Prop. 2018/19:151

Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 19 juni 2019

Åsa Lindhagen

Susanne Södersten (Arbetsmarknadsdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till en ny lag som ska komplettera EU:s dataskyddsförordning när personuppgifter behandlas vid Myndigheten för arbetsmiljökunskap. Förslaget syftar till att ge myndigheten möjlighet att behandla de personuppgifter som är nödvändiga för att myndigheten ska kunna fullgöra sina arbetsuppgifter på ett effektivt sätt samtidigt som enskildas personliga integritet värnas.

Lagen föreslås omfatta behandling av personuppgifter i den del av myndighetens verksamhet som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys. I denna verksamhet föreslås myndigheten få ha samlingar av personuppgifter. Den föreslagna lagen innehåller olika skyddsåtgärder och begränsningar som syftar till att värna enskildas personliga integritet.

Den nya lagen föreslås träda i kraft den 1 mars 2020.

1. Förslag till riksdagsbeslut

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.

2. Förslag till lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid

Myndigheten för arbetsmiljökunskap som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Medgivande när uppgifter samlas in direkt från den enskilde

5 § Om personuppgifterna samlas in direkt från den enskilde, får de behandlas endast om personen har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål med behandlingen

7 § Personuppgifter får endast behandlas om det är nödvändigt för

1. insamling, sammanställning och spridning av kunskap om arbetsmiljö,

2. utvärdering och analys av statliga reformer och andra statliga initiativ,

3. bevakning och analys av utvecklingen på arbetsmiljöområdet, och

4. forskning som myndigheten får bedriva för att utföra sitt kunskaps-, utvärderings- och analysarbete.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

10 § I myndighetens samlingar av personuppgifter får endast sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning behandlas.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Samlingar av personuppgifter

11 § Myndigheten får ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i sådana samlingar som avses i första stycket får inte behandlas i syfte att röja en persons identitet.

12 § Myndigheten får om det är nödvändigt för ett särskilt projekt även ha samlingar av personuppgifter som behandlas automatiserat och som är

försedda med en beteckning som förvaras skilt från uppgifterna och som myndigheten kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i samlingar som avses i första stycket får inte sambearbetas med varandra. Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att myndigheten ska kunna upprepa eller följa upp ett tidigare genomfört projekt.

Tillgång till personuppgifter

13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Denna lag träder i kraft den 1 mars 2020.

3. Ärendet och dess beredning

Regeringen beslutade den 7 september 2017 att tillkalla en särskild utredare för att förbereda och genomföra bildandet av en ny myndighet, Myndigheten för arbetsmiljökunskap. I uppdraget ingick att senast den 1 mars 2018 lämna nödvändiga författningsförslag för myndighetens tillgång till och arbete med statistik och databaser. Regeringen beslutade därefter att förlänga tiden för denna del av utredningsuppdraget till den 31 maj 2018. Den 19 april 2018 beslutade regeringen om tilläggsdirektiv till utredningen där utredarens uppdrag i fråga om författningsförslag utökades till att även beakta att myndigheten får bedriva den forskning som är nödvändig för att myndigheten ska kunna fullgöra vissa av sina uppgifter inom sitt ansvarsområde.

Utredningen som antog namnet Utredningen om inrättande av Myndigheten för arbetsmiljökunskap presenterade i maj 2018 betänkandet Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap (SOU 2018:45). En sammanfattning av betänkandet finns i bilaga 1 och utredningens lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En remissammanställning finns tillgänglig i Arbetsmarknadsdepartementet (A2018/01209/ARM).

Inom Regeringskansliet har det utarbetats en kompletterande promemoria till betänkandet med förslag om vilka kategorier av känsliga personuppgifter som myndigheten ska få behandla (A2018/01209/ARM). En sammanfattning av promemorian finns i bilaga 4 och promemorians lagförslag finns i bilaga 5. En förteckning över remissinstanserna finns i bilaga 6. En remissammanställning finns tillgänglig i Arbetsmarknadsdepartementet (A2019/00356/ARM).

Lagrådet

Regeringen beslutade den 29 maj 2019 att inhämta Lagrådets yttrande över det förslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Lagrådet har lämnat förslaget utan erinran. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.

