillhandahåller den information som avses i punkt 5 i denna artikel inom en månad

efter det att den erhållit begäran från en annan tillsynsmyndighet får den begärande myndigheten anta en provisorisk

åtgärd på sin medlemsstats territorium i enlighet med artikel 55.1. I detta fall ska det brådskande behov av att agera

enligt artikel 66.1 anses vara uppfyllt och kräva ett brådskande bindande beslut från styrelsen i enlighet med

artikel 66.2.

9.

Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd

som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt

mellan tillsynsmyndigheter och styrelsen, i synnerhet det standardiserade format som avses i punkt 6 i den här artikeln.

Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Artikel 62

Tillsynsmyndigheters gemensamma insatser

1.

Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och

gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter

deltar.

4.5.2016

L 119/72

Europeiska unionens officiella tidning

SV

268

Prop. 2017/18:298

Bilaga 1

2.

Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om

ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att

uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma

insatserna. Den tillsynsmyndighet som är behörig enligt artikel 56.1 eller 56.4 ska bjuda in tillsynsmyndigheterna i var

och en av de berörda medlemsstaterna att delta i de gemensamma insatserna och ska utan dröjsmål svara på en annan

tillsynsmyndighets begäran att få delta.

3.

En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprung­

slandets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från

ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlemsstat

som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller

personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana

utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets

tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats

nationella rätt som gäller för värdlandets tillsynsmyndighet.

4.

Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat i enlighet med punkt 1 ska

värdtillsynsmyndighetens medlemsstat ansvara för deras handlingar, vilket inbegriper ansvar för skador som personalen

vållar i samband med insatserna, i enlighet med rätten i den medlemsstat på vars territorium personalen verkar.

5.

Den medlemsstat på vars territorium skadorna förorsakades ska ersätta sådana skador enligt de villkor som gäller

för skador som förorsakas av dess egen personal. Den medlemsstat vars tillsynsmyndighets tjänstemän har orsakat en

person skada på någon annan medlemsstats territorium ska fullt ut ersätta den andra medlemsstaten för det belopp som

denna har betalat ut till den personens rättsinnehavare.

6.

Utan att det påverkar rättigheterna gentemot tredje man och tillämpningen av punkt 5, ska varje medlemsstat i de

fall som nämns i punkt 1 avstå från att kräva ersättning från en annan medlemsstat för skador som avses i punkt 4.

7.

Om en gemensam insats planeras och en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt

punkt 2 i den här artikeln, andra meningen får övriga tillsynsmyndigheter anta provisoriska åtgärder på sina respektive

medlemsstaters territorium i enlighet med artikel 55. I detta fall ska det brådskande behov av att agera enligt artikel 66.1

anses vara uppfyllt och kräva ett yttrande eller ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.

Avsnitt 2

Enhetlighet

Artikel 63

Mekanism för enhetlighet

För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med

varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta

avsnitt.

Artikel 64

Yttrande från Styrelsen

1.

Styrelsen ska avge ett yttrande när en behörig tillsynsmyndighet avser att anta någon av åtgärderna nedan. I detta

syfte ska den behöriga tillsynsmyndigheten skicka utkastet till beslut till styrelsen när det

a) syftar till att anta en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende

dataskydd enligt artikel 35.4,

b) rör ett ärende i enlighet med artikel 40.7 om huruvida ett utkast till uppförandekoder eller en ändring eller

förlängning av en uppförandekod är förenlig med denna förordning,

4.5.2016

L 119/73

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

269

c) syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt

artikel 43.3,

d) syftar till att fastställa standardiserade dataskyddsbestämmelser enligt artiklarna 46.2 d och 28.8,

e) syftar till att godkänna sådana avtalsklausuler som avses i artikel 46.3 a, eller

f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 47.

2.

Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att

styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en

behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga

om gemensamma insatser i enlighet med artikel 62.

3.

I de fall som avses i punkterna 1 och 2 ska styrelsen avge ett yttrande i den fråga som ingivits till den, förutsatt att

den inte redan har avgett ett yttrande i samma fråga. Detta yttrande ska antas med enkel majoritet av styrelsens

ledamöter inom åtta veckor. Denna period får förlängas med ytterligare sex veckor med hänsyn till sakfrågans

komplexitet. Vad gäller det utkast till beslut som avses i punkt 1 som spridits till styrelsens ledamöter i enlighet med

punkt 5, ska en ledamot som inte har gjort invändningar inom en rimlig period som ordföranden angett anses samtycka

till utkastet till beslut.

4.

Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format till

styrelsen översända all relevant information, som allt efter omständigheterna får utgöras av en sammanfattning av

sakförhållanden, utkastet till beslut, grunden till att en sådan åtgärd är nödvändig och synpunkter från övriga berörda

tillsynsmyndigheter.

5.

Styrelsens ordförande ska utan onödigt dröjsmål och på elektronisk väg upplysa

a) styrelsens ledamöter samt kommissionen om all relevant information som meddelats styrelsen i ett standardiserat

format; styrelsens sekretariat ska vid behov tillhandahålla översättningar av relevant information; och

b) den tillsynsmyndighet som, allt efter omständigheterna, avses i punkterna 1 och 2 samt kommissionen om yttrandet,

och ska också offentliggöra det.

6.

Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i

punkt 3.

7.

Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två

veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om huruvida

den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet

till beslut.

8.

Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i den

här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering,

ska artikel 65.1 tillämpas.

Artikel 65

Tvistlösning genom styrelsen

1.

För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett

bindande beslut i följande fall:

a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning

mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna

invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden

som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en

överträdelse av denna förordning.

4.5.2016

L 119/74

Europeiska unionens officiella tidning

SV

270

Prop. 2017/18:298

Bilaga 1

b) Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga

verksamhetsstället.

c) Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte

följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller

kommissionen översända ärendet till styrelsen.

2.

Det beslut som avses i punkt 1 ska antas inom en månad efter det att sakfrågan hänskjutits med två tredjedels

majoritet av styrelsens ledamöter. Denna period får förlängas med ytterligare en månad med hänsyn till sakfrågans

komplexitet. Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla

berörda tillsynsmyndigheter och ska vara bindande för dem.

3.

Om styrelsen inte har kunnat anta något beslut inom de perioder som avses i punkt 2 ska den anta sitt beslut

inom två veckor efter utgången av den andra månad som avses i punkt 2 med enkel majoritet av styrelsens ledamöter.

Om styrelsens ledamöter är delade i frågan ska beslutet antas i enlighet med ordförandens röst.

4.

De berörda tillsynsmyndigheterna ska inte anta något beslut om den sakfråga som ingivits till styrelsen i enlighet

med punkt 1 under de perioder som avses i punkterna 2 och 3.

5.

Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i

punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter

att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.

6.

Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet

har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt

dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. Den ansvariga tillsynsmyndigheten eller,

allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta styrelsen om vilken

dag dess slutliga beslut meddelas till den personuppgiftsansvarige respektive personuppgiftsbiträdet och den registrerade.

De berörda tillsynsmyndigheternas slutliga beslut ska antas i enlighet med bestämmelserna i artikel 60.7, 60.8 och 60.9.

Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som

avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut

som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.

Artikel 66

Skyndsamt förfarande

1.

Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för

enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta

provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte

överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades

rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna,

styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.

2.

Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste

antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från styrelsen; den ska då motivera

varför den begär ett sådant yttrande eller beslut.

3.

Om en behörig tillsynsmyndighet inte har vidtagit någon lämplig åtgärd i en situation som kräver skyndsam

handling för att skydda registrerades rättigheter och friheter, får vilken tillsynsmyndighet som helst begära ett

brådskande yttrande eller, i tillämpliga fall, ett brådskande bindande beslut från styrelsen, varvid den ska motivera varför

den begär ett sådant yttrande eller beslut och varför åtgärden måste vidtas skyndsamt.

4.

Genom undantag från artiklarna 64.3 och 65.2 ska ett brådskande yttrande eller ett brådskande beslut enligt

punkterna 2 och 3 i den här artikeln antas inom två veckor med enkel majoritet av styrelsens ledamöter.

4.5.2016

L 119/75

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

271

Artikel 67

Utbyte av information

Kommissionen får anta genomförandeakter med allmän räckvidd i syfte att närmare ange tillvägagångssätten för

elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen, särskilt det

standardiserade format som avses i artikel 64.

Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Avsnitt 3

Europeiska dataskyddsstyrelsen

Artikel 68

Europeiska dataskyddsstyrelsen

1.

Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning

som juridisk person.

2.

Styrelsen ska företrädas av sin ordförande.

3.

Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller

deras respektive företrädare.

4.

Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av

bestämmelserna i denna förordning ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella

rätt.

5.

Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten utan rösträtt. Kommissionen ska utse en

egen företrädare. Styrelsens ordförande ska underrätta kommissionen om styrelsens verksamhet.

6.

I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen endast ha rösträtt i fråga om beslut som rör

principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar

dem i denna förordning.

Artikel 69

Oberoende

1.

Styrelsen ska vara oberoende när den fullgör sina uppgifter eller utövar sina befogenheter i enlighet med

artiklarna 70 och 71.

2.

Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när

den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.

Artikel 70

Styrelsens uppgifter

1.

Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i

förekommande fall på begäran av kommissionen, i synnerhet

a) övervaka och säkerställa korrekt tillämpning av denna förordning i de fall som avses i artiklarna 64 och 65 utan att

det påverkar de nationella tillsynsmyndigheternas uppgifter,

4.5.2016

L 119/76

Europeiska unionens officiella tidning

SV

272

Prop. 2017/18:298

Bilaga 1

b) ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella

förslag till ändring av denna förordning,

c) ge kommissionen råd om format och förfaranden för informationsutbyte mellan personuppgiftsansvariga,

personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,

d) utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller

reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt artikel 17.2,

e) på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen

av denna förordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig

tillämpning av denna förordning,

f) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange

kriterierna och villkoren för profileringsbaserade beslut enligt artikel 22.2,

g) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att konstatera sådana

personuppgiftsincidenter och fastställa sådant onödigt dröjsmål som avses i artikel 33.1 och 33.2 och för de

särskilda omständigheter under vilka en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att anmäla

personuppgiftsincidenten,

h) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt angående de

omständigheter under vilka en personuppgiftsincident sannolikt kommer att leda till hög risk för rättigheterna och

friheterna för de fysiska personer som avses i artikel 34.1,

i) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange

kriterierna och kraven för överföringar av personuppgifter på grundval av bindande företagsbestämmelser som

personuppgiftsansvariga eller personuppgiftsbiträden följer samt ytterligare nödvändiga krav för att säkerställa

skyddet för personuppgifter för berörda registrerade enligt artikel 47,

j) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange

kriterierna och villkoren för överföring av personuppgifter på grundval av artikel 49.1,

k) utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 58.1, 58.2

och 58.3 och fastställandet av administrativa sanktionsavgifter i enlighet med artikel 83,

l) se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i

leden e och f,

m) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att fastställa

gemensamma förfaranden för fysiska personers rapportering av överträdelser av denna förordning enligt artikel 54.2,

n) främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd och sigill och

märkningar för dataskydd i enlighet med artiklarna 40 och 42,

o) ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt

register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller

personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,

p) närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,

q) avge ett yttrande till kommissionen om de certifieringskrav som avses i artikel 43.8,

r) avge ett yttrande till kommissionen om de symboler som avses i artikel 12.7,

s) avge ett yttrande till kommissionen för bedömningen av adekvat skyddsnivå i ett tredjeland eller en internationell

organisation, inklusive för bedömningen av huruvida ett tredjeland, ett territorium eller en eller flera specificerade

sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå; i

detta syfte ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med

regeringen i tredjelandet, med avseende på tredjelandet, territoriet eller den specificerade sektorn, eller till

databehandlingssektorn i tredjelandet eller den internationella organisationen,

4.5.2016

L 119/77

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

273

t) avge yttranden om utkast till beslut som läggs fram av tillsynsmyndigheter inom den mekanism för enhetlighet som

avses i artikel 64.1, i ärenden som ingivits i enlighet med artikel 64.2 och anta bindande beslut i enlighet med

artikel 65, inbegripet de fall som avses i artikel 66,

u) främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn­

digheterna,

v) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna och där så är

lämpligt även med tillsynsmyndigheter i tredjeländer eller internationella organisationer,

w) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för dataskydd med tillsynsmyndigheter

för dataskydd i hela världen.

x) avge yttranden över de uppförandekoder som utarbetas på unionsnivå i enlighet med artikel 40.9, och

y) föra ett offentligt elektroniskt register över tillsynsmyndigheters beslut och domstolars avgöranden i frågor som

hanteras inom mekanismen för enhetlighet.

2.

När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet

är.

3.

Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och bästa praxis till kommissionen och

till den kommitté som avses i artikel 93, samt offentliggöra dem.

4.

När så är lämpligt ska styrelsen samråda med berörda parter och ge dem möjlighet att yttra sig inom rimlig tid.

styrelsen ska, utan att det påverkar tillämpningen av artikel 76, offentliggöra resultatet av samrådsförfarandet.

Artikel 71

Rapporter

1.

Styrelsen ska sammanställa en årsrapport om skydd av fysiska personer vid behandling inom unionen och, i

förekommande fall, i tredjeländer och internationella organisationer. Rapporten ska offentliggöras och översändas till

Europaparlamentet, rådet och kommissionen.

2.

Årsrapporten ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer och rekommen­

dationer och den bästa praxis som avses i artikel 70.1 l liksom de bindande beslut som avses i artikel 65.

Artikel 72

Förfarande

1.

Styrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i denna förordning.

2.

Styrelsen ska själv anta sin arbetsordning med två tredjedels majoritet av sina ledamöter och fastställa sina

arbetsformer.

Artikel 73

Ordförande

1.

Styrelsen ska med enkel majoritet välja en ordförande och två vice ordförande bland sina ledamöter.

2.

Ordförandens och de vice ordförandenas mandattid ska vara fem år och kunna förnyas en gång.

4.5.2016

L 119/78

Europeiska unionens officiella tidning

SV

274

Prop. 2017/18:298

Bilaga 1

Artikel 74

Ordförandens uppgifter

1.

Ordföranden ska ha i uppgift att

a) sammankalla till styrelsens möten och planera dagordningen,

b) meddela beslut som antas av styrelsen i enlighet med artikel 65 till den ansvariga tillsynsmyndigheten och de berörda

tillsynsmyndigheterna,

c) se till att styrelsens uppgifter fullgörs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 63.

2.

Fördelningen av uppgifter mellan ordföranden och de vice ordförandena ska fastställas i styrelsens arbetsordning.

Artikel 75

Sekretariatet

1.

Styrelsen ska förfoga över ett sekretariat som ska tillhandahållas av Europeiska datatillsynsmannen.

2.

Sekretariatet ska utföra sina uppgifter enbart under ledning av ordföranden för styrelsen.

3.

Den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna

förordning ska följa separata rapporteringsvägar från den personal som utför de uppgifter som Europeiska datatill­

synsmannen tilldelas.

4.

När så är lämpligt ska styrelsen och Europeiska datatillsynsmannen fastställa och offentliggöra ett samförståndsavtal

för genomförande av denna artikel, som fastställer villkoren för deras samarbete, och som ska tillämpas på den personal

vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning.

5.

Sekretariatet ska förse styrelsen med analysstöd samt administrativt och logistiskt stöd.

6.

Sekretariatet ska särskilt ansvara för

a) styrelsens löpande arbete,

b) kommunikationen mellan styrelsens ledamöter, dess ordförande och kommissionen,

c) kommunikationen med andra institutioner och med allmänheten,

d) användningen av elektroniska medel för intern och extern kommunikation,

e) översättning av relevant information,

f) förberedelser och uppföljning av styrelsens möten,

g) förberedelse, sammanställning och offentliggörande av yttranden, beslut om lösning av tvister mellan tillsynsmyn­

digheter och andra texter som antas av styrelsen.

Artikel 76

Konfidentialitet

1.

Styrelsens överläggningar ska vara konfidentiella i de fall som styrelsen bedömer detta vara nödvändigt, i enlighet

med vad som anges i dess arbetsordning.

4.5.2016

L 119/79

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

275

2.

Tillgången till handlingar som skickas till styrelsens ledamöter, till experter eller till företrädare för tredje part ska

regleras av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (1).

KAPITEL VIII

Rättsmedel, ansvar och sanktioner

Artikel 77

Rätt att lämna in klagomål till en tillsynsmyndighet

1.

Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som

anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna

in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats

eller där det påstådda intrånget begicks.

2.

Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med

klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.

Artikel 78

Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut

1.

Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol

ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som

meddelats av en tillsynsmyndighet.

2.

Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol,

ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med

artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur

det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av

det.

3.

Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt

säte.

4.

Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller

beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande

eller beslut till domstolen.

Artikel 79

Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde

1.

Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol,

inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som

anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes

personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.

2.

Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat

där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan väckas vid

domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller

personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(1) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets,

rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

4.5.2016

L 119/80

Europeiska unionens officiella tidning

SV

276

Prop. 2017/18:298

Bilaga 1

Artikel 80

Företrädande av registrerade

1.

Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har

inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är

verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter,

i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78

och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i

artikel 82 om så föreskrivs i medlemsstatens nationella rätt.

2.

Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här

artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet

som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen

eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av

behandlingen.

Artikel 81

Vilandeförklaring av förfaranden

1.

Om en behörig domstol i en medlemsstat har information om att förfaranden som rör samma sakfråga vad gäller

behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat

ska den kontakta denna domstol i den andra medlemsstaten för att bekräfta förekomsten av sådana förfaranden.

2.

Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller

personuppgiftsbiträde pågår i en domstol i en annan medlemstat får alla andra behöriga domstolar än den där

förfarandena först inleddes vilandeförklara förfarandena.

3.

Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes,

också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är

behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.

Artikel 82

Ansvar och rätt till ersättning

1.

Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha

rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2.

Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling

som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av

behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till

personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

3.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den

inte på något sätt är ansvarig för den händelse som orsakade skadan.

4.

Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en personuppgiftsansvarig och ett

personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för

eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig

för hela skadan för att säkerställa att den registrerade får effektiv ersättning.

5.

Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning

för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra

personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av

ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.

4.5.2016

L 119/81

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

277

6.

Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den

nationella rätten i den medlemsstat som avses i artikel 79.2.

Artikel 83

Allmänna villkor för påförande av administrativa sanktionsavgifter

1.

Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna

artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt,

proportionellt och avskräckande.

2.

Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i

stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska

påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till

följande:

a) Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens

karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b) Om överträdelsen skett med uppsåt eller genom oaktsamhet.

c) De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som

de registrerade har lidit.

d) Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och

organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.

e) Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig

skyldig till.

f) Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella

negativa effekter.

g) De kategorier av personuppgifter som påverkas av överträdelsen.

h) Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning

den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.

i) När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgifts­

biträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.

j) Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i

enlighet med artikel 42.

k) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom

ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

3.

Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller

sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna

förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den

allvarligaste överträdelsen.

4.

Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter

på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under

föregående budgetår, beroende på vilket värde som är högst:

a) Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.

b) Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.

c) Övervakningsorganets skyldigheter enligt artikel 41.4.

4.5.2016

L 119/82

Europeiska unionens officiella tidning

SV

278

Prop. 2017/18:298

Bilaga 1

5.

Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter

på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under

föregående budgetår, beroende på vilket värde som är högst:

a) De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b) Registrerades rättigheter enligt artiklarna 12–22.

c) Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt

artiklarna 44–49.

d) Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.

e) Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av

uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med

artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

6.

Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i

enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om

det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på

vilket värde som är högst:

7.

Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat

fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga

myndigheter och organ som är inrättade i medlemsstaten.

8.

Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhets­

garantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och

rättssäkerhet.

9.

Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här

artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av

behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de

administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser

vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till kommissionen anmäla de bestämmelser i

deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla

eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 84

Sanktioner

1.

Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för

överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga

åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.

2.

Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med

punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

KAPITEL IX

Bestämmelser om särskilda behandlingssituationer

Artikel 85

Behandling och yttrande- och informationsfriheten

1.

Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och

informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller

litterärt skapande.

4.5.2016

L 119/83

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

279

2.

Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller

litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter),

kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer

eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet)

och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till

integritet med yttrande- och informationsfriheten.

3.

Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med

punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Artikel 86

Behandling och allmänhetens tillgång till allmänna handlingar

Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för

utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt

eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman

allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna

förordning.

Artikel 87

Behandling av nationella identifikationsnummer

Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat

vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för

identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter

och friheter enligt denna förordning.

Artikel 88

Behandling i anställningsförhållanden

1.

Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter

och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering,

genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning,

planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt

skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och

komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsför­

hållandet.

2.

Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet,

berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av

personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt

övervakningssystem på arbetsplatsen.

3.

Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med

punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.

Artikel 89

Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga

eller historiska forskningsändamål eller statistiska ändamål

1.

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska

ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och

friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt

4.5.2016

L 119/84

Europeiska unionens officiella tidning

SV

280

Prop. 2017/18:298

Bilaga 1

principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa

ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte

medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

2.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det

i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15,

16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning

som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen,

och sådana undantag krävs för att uppnå dessa ändamål.

3.

Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten eller i medlemsstaternas

nationella rätt föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21 med

förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana

rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana

undantag krävs för att uppnå dessa ändamål.

4.

Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på

behandling för de ändamål som avses i dessa punkter.

Artikel 90

Tystnadsplikt

1.

Medlemsstaterna får anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas befogenheter enligt

artikel 58.1 e och f gentemot personuppgiftsansvariga eller personuppgiftsbiträden som enligt unionsrätten eller

medlemsstaternas nationella rätt eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt

eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till

vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast

tillämpas med avseende på personuppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har erhållit

i samband med en verksamhet som omfattas av denna tystnadsplikt.

2.

Varje medlemsstat ska till kommissionen anmäla de bestämmelser den har antagit i enlighet med punkt 1 senast

den 25 maj 2018, samt utan dröjsmål anmäla eventuella ändringar som berör dem.

Artikel 91

Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund

1.

Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna

förordning tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana

befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.

2.

Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 i denna artikel ska

vara föremål för kontroll av en oberoende tillsynsmyndighet som kan vara specifik, förutsatt att den uppfyller de villkor

som fastställs i kapitel VI i denna förordning.

KAPITEL X

Delegerade akter och genomförandeakter

Artikel 92

Utövande av delegeringen

1.

Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna

artikel.

4.5.2016

L 119/85

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

281

2.

Den befogenhet att anta delegerade akter som avses i artikel 12.8 och artikel 43.8 ska ges till kommissionen tills

vidare från och med den 24 maj 2016.

3.

Den delegering av befogenhet som avses i artikel 12.8 och artikel 43.8 får när som helst återkallas av Europapar­

lamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör

att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i

beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.

Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

5.

En delegerad akt som antas enligt artikel 12.8 och artikel 43.8 ska träda i kraft endast om varken Europapar­

lamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då

akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden,

har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på

Europaparlamentets eller rådets initiativ.

Artikel 93

Kommittéförfarande

1.

Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i

förordning (EU) nr 182/2011.

2.

När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.

När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma

förordning, tillämpas.

KAPITEL XI

Slutbestämmelser

Artikel 94

Upphävande av direktiv 95/46/EG

1.

Direktiv 95/46/EG ska upphöra att gälla med verkan från och med den 25 maj 2018.

2.

Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till

arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom

artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom

denna förordning.

Artikel 95

Förhållande till direktiv 2002/58/EG

Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar

personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i

allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter

för samma ändamål i enlighet med direktiv 2002/58/EG.

4.5.2016

L 119/86

Europeiska unionens officiella tidning

SV

282

Prop. 2017/18:298

Bilaga 1

Artikel 96

Förhållande till tidigare ingångna avtal

De internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som

ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta

datum, ska fortsätta att gälla tills de ändras, ersätts eller återkallas.

Artikel 97

Kommissionsrapporter

1.

Senast den 25 maj 2020 och därefter vart fjärde år ska kommissionen överlämna en rapport om tillämpningen

och översynen av denna förordning till Europaparlamentet och rådet.

2.

Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen särskilt undersöka hur

följande bestämmelser tillämpas och fungerar:

a) Kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer, särskilt när det gäller

beslut som antagits enligt artikel 45.3 i den här förordningen och beslut som antagits på grundval av artikel 25.6 i

direktiv 95/46/EG.

b) Kapitel VII om samarbete och enhetlighet.

3.

Med avseende på tillämpningen av punkt 1 får kommissionen begära information från medlemsstaterna och till­

synsmyndigheterna.

4.

Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till

ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.

5.

Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild

hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället.

Artikel 98

Översyn av andra unionsrättsakter om dataskydd

Kommissionen ska, om så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra andra unionsrättsakter om skydd

av personuppgifter, för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på

behandling. Detta gäller i synnerhet bestämmelserna om skyddet för fysiska personer i samband med behandling som

utförs av unionens institutioner, organ och byråer samt om det fria flödet av sådana uppgifter.

Artikel 99

Ikraftträdande och tillämpning

1.

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens

officiella tidning.

2.

Den ska tillämpas från och med den 25 maj 2018.

4.5.2016

L 119/87

Europeiska unionens officiella tidning

SV

Prop. 2017/18:298

Bilaga 1

283

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 27 april 2016.

På Europaparlamentets vägnar

På rådets vägnar

M. SCHULZ

J.A. HENNIS-PLASSCHAERT

Ordförande

Ordförande

4.5.2016

L 119/88

Europeiska unionens officiella tidning

SV

284

Prop. 2017/18:298

Bilaga 2

Rättelse till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om

skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet

av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Europeiska unionens officiella tidning L 119 av den 4 maj 2016)

1. Sidan 4, skäl 22

I stället för:

”(22) All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller person­

uppgiftsbiträdens verksamhetsställen […]”

ska det stå:

”(22) All behandling av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas

eller personuppgiftsbiträdens verksamhetsställen […]”.

2. Sidan 6, skäl 31 första meningen

I stället för:

”(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig

förpliktelse, […] i enlighet med unionsrätten eller medlemstaternas nationella rätt.”

ska det stå:

”(31) Offentliga myndigheter som i sitt offentliga uppdrag mottar personuppgifter i enlighet med en rättslig för­

pliktelse, […] i enlighet med unionsrätten eller medlemsstaternas nationella rätt.”

3. Sidorna 6–7, skäl 36 första meningen

I stället för:

”(36) […], såvida inte beslut om ändamålen och medlen för behandling av personuppgifter […]”

ska det stå:

”(36) […], såvida inte beslut om ändamålen och medlen för behandlingen av personuppgifter […]”.

4. Sidorna 9–10, skäl 50 sista meningen

I stället för:

”(50) […] särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i

fråga om den art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten

av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.”

ska det stå:

”(50) […] särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige när

det gäller den fortsatta behandlingen, personuppgifternas art, konsekvenserna för de registrerade av den

planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga

och den planerade ytterligare behandlingen.”

5. Sidan 10, skäl 51

I stället för:

”(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och

friheter […]”

ska det stå:

”(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och

friheter […]”.

SV

L 127/2

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

285

6. Sidan 12, skäl 63 tredje meningen

I stället för:

”(63) […] Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att

personuppgifterna behandlas, […]”

ska det stå:

”(63) […] Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt för vilka ändamål

personuppgifterna behandlas, […]”.

7. Sidan 14, skäl 71, sista meningen på första stycket och första meningen på andra stycket

I stället för:

”(71) […] Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av

omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige

använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisato­

riska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter

korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar

potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande

effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,

medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder

som får sådana effekter.”

ska det stå:

”(71) […] Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av

omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige

använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisato­

riska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter

korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar

potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande

effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,

medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder

till åtgärder som får sådana effekter.”

8. Sidan 15, skäl 75

I stället för:

”(75) […] om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt över­

trädelser eller därmed sammanhängande säkerhetsåtgärder behandlas, […]”

ska det stå:

”(75) […] om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt lagöver­

trädelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas, […]”.

9. Sidorna 15–16, skäl 80 första meningen

I stället för:

”(80) […] eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är osannolikt

att […]”

ska det stå:

”(80) […] eller behandling av personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar

brott och det är osannolikt att […]”.

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/3

286

Prop. 2017/18:298

Bilaga 2

10. Sidan 16, skäl 84 första meningen

I stället för:

”(84) […] en konsekvensbedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art,

särdrag och allvar.”

ska det stå:

”(84) […] en konsekvensbedömning utförs avseende dataskydd för att bedöma framför allt riskens ursprung, art,

särdrag och allvar.”

11. Sidan 17, skäl 90

I stället för:

”(90) […] bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedöm­

ningen bör främst […]”

ska det stå:

”(90) […] bedöma den höga riskens specifika sannolikhetsgrad och allvar. Konsekvensbedömningen bör främst […]”.

12. Sidan 18, skäl 91 andra meningen

I stället för:

”(91) […] särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål

samt överträdelser eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs […]”

ska det stå:

”(91) […] särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål

samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs […]”.

13. Sidan 18, skäl 97 första meningen

I stället för:

”(97) […] och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga

om dataskyddslagstiftning och -förfaranden […]”

ska det stå:

”(97) […] och uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, bör en person

med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden […]”.

14. Sidan 26, skäl 143 andra stycket första meningen

I stället för:

”Om talan avslås eller avvisas av en tillsynsmyndighet, […]”

ska det stå:

”Om ett klagomål avslås eller avvisas av en tillsynsmyndighet, […]”.

SV

L 127/4

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

287

15. Sidan 27, skäl 145

I stället för:

”(145) […] eller personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den person­

uppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.”

ska det stå:

”(145) […] eller personuppgiftsbiträdet har ett verksamhetsställe eller där den registrerade är bosatt, såvida inte den

personuppgiftsansvarige är en myndighet i en medlemsstat som agerar inom ramen för sina offentliga

befogenheter.”

16. Sidan 29, skäl 155

I stället för:

”(155) En medlemsstatsnationella rätt eller kollektivavtal, […], planering och organisering av arbetet samt hälsa och

säkerhet på arbetsplatsen, […]”

ska det stå:

”(155) En medlemsstats nationella rätt eller kollektivavtal, […], planering och organisering av arbetet, jämställdhet

och mångfald i arbetslivet samt hälsa och säkerhet på arbetsplatsen, […]”.

17. Sidan 30, skäl 162 sista meningen

I stället för:

”(162) […] till stöd för åtgärder eller beslut som avser en särskild fysiskperson.”

ska det stå:

”(162) […] till stöd för åtgärder eller beslut som avser en särskild fysisk person.”

18. Sidan 32, artikel 3.1

I stället för:

”1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som

bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behand­

lingen utförs i unionen eller inte.”

ska det stå:

”1. Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som

bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om

behandlingen utförs i unionen eller inte.”

19. Sidan 33, artikel 4.1

I stället för:

”1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en

registrerad), varvid en identifierbarfysisk person […]”

ska det stå:

”1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en

registrerad), varvid en identifierbar fysisk person […]”.

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/5

288

Prop. 2017/18:298

Bilaga 2

20. Sidan 35, artikel 5.1 led d

I stället för:

”d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att

personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan

dröjsmål (korrekthet).”

ska det stå:

”d) De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att

personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan

dröjsmål (riktighet).”

21. Sidan 37, artikel 6.4 led c

I stället för:

”c) […] om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.”

ska det stå:

”c) […] om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.”

22. Sidan 39, artikel 9.2 led j

I stället för:

”j) […], vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet […]”

ska det stå:

”j) […], vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet […]”.

23. Sidan 39, artikel 10

I stället för:

”Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande

säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är […]”

ska det stå:

”Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller

därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller

då behandling är […]”.

24. Sidan 41, artikel 13.2, inledningen

I stället för:

”2. […] för att säkerställa rättvis och transparent behandling:”

ska det stå:

”2. […] för att säkerställa rättvis och öppen behandling:”.

SV

L 127/6

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

289

25. Sidan 42, artikel 14.2, inledningen

I stället för:

”2. […] för att säkerställa rättvis och transparent behandling när det gäller den registrerade:”

ska det stå:

”2. […] för att säkerställa rättvis och öppen behandling när det gäller den registrerade:”.

26. Sidan 44, artikel 18.1 led a

I stället för:

”a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige

möjlighet att kontrollera om personuppgifterna är korrekta.”

ska det stå:

”a) Den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möj­

lighet att kontrollera om personuppgifterna är riktiga.”

27. Sidan 45, artikel 20.2

I stället för:

”2 Vid utövandet av sin rätt […]”

ska det stå:

”2. Vid utövandet av sin rätt […]”.

28. Sidan 45, artikel 21.1 andra meningen

I stället för:

”1. […] Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa

tvingande berättigade skäl för behandlingen […]”

ska det stå:

”1. […] Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa

avgörande berättigade skäl för behandlingen […]”.

29. Sidan 48, artikel 27.2 led a

I stället för:

”a) […], eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i

artikel 10, […]”

ska det stå:

”a) […], eller behandling av personuppgifter avseende fällande domar i brottmål samt lagöverträdelser som innefattar

brott, som avses i artikel 10, […]”.

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/7

290

Prop. 2017/18:298

Bilaga 2

30. Sidan 51, artikel 30.5

I stället för:

”5. […] om fällande domar i brottmål samt överträdelser som avses i artikel 10.”

ska det stå:

”5. […] om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10.”

31. Sidan 53, artikel 34.3 led a

I stället för:

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa

åtgärder tillämpats på de personuppgifter som […]”

ska det stå:

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa

åtgärder har tillämpats på de personuppgifter som […]”.

32. Sidan 53, artikel 34.4

I stället för:

”4. […] en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i

punkt 3 uppfylls.”

ska det stå:

”4. […] en hög risk, kräva att den personuppgiftsansvarige gör det eller får besluta att något av de villkor som

avses i punkt 3 uppfylls.”

33. Sidan 53, artikel 35.3 led b

I stället för:

”b) […] som rör fällande domar i brottmål och överträdelser som avses i artikel 10.”

ska det stå:

”b) […] som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.”

34. Sidan 55, artikel 37.1 led c

I stället för:

”c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning

av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i

brottmål och överträdelser, som avses i artikel 10.”

ska det stå:

”c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning

av särskilda kategorier av uppgifter i enlighet med artikel 9 eller personuppgifter som rör fällande domar i

brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.”

SV

L 127/8

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

291

35. Sidan 55, artikel 37.2

I stället för:

”2. En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett datas­

kyddsombud.”

ska det stå:

”2. En koncern får utnämna ett enda dataskyddsombud om det på varje verksamhetsställe är lätt att nå ett

dataskyddsombud.”

36. Sidan 56, artikel 38.3

I stället för:

”3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar

emot […]”

ska det stå:

”3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet inte tar

emot […]”.

37. Sidan 57, artikel 40.5, andra meningen

I stället för:

”5. […] överensstämmer med denna förordning och ska godkänna ett det utkastet till kod, ändring eller utökning

om den finner att tillräckliga garantier tillhandahålls.”

ska det stå:

”5. […] överensstämmer med denna förordning och ska godkänna utkastet till kod, ändring eller utökning om

den finner att tillräckliga garantier tillhandahålls.”

38. Sidan 58, artikel 41.3

I stället för:

”3. Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i

punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.”

ska det stå:

”3. Den behöriga tillsynsmyndigheten ska inlämna utkastet till krav för ackreditering av ett organ som avses i

punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.”

39. Sidan 58, artikel 41.5

I stället för:

”5. Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren

för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna

förordning.”

ska det stå:

”5. Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om kraven

för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna

förordning.”

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/9

292

Prop. 2017/18:298

Bilaga 2

40. Sidan 59, artikel 42.7

I stället för:

”7.

Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre

år och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska, i

tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om

kraven för certifieringen inte eller inte längre uppfylls.”

ska det stå:

”7.

Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre

år och får förnyas på samma villkor under förutsättning att de relevanta kriterierna fortsätter att vara uppfyllda.

Certifiering ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga

tillsynsmyndigheten om kriterierna för certifieringen inte eller inte längre uppfylls.”

41. Sidan 59, artikel 43.1, sista meningen

I stället för:

”1. […] Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:”

ska det stå:

”1. […] Medlemsstaterna ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:”.

42. Sidan 60, artikel 43.3, första meningen

I stället för:

”3. Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av

kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt

artikel 63.”

ska det stå:

”3. Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av

krav som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt

artikel 63.”

43. Sidan 60, artikel 43.6

I stället för:

”6. De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av

tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till

styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem

på lämpligt sätt.”

ska det stå:

”6. De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av

tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till

styrelsen.”

SV

L 127/10

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

293

44. Sidan 62, artikel 46.2, inledningen

I stället för:

”2. Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet,

ta formen av”

ska det stå:

”2. Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en tillsynsmyndighet, ta

formen av”.

45. Sidan 64, artikel 49.1 andra stycket första meningen

I stället för:

”[…] äga rum endast omöverföringen inte är repetitiv, […]”

ska det stå:

”[…] äga rum endast om överföringen inte är repetitiv, […]”.

46. Sidan 65, artikel 49.3

I stället för:

”3. […] som vidtas av offentliga myndigheter som ett led i myndighetsutövning.”

ska det stå:

”3. […] som vidtas av offentliga myndigheter som ett led i utövandet av deras offentliga befogenheter.”