4. En ny arbetsmiljömyndighet och EU:s dataskyddsregelverk

4.1. Myndigheten för arbetsmiljökunskap

Myndigheten för arbetsmiljökunskap är en ny statlig myndighet på arbetsmarknadsområdet som inledde sin verksamhet den 1 juni 2018. Myndigheten är ett nationellt kunskapscentrum för arbetsmiljöfrågor och ska sammanställa och sprida kunskap om arbetsmiljö i syfte att bidra till att kunskap om arbetsmiljö kommer till användning i praktiken. Myndigheten har också till uppgift att följa och analysera utvecklingen på arbetsmiljöområdet samt utvärdera och analysera statliga arbetsmiljöinsatser. Andra

uppdrag är att arbeta med företagshälsovårdens utveckling och arbetsmiljöfrågor i Europeiska unionen (EU) och internationellt.

4.2. EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, utgör från och med den 25 maj 2018 den generella regleringen av behandling av personuppgifter inom EU. Det huvudsakliga syftet med förordningen är bl.a. att säkerställa en enhetlig skyddsnivå i hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerade nationella bestämmelser av olika slag.

4.3. Anpassningar av svensk rätt till dataskyddsförordningen

Den 25 maj 2018, samma dag som dataskyddsförordningen började tillämpas, upphävdes personuppgiftslagen (1998:204) samtidigt som lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här kallad dataskyddslagen, trädde i kraft. Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning. Detta innebär att om det finns avvikande bestämmelser i sektorsspecifika registerförfattningar ska de tillämpas framför motsvarande bestämmelser i dataskyddslagen.

På arbetsmarknadsområdet har registerförfattningarna för Arbetsmiljöverket, Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering anpassats till dataskyddsförordningen, se propositionen Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning (prop. 2017/18:112).

5. Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

5.1. En ny lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Regeringens förslag: En särskild lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap ska införas.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna ställer sig positiva till förslaget. Till dessa hör Arbetsförmedlingen, Arbetsmiljöverket, Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Landsorganisationen i Sverige, Linköpings universitet och Myndigheten för arbetsmiljökunskap. Förvaltningsrätten i Stockholm anser att den föreslagna lagen bidrar till skyddet för den personliga integriteten genom att tydliggöra vad som gäller vid myndighetens behandling av personuppgifter. Jämställdhetsmyndigheten och Myndigheten för vård- och omsorgsanalys framför att det är viktigt att myndigheten får rättsligt stöd för att kunna genomföra sitt uppdrag. Lunds universitet anser att personuppgiftshanteringen vid myndigheten bör omfattas av det generella dataskyddsregelverket. Även Folkhälsomyndigheten ifrågasätter att Myndigheten för arbetsmiljökunskap får sin behandling av personuppgifter reglerad i en särskild lag. Statistiska centralbyrån anger att det hade varit önskvärt att invänta beredningen av Forskningsdatautredningens förslag.

Socialstyrelsen pekar på att utredningens förslag kan komma att behöva anpassas till Forskningsdatautredningens förslag.

Skälen för regeringens förslag

Behovet av att behandla personuppgifter i myndighetens verksamhet

För att kunna utföra sina arbetsuppgifter är Myndigheten för arbetsmiljökunskap beroende av att kunna behandla olika typer av uppgifter. I vissa fall rör uppgifterna en identifierad eller identifierbar fysisk person och utgör därmed personuppgifter enligt dataskyddsförordningen. I andra fall handlar det om uppgifter som inte är personuppgifter i dataskyddsförordningens mening, t.ex. uppgifter om företag eller arbetsställen.

En av myndighetens arbetsuppgifter är att sammanställa och sprida kunskap om arbetsmiljö och göra kunskap baserad på forskning lättillgänglig för de som arbetar praktiskt med arbetsmiljöarbete. För att kunna utföra uppgiften måste kunskapen kvalitetssäkras i syfte att säkerställa att den är relevant, tillförlitlig och av hög vetenskaplig kvalitet. Kvalitetssäkringen kommer att kräva att myndigheten har möjlighet att granska uppgifter som utgör underlag för olika utvärderingar och studier. Dessa uppgifter innefattar ofta personuppgifter.

En annan arbetsuppgift för myndigheten är att utvärdera och analysera effekter av beslutade och genomförda statliga reformer och andra statliga initiativ. För att kunna utföra detta arbete behöver myndigheten studera olika orsakssamband, exempelvis mellan arbete och hälsa, samt göra studier över tid genom att följa en individ genom olika skeenden och över långa tidsperioder, s.k. longitudinella studier. Även denna uppgift förutsätter att myndigheten har möjlighet att behandla personuppgifter.

Mot bakgrund av myndighetens arbetsuppgifter och vad som krävs för att myndigheten ska kunna utföra dessa uppgifter står det klart att det finns behov av en relativt omfattande behandling av personuppgifter.

Behandlingen av personuppgifter i myndighetens verksamhet ska regleras i lag

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Om det rör sig om ett sådant betydande intrång i den personliga integriteten, krävs enligt 2 kap. 20 § regeringsformen lag för att begränsa skyddet mot övervakning och kartläggning av den enskildes personliga förhållanden. Eftersom myndighetens personuppgiftsbehandling enligt lagen kommer att ske för vissa avgränsade ändamål som inte kan anses medföra särskilda integritetsrisker och att uppgifterna inte bedöms komma att lämnas ut i någon mer omfattande utsträckning kan personuppgiftsbehandlingen i sig inte anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag (se en mer utförlig grundlagsanalys när det gäller de samlingar av personuppgifter som myndigheten föreslås få ha i avsnitt 5.11.2).

I svensk rätt har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå säkerställer att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen, se t.ex. betänkandet Myndighetsdatalag (SOU 2015:39 s. 94). Lagreglering bidrar även till stabilitet och långsiktig förutsebarhet. I tidigare lagstiftningsarbeten finns principiella ställningstaganden om att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i lag, se t.ex. propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 16).

Eftersom Myndigheten för arbetsmiljökunskap kommer att behöva samla in och bearbeta ett stort antal personuppgifter, uppgifter som ofta kommer att vara av integritetskänslig karaktär, anser regeringen att behandlingen av uppgifterna bör regleras i lag.

Förslaget till lag om forskningsdatabaser

Forskningsdatautredningen överlämnade i juni 2018 sitt slutbetänkande Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Betänkandet bereds för närvarande i Regeringskansliet. I betänkandet föreslås en ny lag, lagen om forskningsdatabaser, härefter

kallad forskningsdatabaslagen. Den föreslagna lagen reglerar behandling av personuppgifter i forskningsdatabaser.

Socialstyrelsen pekar på att utredningens förslag kan komma att behöva anpassas till Forskningsdatautredningens förslag. Statistiska centralbyrån ifrågasätter inte att det finns ett behov av att reglera Myndigheten för arbetsmiljökunskaps behandling av personuppgifter, men anser att det hade varit önskvärt att invänta beredningen av Forskningsdatautredningens förslag.

En fråga som aktualiseras med anledning av Socialstyrelsens och Statistiska centralbyråns synpunkter är om den föreslagna forskningsdatabaslagen skulle kunna utgöra ett tillräckligt och lämpligt rättsligt stöd för den behandling av personuppgifter som Myndigheten för arbetsmiljökunskap behöver kunna utföra. En utgångspunkt för Forskningsdatautredningens förslag är att en forskningsdatabas ska vara en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Enligt regeringens bedömning kan det inte uteslutas att Myndigheten för arbetsmiljökunskap kan komma att bygga upp forskningsdatabaser som kan tillhandahålla uppgifter till olika forskningsprojekt utanför myndigheten. Samtidigt kan det konstateras att de databaser som myndigheten kommer att ha behov av inte nödvändigtvis kommer att vara sådana som utgör nationella resurser för registerbaserad forskning. Forskningsdatautredningens förslag skulle därför inte vara en tillräcklig reglering av behandlingen av personuppgifter vid myndigheten. Det finns därmed inte anledning att avvakta den fortsatta beredningen av Forskningsdatautredningens förslag.

En särskild lag om behandling av personuppgifter vid myndigheten ska införas

Flera remissinstanser har frågor om det är lämpligt att införa en särskild lag för Myndigheten för arbetsmiljökunskap eller om dess behandling av personuppgifter kan ske med stöd av det generella regelverk som finns i dataskyddsförordningen och dataskyddslagen. Lunds universitet avstyrker förslaget med motiveringen att personuppgiftshanteringen vid myndigheten bör omfattas av det generella regelverk som redan är på plats. Om det trots allt anses finnas behov av ny reglering, bör den enligt universitetet få en mer generell utformning eller i vart fall behöver motiven till en särlagstiftning preciseras. Folkhälsomyndigheten anger att om endast vissa kunskapsmyndigheter får sin personuppgiftsbehandling reglerad i lag kan detta innebära en otydlighet och osäkerhet för både myndigheter och enskilda. Förvaltningsrätten i Stockholm anger å andra sidan att den föreslagna lagen bidrar till skyddet för den personliga integriteten genom att tydliggöra vad som gäller vid myndighetens behandling av personuppgifter. Myndigheten för arbetsmiljökunskap framhåller att särskilt myndighetens uppdrag att utvärdera och analysera effekter av beslutade och genomförda statliga reformer inom arbetsmiljöområdet skulle vara ogenomförbart inom rimliga tidsramar utan en lag. Myndigheten anger också att införandet av en lag som ställer specifika krav på hur personuppgiftsbehandling får ske i myndighetens verksamhet innebär att andra aktörer får en tydligare insyn i hur personuppgifter får behandlas inom myndigheten. Även Forskningsrådet för hälsa, arbetsliv och välfärd