47. Sidan 67, artikel 54.2

I stället för:

”2. […] som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under

mandatperioden […]”

ska det stå:

”2. […] som de fått kunskap om under utförandet av sina uppgifter eller utövandet av sina befogenheter. Under

mandatperioden […]”.

48. Sidan 68, artikel 56.6

I stället för:

”6. […] när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behand­

ling.”

ska det stå:

”6. […] när det gäller den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling.”

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/11

294

Prop. 2017/18:298

Bilaga 2

49. Sidan 69, artikel 57.1, led p

I stället för:

”p) Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt

artikel 41 och ett certifieringsorgan enligt artikel 43.”

ska det stå:

”p) Utarbeta och offentliggöra kraven för ackreditering av ett organ för övervakning av uppförandekoder enligt

artikel 41 och av ett certifieringsorgan enligt artikel 43.”

50. Sidan 70, artikel 58.2 led d

I stället för:

”d) Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker […],”

ska det stå:

”d) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att behandlingen sker […],”.

51. Sidan 73, artikel 62.3

I stället för:

”3. En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprungs­

landets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från

ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlems­

stat som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter

eller personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat.

Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från

värdlandets tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den

medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet.”

ska det stå:

”3. En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från den

utsändande tillsynsmyndigheten, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal

från den utsändande tillsynsmyndigheten som deltar i gemensamma insatser eller, i den mån lagstiftningen i värd­

tillsynsmyndighetens medlemsstat tillåter detta, medge att den utsändande tillsynsmyndighetens ledamöter eller

personal utövar utredningsbefogenheter enligt lagstiftningen i den utsändande tillsynsmyndighetens medlemsstat.

Sådana utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från

värdtillsynsmyndigheten. Ledamöter och personal från den utsändande tillsynsmyndigheten ska omfattas av lagstift­

ningen i värdtillsynsmyndighetens medlemsstat.”

52. Sidan 73, artikel 62.4

I stället för:

”4. Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat […]”

ska det stå:

”4. Om personal från en utsändande tillsynsmyndighet verkar i en annan medlemsstat […]”.

SV

L 127/12

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

295

53. Sidan 74, artikel 64.1 c

I stället för:

”c) syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan

enligt artikel 43.3,”

ska det stå:

”c) syftar till att godkänna kraven för ackreditering av ett organ enligt artikel 41.3 eller av ett certifieringsorgan enligt

artikel 43.3 eller de kriterier för certifiering som avses i artikel 42.5,”.

54. Sidan 74, artikel 64 punkterna 6, 7 och 8

I stället för:

”6. Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses

i punkt 3.

7. Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom

två veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om

huruvida den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det

ändrade utkastet till beslut.

8. Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i

den här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant

motivering, ska artikel 65.1 tillämpas.”

ska det stå:

”6.

Den behöriga tillsynsmyndighet som avses i punkt 1 får inte anta sitt utkast till beslut enligt punkt 1 inom den

period som avses i punkt 3.

7. Den behöriga tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och

ska, inom två veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordfö­

rande om huruvida den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända

det ändrade utkastet till beslut.

8. Om den behöriga tillsynsmyndighet som avses i punkt 1 underrättar styrelsens ordförande inom den period

som avses i punkt 7 i denna artikel om att den inte avser att följa styrelsens yttrande, helt eller delvis, och

tillhandahåller en relevant motivering, ska artikel 65.1 tillämpas.”

55. Sidan 74, artikel 65.1 a

I stället för:

”a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning

mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna

invändning med motiveringen att den inte var relevant eller motiverad. […]”

ska det stå:

”a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning

mot ett utkast till beslut av den ansvariga tillsynsmyndigheten och den ansvariga tillsynsmyndigheten inte har

instämt i invändningen eller har avslagit denna invändning med motiveringen att den inte var relevant eller

motiverad. […]”.

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/13

296

Prop. 2017/18:298

Bilaga 2

56. Sidan 76, artikel 69.2

I stället för:

”2. Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen

när den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.”

ska det stå:

”2. Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 och 70.2 ska styrelsen när

den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.”

57. Sidan 77, artikel 70.1 led l

I stället för:

”l) se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i

leden e och f,”

ska det stå:

”l) se över den praktiska tillämpningen av riktlinjerna, rekommendationerna och bästa praxisen,”.

58. Sidan 77, artikel 70.1 led o

I stället för:

”o) ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt

register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga

eller personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,”

ska det stå:

”o) godkänna kriterierna för certifiering i enlighet med artikel 42.5 och föra ett offentligt register över certifierings­

mekanismer och sigill och märkningar för dataskydd i enlighet med artikel 42.8 och över de certifierade person­

uppgiftsansvariga eller personuppgiftsbiträden som är etablerade i tredjeländer i enlighet med artikel 42.7,”.

59. Sidan 77, artikel 70.1 led p

I stället för:

”p) närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,”

ska det stå:

”p) godkänna de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan som avses i artikel 43,”.

60. Sidan 80, artikel 78.2

I stället för:

”2. […] om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har

fattats med anledning av det.”

ska det stå:

”2. […] om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat.”

SV

L 127/14

Europeiska unionens officiella tidning

23.5.2018

Prop. 2017/18:298

Bilaga 2

297

61. Sidan 80, artikel 79.2

I stället för:

”2. […] där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan

väckas […] som agerar inom ramen för sin myndighetsutövning.”

ska det stå:

”2. […] där den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe. Alternativt får

sådan talan väckas […] som agerar inom ramen för sina offentliga befogenheter.”

62. Sidan 81, artikel 81.2

I stället för:

”2. […] än den där förfarandena först inleddes vilandeförklara förfarandena.”

ska det stå:

”2. […] än den där förfarandena först inleddes vilandeförklara sina förfaranden.”

SV

23.5.2018

Europeiska unionens officiella tidning

L 127/15

Sammanfattning av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Uppdraget

I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författningsförslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning.

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och gäller i stället för motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet (95/46/EG) och dess svenska implementering genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpningsområde.

Begreppet forskningsändamål

Förordningens återkommande uttryck ”vetenskapliga eller historiska forskningsändamål” innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedömning likställas.

Personuppgiftsbehandling för forskningsändamål bör vidare kunna omfatta hela eller delar av forskningsprocessen. Iordningställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är således att de enskilda delarna av denna process ska kunna betecknas som behandling för forskningsändamål utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier där förlopp studeras över tidsperioder som ibland omfattar många år.

En forskningsdatalag

Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdatalagen. En registerförfattning, eller en bestämmelse i en registerförfattning, som specifikt är tillämplig på personuppgiftsbehandling för ändamålet forskning ska ha företräde framför avvikande bestämmelser i forskningsdatalagen.

Rättslig grund

Fastställande av allmänt intresse som rättslig grund

Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framförallt kan komma ifråga för forskningsändamål är, enligt utredningens bedömning, samtycke enligt artikel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavvägning enligt artikel 6.1 f.

Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forskningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komplettera dataskyddsförordningen.

Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den särskilda behandlingen. Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

Kravet enligt artikel 6.3 på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på.

I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.

Om inga nationella lagstiftningsåtgärder vidtas innebär förordningens bestämmelser att offentliga forskningsaktörer framförallt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framförallt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, i praktiken beroende på vilken organisationsform aktören har, är enligt utredningens bedömning rimligen inte avsiktligt.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen för behandling av personuppgifter för forskningsändamål.

Ytterligare behandling

Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar.

I samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgiftsansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Samtycke

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Dataskyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med i personuppgiftslagen.

Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförordningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhållanden, dvs. när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas.

Ytterligare behandling av personuppgifter för forskningsändamål insamlade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny personuppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt.

Känsliga personuppgifter

Av artikel 9.1 i dataskyddsförordningen framgår att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens definition av den här kategorin av personuppgifter är något utökad jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförordningen används vidare benämningen särskilda kategorier av personuppgifter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi dock att även fortsatt benämna dessa slags personuppgifter som känsliga personuppgifter.

För att behandling av känsliga personuppgifter ska vara tillåten under vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet. Som huvudsaklig

skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etikprövningslagen ska kvarstå.

Personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter om lagöverträdelser m.m. regleras i artikel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades rättigheter och friheter. Utredningen föreslår att etikprövning enligt etikprövningslagen fortsatt ska vara den huvudsakliga skyddsåtgärden.

Personnummer och samordningsnummer

Den reglering som Dataskyddsutredningen föreslår för behandling av personnummer eller samordningsnummer innehåller samma direkt tillämpliga villkor som återfinns i nuvarande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.

Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.

Begränsningar av registrerades rättigheter

I dataskyddsförordningens tredje kapitel (artiklarna 12–23) anges den registrerades rättigheter i samband med att dennes personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas. Dataskyddsutredningen har föreslagit vissa generella begränsningar i dessa rättigheter.

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forskningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen.

Rätten till rättelse (artikel 16) ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i arkiveringssyfte. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätt till begränsning av behandling (artikel 18) ska inte gälla när den registrerade bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta, om detta medför att forskningen inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Det saknas behov av ytterligare undantag från rätten till tillgång (artikel 15) samt rätten att göra invändningar (artikel 21) när personuppgifter behandlas för forskningsändamål, utöver vad Dataskyddsutredningen har föreslagit.

Tillsyn och sanktioner

Utredningen har översiktligt behandlat frågor om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet, och ha befogenheter enligt dataskyddsförordningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen.