(Forte) ställer sig bakom förslaget till en ny lag med motiveringen att det är viktigt att Myndigheten för arbetsmiljökunskap kan fullgöra sitt uppdrag att göra analyser av grunddata som används i forskning och göra uppföljningar på arbetsmiljöområdet.

På arbetsmarknadsområdet finns i dag fyra s.k. registerlagar som reglerar myndigheters behandling av personuppgifter, lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen, lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och lagen (2018:258) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Registerlagarna bidrar till att myndigheterna kan fullgöra sina uppgifter på ett effektivt och ändamålsenligt sätt samtidigt som de registrerades rättigheter och personliga integritet värnas. Detta eftersom registerlagarna å ena sidan innehåller en reglering som är anpassad till myndigheternas särskilda verksamhetsbehov och å andra sidan innehåller skyddsåtgärder som svarar mot de särskilda risker som finns inom myndigheternas respektive verksamheter.

När det gäller Myndigheten för arbetsmiljökunskap har myndigheten behov av att kunna behandla ett relativt stort antal personuppgifter som dessutom behöver sparas under en längre tid för att kunna användas som underlag för utvärderingar och analyser utan långa ledtider. Myndigheten kommer vidare att vara beroende av att kunna ta del av personuppgifter från statistikansvariga myndigheter och andra aktörer som behöver veta i vilket syfte uppgifterna kommer att behandlas och vilka krav som gäller för personuppgiftsbehandlingen. Allt detta talar enligt regeringens uppfattning för att en särskild lag om behandling av personuppgifter vid myndigheten ska införas. Regeringen anser sammantaget att övervägande skäl talar för att en särskild lag bör införas.

Rättslig grund enligt dataskyddsförordningen

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6 i dataskyddsförordningen. För Myndigheten för arbetsmiljökunskaps del kommer den rättsliga grunden i allmänhet att vara att behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen). I vissa fall kommer också den rättsliga grunden vara att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). När det gäller personuppgifter som behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål gäller särskilda bestämmelser om skyddsåtgärder och undantag för behandling (artikel 89). Enligt dataskyddsförordningen ska en uppgift av allmänt intresse eller en rättslig förpliktelse fastställas i unionsrätten eller i den nationella rätten för att kunna läggas till grund för personuppgiftsbehandlingen (artikel 6.3). Myndighetens uppgifter fastställs i förordningen (2018:254) med instruktion för Myndigheten för arbetsmiljökunskap, myndighetens årliga regleringsbrev och i särskilda uppdrag som regeringen ger myndigheten. De rättsliga förpliktelser som åvilar myndigheten följer av lag eller annan författning, av kollektivavtal

eller av beslut som har meddelats med stöd av lag eller annan författning. Den nu föreslagna lagen kommer att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Lagen kommer även att innehålla sådana skyddsåtgärder som enligt dataskyddsförordningen ska omfatta behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Hänvisningar till S5-1

5.2. Lagens tillämpningsområde

Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i verksamhet vid myndigheten som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys.

Lagen ska endast tillämpas på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget.

Skälen för regeringens förslag

Lagen ska endast gälla kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys vid myndigheten

I förordningen med instruktion för Myndigheten för arbetsmiljökunskap anges myndighetens centrala arbetsuppgifter. Myndigheten ska inom sitt ansvarsområde samla in, sammanställa och sprida kunskap baserad på forskning på ett begripligt och lättillgängligt sätt, utvärdera och analysera effekter av beslutade och genomförda statliga reformer och andra statliga initiativ samt följa och analysera utvecklingen i syfte att stärka sitt kunskaps-, analys- och utvärderingsarbete. Myndigheten får bedriva den forskning som är nödvändig för att dessa uppgifter ska kunna fullgöras. För denna verksamhet kommer myndigheten att ha behov av att behandla många, däribland känsliga, personuppgifter, varför behandling av personuppgifter inom dessa områden bör regleras i den nya lagen.