Eftersom den föreslagna forskningsdatalagen kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

Skyddsåtgärder

Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför analyserat centrala begrepp, som exempelvis personuppgift, pseudonymisering och anonymisering, för att därefter gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa

den registrerades grundläggande rättigheter, särskilt mot bakgrund på dataskyddsförordningens säkerhetskrav.

Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkännande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen föreslår att personuppgiftslagens befintliga bestämmelse som anger att uppgifter som samlats in för forskningsändamål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Vidare föreslår vi att en bestämmelse införs i forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis.

Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.

En proportionerlig lagstiftning

Utredningen har analyserat de föreslagna bestämmelserna i forskningsdatalagen utifrån de krav på framförallt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen.

Den föreslagna regleringen måste uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Utredningens bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportionell utifrån samtliga dessa proportionalitetskrav.

Etikprövning

Utredningen har analyserat vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras inför att dataskyddsförordningen börjar tillämpas. Utredningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med

dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen har därpå analyserat om etikprövningslagens tillämpningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de ytterligare uppgifter som i dagsläget framgår av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde.

Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Ett differentierat etikprövningsförfarande framstår som mer ändamålsenligt inom framför allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efterföljande behandlingen endast innebär en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.

Slutligen har utredningen analyserat vilka ändringar av etikprövningslagen som i övrigt behöver göras med anledning av att dataskyddsförordningen börjar tillämpas och lämnar behövliga författningsförslag i dessa delar.

Anpassningar av vissa registerförfattningar

Vi har i uppdrag att i utredningens nästa skede bereda Registerforskningsutredningens (U 2013:01) förslag i betänkandet Unik kunskap genom registerforskning (SOU 2014:45) vidare. Eftersom det är kort tid tills dataskyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen föreslår, som behöver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskyddsförordningen ska börja tillämpas.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska anpassningar av registerlagarna i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inrik-

tad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagarna ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagarna i vart fall inte ska försämras.

Ikraftträdande

Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgiftslagen samtidigt ska upphöra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.

Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tillämpas. Det är utredningens uppfattning att det därmed inte finns utrymme för några övergångsbestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål tillämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.

Konsekvenser

Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgiftslagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.

Utredningen bedömer att förslagen inte medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen överlag innebär en förstärkning av den personliga integriteten.

Betänkandets lagförslag

1.1 Förslag till forskningsdatalag

Inledande bestämmelser

1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

2 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.

Lagens tillämpningsområde 4 § Denna lag tillämpas vid behandling av personuppgifter för forskningsändamål.

Behandling av personuppgifter för forskningsändamål

Rättslig grund 5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Generella skyddsåtgärder 7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8–10 §§ denna lag.

8 § Vid personuppgiftsbehandling för forskningsändamål ska personuppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset.

9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.

Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas, får personuppgiftsbehandling ändå utföras.

10 § Personuppgifter som behandlas för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

Känsliga personuppgifter 11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.

Personuppgifter om lagöverträdelser m.m. 12 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.

Undantag från registrerades rättigheter 13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskyddsförordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behandlas för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt.

Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.

D enna lag träder i kraft den 25 maj 201

8.

1.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs, forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: behandling av personuppgifter: sådan behandling som anges i 3 § sådan behandling som anges i arpersonuppgiftslagen (1998:204). tikel 4.2 i Europaparlamentet och

rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

1 Senaste lydelse SFS 2008:192.

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter enligt 1. sådana särskilda kategorier av 13 § personuppgiftslagen personuppgifter som avses i arti-(1998:204), eller kel 9.1 i dataskyddsförordningen (känsliga personuppgifter), eller

2. sådana personuppgifter om lag-

2. personuppgifter om lagöverträ- överträdelser som innefattar brott, delser som innefattar brott, domar domar i brottmål, straffproi brottmål, straffprocessuella cessuella tvångsmedel eller admitvångsmedel eller administrativa nistrativa frihetsberövanden. frihetsberövanden enligt 21 § personuppgiftslagen.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse SFS 2008:192.

1.3 Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13 och 17 §§ ska upphöra att gälla,

dels att 2, 3, 12, 14 och 16 §§ och rubriken närmast före 3 § och 16 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1§ 1.

Lagen gäller bara om behand- lingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.

1 Senaste lydelse SFS 2013:794.

Förhållandet till person- Förhållandet till annan

uppgiftslagen dataskyddsreglering

3 §2

Personuppgiftslagen (1998:204) Denna lag kompletterar Europagäller vid behandling av person- parlamentets och rådets förorduppgifter, om inte annat följer av ning (EU) 2016/679 av den denna lag. 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

3 a § Lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

12 §3

Personuppgifter som inte längre Personuppgifter som inte längre behövs för de ändamål som avses behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet regeringen eller den myndighet som regeringen bestämmer har som regeringen bestämmer har meddelat föreskrifter om eller i ett meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter enskilt fall beslutat att uppgifter får bevaras för historiska, statis- får bevaras för arkivändamål av tiska eller vetenskapliga ändamål. allmänt intresse, vetenskapliga

eller historiska forskningsändamål eller statistiska ändamål.

2 Senaste lydelse SFS 2013:794. 3 Senaste lydelse SFS 2013:794.

14 §4

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt sam- Utöver vad som framgår av artiktycke enligt första stycket ska han larna 13 och 14 i dataskyddseller hon ha informerats om förordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informerats om

1. att det är frivilligt att lämna 1. att det är frivilligt att lämna uppgifter, medverka till upptag- uppgifter, medverka till upptagningar eller genomgå undersök- ningar eller genomgå undersökningar i syfte att uppgifter om ningar i syfte att uppgifter om detta förs in i registret samt att den detta förs in i registret samt att den registrerade när som helst kan av- registrerade när som helst kan avbryta sitt uppgiftslämnande, sin bryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande medverkan eller sitt deltagande helt eller delvis, helt eller delvis,

2. för vilka ändamål behandling 2. vilka uppgifter som får registre-kan ske enligt 5–7 §§ och vilka ras enligt 9 §, uppgifter som får registreras enligt 9 §,

3. de sekretess- och säker- 3. de sekretess- och säkerhetsbehetsbestämmelser som gäller för stämmelser som gäller för registregistret, ret,

4. vem som är personuppgifts- ansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av uppgif- terna,

7. rätten till information enligt 4. rätten till information enligt 15 § denna lag och 26 § person- 15 § denna lag och artikel 15 i uppgiftslagen (1998:204), dataskyddsförordningen,

8. vilken myndighet som har till- 5. vilken myndighet som har tillsyn över att denna lag följs, syn över att denna lag följs, och

9. rätten till skadestånd, och

6. rätten till skadestånd.

10. rätten att få uppgifter utplånade.

4 Senaste lydelse SFS 2013:794.

Utplåning

av uppgifter

Radering

av uppgifter

16 §5

Den registrerade har rätt att när I artikel 17 i dataskyddsförordsom helst begära att uppgifter i re- ningen finns bestämmelser om rätt gistret om honom eller henne ska till radering. En begäran om radeutplånas. En sådan begäran ska ring ska göras skriftligen hos den göras skriftligen hos den person- personuppgiftsansvarige och vara uppgiftsansvarige och vara under- undertecknad av den registrerade tecknad av den registrerade själv. själv. Om begäran innefattar rade-

Om begäran innefattar utplåning ring av sådana uppgifter som avav sådana uppgifter som avses i ses i 9 § första stycket 7 ska detta 9 § första stycket 7 ska detta sär- särskilt anges. skilt anges. Den personuppgiftsansvarige ska Den personuppgiftsansvarige ska inom två månader från det att be- inom två månader från det att begäran gjordes utplåna uppgifterna gäran gjordes radera uppgifterna i i enlighet med begäran och sända enlighet med begäran och sända den registrerade en bekräftelse på den registrerade en bekräftelse på att så har skett. Om den enskilde att så har skett. Om den enskilde inte har begärd utplåning även av inte har begärd radering även av uppgifter som avses i 9 § första uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen uppgifter bifogas bekräftelsen med en påminnelse om att den en- med en påminnelse om att den enskilde har rätt att begära att även skilde har rätt att begära att även få dem utplånade. få dem raderade.

Denna lag träder i kraft den 25 maj 2018.

5 Senaste lydelse SFS 2013:794.

1.4 Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till person- Förhållandet till

uppgiftslagen annan dataskyddsreglering

2 §1

Om inget annat följer av denna Vid behandling av personuppgiflag tillämpas personuppgiftslagen ter för det rättspsykiatriska forsk-(1998:204) vid behandling av per- ningsregistret kompletterar denna sonuppgifter för det rättspsykia- lag Europaparlamentets och råtriska forskningsregistret. dets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

2 a § Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskydds-

lagen) gäller vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

1 Senaste lydelse SFS 1999:353.

12 §2

När personuppgifter i ett mål När personuppgifter i ett mål första gången registreras i det första gången registreras i det rättspsykiatriska forskningsregist- rättspsykiatriska forskningsregistret skall Rättsmedicinalverket ret ska Rättsmedicinalverket lämna den registrerade informa- lämna den registrerade information om behandlingen. tion om behandlingen.

Informationen skall innehålla Utöver vad som framgår av arti-upplysningar om kel 14 i dataskyddsförordningen

1. att Rättsmedicinalverket är per- ska informationen innehålla upp-sonuppgiftsansvarigt för behand- lysningar om lingen,

2. ändamålen med behandlingen,

3. vilken typ av uppgifter behand- lingen avser,

4. mottagarna av uppgifterna,

5. de sekretess- och säkerhets- 1. de sekretess- och säkerhetsbestämmelser som gäller för be- bestämmelser som gäller för behandlingen, handlingen,

6. bestämmelserna i personupp- 2. bestämmelserna i dataskyddsgiftslagen (1998:204) om infor- förordningen och dataskyddslamation som skall lämnas efter an- gen om den registrerades rätt till sökan samt om rättelse och skade- skadestånd, samt stånd, samt

7. de begränsningar i fråga om till- 3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av gång till uppgifter, utlämnande av uppgifter på medium för automa- uppgifter på medium för automatiserad behandling och bevarande tiserad behandling och bevarande av uppgifter som gäller för be- av uppgifter som gäller för behandlingen. handlingen.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse SFS 1999:353.

Förteckning över remissinstanserna

Remissvar har lämnats av Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Polismyndigheten, Säkerhetspolisen, Kriminalvården, Brottsförebyggande rådet, Rättsmedicinalverket, Myndigheten för samhällsskydd och beredskap, Datainspektionen, Försvarsmakten, Försvarets materielverk, Totalförsvarets forskningsinstitut, Försäkringskassan, Socialstyrelsen, Läkemedelsverket, Folkhälsomyndigheten, Statens institutionsstyrelse, Myndigheten för delaktighet, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, E-hälsomyndigheten, Statistiska centralbyrån, Arbetsgivarverket, Statskontoret, Stockholms läns landsting, Uppsala läns landsting, Södermanlands läns landsting, Östergötlands läns landsting, Jönköpings läns landsting, Kalmar läns landsting, Gotlands läns landsting, Skåne läns landsting, Västra Götalands läns landsting, Värmlands läns landsting, Örebro läns landsting, Västmanlands läns landsting, Dalarnas läns landsting, Gävleborgs läns landsting, Västernorrlands läns landsting, Jämtlands läns landsting, Västerbottens läns landsting, Kiruna kommun, Luleå kommun, Stockholms kommun, Statens skolverk, Försvarshögskolan, Gymnastik- och idrottshögskolan, Göteborgs universitet, Högskolan i Borås, Högskolan i Halmstad, Karlstads universitet, Karolinska institutet, Kungl. Tekniska högskolan, Linköpings universitet, Luleå tekniska universitet, Lunds universitet, Malmö högskola, Mittuniversitetet, Mälardalens högskola, Stockholms universitet, Umeå universitet, Uppsala universitet, Örebro universitet, Kungl. Biblioteket, Vetenskapsrådet, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Umeå, Regionala etikprövningsnämnden i Uppsala, Centrala etikprövningsnämnden, Rymdstyrelsen, Naturvårdsverket, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Statens energimyndighet, Statens väg- och transportforskningsinstitut, Trafikanalys, Sveriges geologiska undersökning, Verket för innovationssystem, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Skogsstyrelsen, Statens jordbruksverk, Sveriges lantbruksuniversitet, Statens veterinärmedicinska anstalt, Livsmedelsverket, Lantmäteriet, Riksarkivet, Institutet för språk och folkminnen, Naturhistoriska riksmuseet, Arbetsförmedlingen, Arbetsmiljöverket, Medlingsinstitutet, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Inspektionen för arbetslöshetsförsäkringen, Cancerfonden – Riksföreningen mot cancer, Chalmers tekniska högskola AB, Ersta Sköndal Bräcke högskola, Jönköping University, Kungl. Ingenjörsvetenskapsakademien, Kungl. Vetenskapsakademien, Kungl. Vitterhets Historie och Antikvitets Akademien, Läkemedelsindustriföreningen, Nationellt biobanksråd, Research Institutes of Sweden, Statens medicinsk- etiska råd, Svenska läkaresällskapet och Sveriges Kommuner och Landsting

Riksdagens ombudsmän (JO), Riksrevisionen, Totalförsvarets rekryteringsmyndighet, Myndigheten för vård och omsorgsanalys, Statens beredning för medicinsk och social utvärdering, Kronobergs läns landsting, Blekinge läns landsting, Hallands läns landsting, Norrbottens läns landsting,

Borlänge kommun, Falköpings kommun, Kalmar kommun, Lunds kommun, Partille kommun, Sundsvalls kommun, Södertälje kommun, Skolforskningsinstitutet, Linnéuniversitetet, Regionala etikprövningsnämnden i Stockholm, Ericsson Research, Funktionsrätt Sverige, Hjärt-Lungfonden, Inera AB, KK-stiftelsen, Kungl. Skogs- och Lantbruksakademien, Landsorganisationen i Sverige, Pensionärernas riksorganisation, Stiftelsen för strategisk forskning, Stiftelsen Institutet för framtidsstudier, Svenskt näringsliv, Sveriges akademikers centralorganisation, Sveriges Universitets- och högskoleförbund och Tjänstemännens Centralorganisation har avstått från att lämna synpunkter på förslagen i betänkandet eller har inte svarat på remissen.

Synpunkter har även lämnats av Svensk sjuksköterskeförening, Sveriges läkarförbund och Sveriges Tandläkarförbund.

Lagförslagen i utkastet till lagrådsremiss Behandling av personuppgifter för forskningsändamål

2.1 Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till Förhållandet till annan datapersonuppgiftslagen skyddsreglering

Om inget annat följer av denna Denna lag kompletterar Europalag tillämpas personuppgifts- parlamentets och rådets förlagen (1998:204) vid behandling ordning (EU) 2016/679 av den av personuppgifter för det rätts- 27 april 2016 om skydd för psykiatriska forskningsregistret. fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 §

När personuppgifter i ett mål När personuppgifter i ett mål första gången registreras i det första gången registreras i det rättspsykiatriska forsknings- rättspsykiatriska forskningsregistret skall Rättsmedicinal- registret ska Rättsmedicinalverket verket lämna den registrerade lämna den registrerade informainformation om behandlingen. tion om behandlingen.

Informationen skall innehålla Utöver vad som framgår av upplysningar om artikel 14 i EU:s

1. att Rättsmedicinalverket är dataskyddsförordning ska personuppgiftsansvarigt för be- informationen innehålla handlingen, upplysningar om

2. ändamålen med behandlingen,

3. vilken typ av uppgifter behandlingen avser,

4. mottagarna av uppgifterna,

5. de sekretess- och säkerhetsbestämmelser som gäller för be-

1. de sekretess- och säkerhets-

handlingen, bestämmelser som gäller för be-

6. bestämmelserna i person- handlingen, uppgiftslagen (1998:204) om in-

2. bestämmelserna i EU:s data-

formation som skall lämnas efter skyddsförordning och lagen ansökan samt om rättelse och (2018:000) med kompletterande skadestånd, samt

bestämmelser till EU:s dataskyddsförordning om den registrerades rätt till skadestånd,

7. de begränsningar i fråga om samt tillgång till uppgifter, utlämnande

3. de begränsningar i fråga om

av uppgifter på medium för auto- tillgång till uppgifter, utlämnande matiserad behandling och beva- av uppgifter på medium för autorande av uppgifter som gäller för matiserad behandling och bevabehandlingen. rande av uppgifter som gäller för behandlingen.

Denna lag träder i kraft den 1 januari 2019.

2.2 Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: behandling av personuppgifter: sådan behandling som anges i 3 § sådan behandling som anges i personuppgiftslagen (1998:204). artikel 4.2 i Europaparlamentet

och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 §2Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter

1. personuppgifter som avses i

enligt 13 § personuppgiftslagen artikel 9.1 i EU:s dataskydds-(1998:204), eller förordning (känsliga personuppgifter), eller

1 Senaste lydelse 2008:192. 2 Senaste lydelse 2008:192.

2. personuppgifter om lagöver-

2. personuppgifter om lagöver-

trädelser som innefattar brott, trädelser som innefattar brott, domar i brottmål, straffproces- domar i brottmål, straffprocessuella tvångsmedel eller admini- suella tvångsmedel eller administrativa frihetsberövanden enligt strativa frihetsberövanden. 21 § personuppgiftslagen.

Denna lag träder i kraft den 1 januari 2019.

2.3 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen ska ha följande lydelse.

Lydelse enligt prop. 2017/18:105 Föreslagen lydelse

Sekretess gäller för Sekretess gäller för personuppgift, om det kan antas att personuppgift, om det kan antas att uppgiften efter ett utlämnande uppgiften efter ett utlämnande kommer att behandlas i strid med kommer att behandlas i strid med Europaparlamentets och rådets 1. Europaparlamentets och rådets förordning (EU) 2016/679 av den förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska 27 april 2016 om skydd för fysiska personer med avseende på personer med avseende på behandbehandling av personuppgifter och ling av personuppgifter och om det om det fria flödet av sådana fria flödet av sådana uppgifter och uppgifter och om upphävande av om upphävande av direktiv direktiv 95/46/EG (allmän 95/46/EG (allmän dataskyddsfördataskyddsförordning), i den ordning), i den ursprungliga lydelursprungliga lydelsen, eller lagen sen, (2018:000) med kompletterande

2. lagen (2018:000) med komp-

bestämmelser till EU:s letterande bestämmelser till EU:s dataskyddsförordning. dataskyddsförordning, eller

3. 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor.

Denna lag träder i kraft den 1 januari 2019.