Myndigheten har även andra arbetsuppgifter. Myndigheten ska följa och främja kunskapsuppbyggnad om arbetsmiljöfrågor i EU och internationellt samt följa och främja företagshälsovårdens utveckling. För att utföra dessa uppgifter behöver myndigheten behandla personuppgifter, t.ex. kontaktuppgifter till personer på myndigheter, EU-institutioner, internationella organisationer och till enskilda forskare och andra som är intresserade av myndighetens arbete. Även inom ramen för myndighetens uppdrag att sprida kunskap i syfte att bidra till att kunskap om arbetsmiljö kommer till användning i praktiken kommer myndigheten att behöva behandla personuppgifter. I dessa verksamheter är dock behovet av behandling av personuppgifter inte lika omfattande och innefattar inte heller lika många känsliga personuppgifter som myndighetens verksamhet som avser

kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys. I dessa delar finns därför tillräckligt rättsligt stöd och tillräckliga skydds- och säkerhetsåtgärder för behandlingen av personuppgifter i det generella dataskyddsregelverket och i förordningen med instruktion för Myndigheten för arbetsmiljökunskap.

Lagens tillämpningsområde bör av dessa skäl avgränsas till behandling av personuppgifter i verksamhet vid myndigheten som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys.

Lagens tillämpningsområde ska motsvara dataskyddsförordningens materiella tillämpningsområde

Dataskyddsförordningens materiella tillämpningsområde omfattar, enligt artikel 2.1, sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Det bedöms lämpligt att den föreslagna lagens tillämpningsområde är detsamma som dataskyddsförordningens tillämpningsområde.

5.3. Lagens förhållande till annan reglering

5.3.1. Lagens förhållande till dataskyddsförordningen

Regeringens förslag: Lagen ska innehålla en bestämmelse som tydliggör att lagen kompletterar dataskyddsförordningen.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Stockholm efterfrågar definitioner i den föreslagna lagen. I övrigt har ingen av remissinstanserna synpunkter på förslaget.

Skälen för regeringens förslag: Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt.

Dataskyddsförordningen gäller oavsett om det i den föreslagna lagen införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock att det på samma sätt som i övriga registerlagar på arbetsmarknadsområdet bör införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen.

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Dataskyddsförordningen är direkt tillämplig och är den huvudsakliga rättsakten på området för dataskydd. De hänvisningar till dataskyddsförordningen som föreslås i lagen avser klargörandet av förhållandet mellan lagen och dataskyddsförordningen, bestämmelser av upplysningskaraktär samt hänvisningar till definitioner i och undantag från dataskyddsförordningen. Hänvisningarna föreslås vara dynamiska, dvs. avse förordningen vid varje tidpunkt gällande lydelse. Valet av dynamiska hänvisningar innebär att de kommer att omfatta eventuella ändringar i dataskyddsförordningen.

Förvaltningsrätten i Stockholm anser att den föreslagna lagen skulle bli tydligare om det fanns en bestämmelse som angav definitioner av de olika termerna och uttrycken i lagen, t.ex. en definition av termen register.

Regeringen vill med anledning av denna synpunkt understryka att den nya lagen kompletterar dataskyddsförordningen och att termer och uttryck i lagen bör tolkas i enlighet med dataskyddsförordningens terminologi. Mot bakgrund av detta anser regeringen att det inte är nödvändigt eller lämpligt att införa legaldefinitioner av termer och uttryck i lagen.

5.3.2. Lagens förhållande till dataskyddslagen

Regeringens förslag: Lagen ska innehålla en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller, om inte något annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget.

Skälen för regeringens förslag: Dataskyddslagen kompletterar dataskyddsförordningen på en generell nivå i Sverige. I dataskyddslagen finns det generella bestämmelser som utgör tillåtna specificeringar av och undantag från dataskyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller förordning innehåller en bestämmelse som avviker från den lagen, tillämpas den bestämmelsen.

Dataskyddslagen är alltså subsidiär och dess bestämmelser kommer därmed att gälla för Myndigheten för arbetsmiljökunskap om inte den föreslagna lagen eller annan författning föreskriver något annat. Det är således inte en rättslig nödvändighet att införa en hänvisningsbestämmelse till dataskyddslagen. En bestämmelse som klargör att lagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen har dock enligt regeringens bedömning ett pedagogiskt värde och underlättar för den som ska tillämpa regelverket. Motsvarande bestämmelse finns även i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och Arbetsmiljöverket.