2.4 Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till Förhållandet till annan personuppgiftslagen dataskyddsreglering

3 §

Personuppgiftslagen Denna lag kompletterar ( 1998:204 ) gäller vid behandling Europaparlamentets och rådets av personuppgifter, om inte annat förordning (EU) 2016/679 av den följer av denna lag. 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

12 §

Personuppgifter som inte längre Personuppgifter som inte längre behövs för de ändamål som avses behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet regeringen eller den myndighet

som regeringen bestämmer har som regeringen bestämmer har meddelat föreskrifter om eller i ett meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter enskilt fall beslutat att uppgifter får bevaras för historiska, statis- får bevaras för arkivändamål av tiska eller vetenskapliga ända- allmänt intresse, vetenskapliga mål. eller historiska forskningsändamål eller statistiska ändamål.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt Utöver vad som framgår av samtycke enligt första stycket ska artiklarna 13 och 14 i EU:s datahan eller hon ha informerats om skyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling

2. vilka uppgifter som får

kan ske enligt 5–7 §§ och vilka registreras enligt 9 §, uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av upp- gifterna,

7. rätten till information enligt

4. rätten till information enligt

15 § denna lag och 26 § per- 15 § denna lag och artikel 15 i sonuppgiftslagen (1998:204),

EU:s dataskyddsförordning,

8. vilken myndighet som har

5. vilken myndighet som har

tillsyn över att denna lag följs, tillsyn över att denna lag följs, och

9. rätten till skadestånd, och

6. rätten till skadestånd.

10. rätten att få uppgifter utplånade.

Denna lag träder i kraft den 1 januari 2019.

2.5 Förslag till lag om ändring i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att det i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse.

Forskning

3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Denna lag träder i kraft den 1 januari 2019.

Förteckning över remissinstanserna

Remissvar har lämnats av Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Brottsförebyggande rådet, Rättsmedicinalverket, Datainspektionen, Kommerskollegium, Försvarsmakten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Läkemedelsverket, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, Statistiska centralbyrån, Arbetsgivarverket, Stockholms läns lands-ting, Kalmar läns landsting, Västra Götalands läns landsting, Luleå kommun, Göteborgs universitet, Högskolan i Borås, Karlstads universitet, Karolinska institutet, Kungl. Tekniska högskolan, Lunds universitet, Malmö högskola, Mittuniversitetet, Stockholms universitet, Umeå universitet, Örebro universitet, Kungl. Biblioteket, Vetenskapsrådet, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Regionala etikprövningsnämnden i Lund, Regionala etikprövningsnämnden i Stockholm, Regionala etikprövningsnämnden i Umeå, Regionala etikprövningsnämnden i Uppsala, Centrala etikprövningsnämnden, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Verket för innovationssystem, Sveriges lantbruksuniversitet, Riksarkivet, Arbetsförmedlingen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Chalmers tekniska högskola AB, Jönköping University, Kungl. Vetenskapsakademien, Läkemedelsindustriföreningen, Sveriges Kommuner och Landsting, Svenska tidningsutgivareföreningen.

Riksdagens ombudsmän (JO), Stockholms kommun, Myndigheten för vård- och omsorgsanalys, Skåne läns landsting, Uppsala läns landsting, Västerbottens läns landsting, Östergötlands läns landsting, Kiruna kommun, Uppsala universitet, Statens medicinsk-etiska råd, Ersta Sköndal Bräcke högskola och Svenska Journalistförbundet har avstått från att lämna synpunkter på förslagen i utkastet till lagrådsremiss eller har inte svarat på remissen.

Lagrådsremissens lagförslag

Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till person- Förhållandet till annan data-

uppgiftslagen skyddsreglering

2 §

Om inget annat följer av denna Denna lag kompletterar Europalag tillämpas personuppgiftslagen parlamentets och rådets förordning ( 1998:204 ) vid behandling av (EU) 2016/679 av den 27 april personuppgifter för det rättspsy- 2016 om skydd för fysiska personer kiatriska forskningsregistret. med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 § När personuppgifter i ett mål När personuppgifter i ett mål första gången registreras i det första gången registreras i det rättspsykiatriska forskningsregist- rättspsykiatriska forskningsregistret skall Rättsmedicinalverket läm- ret ska Rättsmedicinalverket lämna na den registrerade information om information om behandlingen till behandlingen.

den registrerade.

Informationen skall innehålla upplysningar om

1. att Rättsmedicinalverket är Utöver vad som framgår av arpersonuppgiftsansvarigt för be- tikel 14 i EU:s dataskyddsförordhandlingen, ning ska informationen innehålla

2. ändamålen med behandlingen, upplysningar om

3. vilken typ av uppgifter behandlingen avser,

4. mottagarna av uppgifterna,

5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

1. de sekretess- och säkerhets-

6. bestämmelserna i personupp- bestämmelser som gäller för be-giftslagen (1998:204) om informa- handlingen, tion som skall lämnas efter ansökan

2. bestämmelserna i EU:s data-

samt om rättelse och skadestånd, skyddsförordning och lagen samt (2018:218) med kompletterande bestämmelser till EU:s data-

7. de begränsningar i fråga om skyddsförordning om den registre-tillgång till uppgifter, utlämnande rades rätt till skadestånd, och av uppgifter på medium för auto-

3. de begränsningar i fråga om

matiserad behandling och bevaran- tillgång till uppgifter, utlämnande de av uppgifter som gäller för be- av uppgifter på medium för autohandlingen. matiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Denna lag träder i kraft den 1 janu ari 2019.

Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: behandling av personuppgifter: sådan behandling som anges i 3 § sådan behandling som anges i ar-personuppgiftslagen (1998:204). tikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd

EU:s dataskyddsförordning.

3 §2Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter en-

1. personuppgifter som avses i

ligt 13 § personuppgiftslagen artikel 9.1 i EU:s dataskyddsför-(1998:204), eller ordning (känsliga personuppgifter), eller

2. personuppgifter om lagöver-

2. personuppgifter om lagöver-

trädelser som innefattar brott, do- trädelser som innefattar brott, domar i brottmål, straffprocessuella mar i brottmål, straffprocessuella tvångsmedel eller administrativa tvångsmedel eller administrativa frihetsberövanden enligt 21 § per- frihetsberövanden. sonuppgiftslagen.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2008:192. 2 Senaste lydelse 2008:192.

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

21 kap.

7 §1

Sekretess gäller för personupp-Sekretess gäller för personuppgift, om det kan antas att uppgiften gift, om det kan antas att uppgiften efter ett utlämnande kommer att be- efter ett utlämnande kommer att behandlas i strid med Europaparla- handlas i strid med mentets och rådets förordning (EU)

1. Europaparlamentets och rådets 2016/679 av den 27 april 2016 om förordning (EU) 2016/679 av den skydd för fysiska personer med av- 27 april 2016 om skydd för fysiska seende på behandling av person- personer med avseende på behanduppgifter och om det fria flödet av ling av personuppgifter och om det sådana uppgifter och om upphä- fria flödet av sådana uppgifter och vande av direktiv 95/46/EG (all- om upphävande av direktiv män dataskyddsförordning), i den 95/46/EG (allmän dataskyddsförursprungliga lydelsen, eller lagen ordning), i den ursprungliga lydel-(2018:218) med kompletterande sen, bestämmelser till EU:s dataskydds-

2. lagen (2018:218) med komp-

förordning. letterande bestämmelser till EU:s dataskyddsförordning, eller

3. 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2018:220.

Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till personupp- Förhållandet till annan data-

giftslagen skyddsreglering

3 §

Personuppgiftslagen (1998:204) Denna lag kompletterar Europagäller vid behandling av perso- parlamentets och rådets förordning nuppgifter, om inte annat följer av (EU) 2016/679 av den 27 april denna lag. 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

12 § Personuppgifter som inte längre Personuppgifter som inte längre behövs för de ändamål som avses i behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet regeringen eller den myndighet som regeringen bestämmer har som regeringen bestämmer har

meddelat föreskrifter om eller i ett meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska bevaras för arkivändamål av eller vetenskapliga ändamål. allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt Utöver vad som framgår av ar-samtycke enligt första stycket ska tiklarna 13 och 14 i EU:s datahan eller hon ha informerats om skyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling

2. vilka uppgifter som får re-

kan ske enligt 5–7 §§ och vilka gistreras enligt 9 §, uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt

4. rätten till information enligt

15 § denna lag och 26 § person- 15 § denna lag och artikel 15 i EU:s uppgiftslagen (1998:204), dataskyddsförordning,

8. vilken myndighet som har

5. vilken myndighet som har

tillsyn över att denna lag följs, tillsyn över att denna lag följs, och

9. rätten till skadestånd, och

6. rätten till skadestånd.

10. rätten att få uppgifter utplånade.

Denna lag träder i kraft den 1 januari 2019.

Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att det i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

Forskning

3 §

Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Denna lag träder i kraft den 1 januari 2019.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2018-08-27

Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Thomas Bull.

Behandling av personuppgifter för forskningsändamål

Enligt en lagrådsremiss den 28 juni 2018 har regeringen (Utbildningsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till

1. lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister,

2. lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor,

3. lag om ändring i offentlighets- och sekretesslagen (2009:400),

4. lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa,

5. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Förslagen har inför Lagrådet föredragits av kanslirådet Tyri Öhman och ämnesrådet Linda Stridsberg.

Lagrådet lämnar förslagen utan erinran.

Utbildningsdepartementet

Utdrag ur protokoll vid regeringssammanträde den 6 september 2018

Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Linde, Skog, Fritzon.

Föredragande: statsrådet Helene Hellmark Knutsson

Regeringen beslutar proposition Behandling av personuppgifter för forskningsändamål