5.4. Undantag från rätten att göra invändningar

Regeringens förslag: Artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar ska inte gälla vid sådan behandling som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde.

Utredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår inte att rätten att göra invändningar ska gälla när personuppgifterna samlas in direkt från den enskilde.

Remissinstanserna: Datainspektionen anser att i de fall enskilda återkallar sitt samtycke till behandlingen bör de även ha rätt att invända mot behandlingen. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag

Dataskyddsförordningen innehåller en rätt att göra invändningar

Enligt dataskyddsförordningen har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne (artikel 21.1). För myndigheter begränsar sig rätten att göra invändningar enligt denna bestämmelse till behandling av personuppgifter som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Rätten att göra invändningar ska senast vid den första kommunikationen med den registrerade uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). Dataskyddsförordningen lämnar även utrymme för medlemsstaterna att specificera och göra undantag från rätten att göra invändningar när personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål under förutsättning att det finns lämpliga skyddsåtgärder för de registrerade (skäl 156).

Rätten att göra invändningar innebär att den registrerade har en möjlighet att få till stånd en överprövning av behandlingens tillåtlighet. Överprövningen innebär att den personuppgiftsansvarige måste kunna visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen (artikel 21.1). Under tiden överprövningen sker har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas (artikel 18.1 d). Om det saknas berättigade skäl har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c). Det är den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få ske. Rätten att göra invändningar kan begränsas i unionsrätten eller i nationell rätt, men då måste begränsningen uppfylla krav på nödvändighet, proportionalitet och legitimt ändamål (artikel 23.1). Vid en eventuell begränsning ska det, när så är relevant, finnas vissa specifika bestämmelser, bl.a. om omfattningen av begränsningen och skyddsåtgärder för att förhindra missbruk (artikel 23.2).

Det finns skäl att göra undantag från rätten att göra invändningar

Myndigheten för arbetsmiljökunskaps behov av att behandla personuppgifter innefattar bl.a. behandling som sker för forskningsändamål i enlighet med artikel 89.1. Som framgår ovan har de registrerade inte rätt att invända mot sådan behandling i den utsträckning det är nödvändigt att behandla personuppgifterna för att utföra en uppgift av allmänt intresse. Även om rätten att invända enligt dataskyddsförordningen får en begränsad betydelse finns det ändå skäl att göra undantag från den. Det huvudsakliga skälet är att myndigheten annars i enskilda fall skulle behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter innan myndigheten kan

fortsätta behandla personuppgifterna (artikel 21.1). En sådan prövning i enskilda fall kan inte anses motiverad eftersom de tvingande berättigade skälen till att behandla personuppgifter för att öka och sprida kunskap om arbetsmiljö i regel får anses väga tyngre än enskildas intressen. Vidare skulle det vara svårt för både de registrerade och för myndigheten att avgöra när rätten att göra invändningar skulle gälla eftersom behandlingen av personuppgifter i stor omfattning sker för forskningsändamål.

En begränsning av rätten att invända kan under vissa förutsättningar göras enligt artikel 23 i dataskyddsförordningen. Arbetet med kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys i syfte att bidra till en ökad kunskap om arbetsmiljö är ett viktigt mål för både EU och Sverige och som rör folkhälsa och social trygghet (artikel 23.1 e). Begränsningen är både nödvändig för att undvika ett oklart rättsläge och proportionell eftersom begränsningen i praktiken rör ett begränsat antal registrerade. Därför anser regeringen, i likhet med utredningen, att det i den föreslagna lagen bör finnas en bestämmelse där det anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den.

Begränsningen av rätten att göra invändningar bör inte gälla när personuppgifter samlas in direkt från den enskilde

När det gäller uppgifter som samlas in direkt från den enskilde, t.ex. genom enkät- eller intervjuförfaranden, kommer det i allmänhet att finnas större integritetsrisker än när uppgifterna samlas in från myndigheter eller andra källor. Det har att göra med att uppgifter som samlas in från andra myndigheter i regel inte kommer att kunna hänföras direkt till en person. Därför delar regeringen Datainspektionens bedömning att skälen för ett undantag från rätten att göra invändningar inte väger lika tungt i förhållande till de integritetsrisker som är förenade med behandling av personuppgifter som direkt kan hänföras till en person. Därför bör rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen gälla när uppgifterna samlas in direkt från den enskilde.

5.5. Krav på medgivande när uppgifterna samlas in direkt från den enskilde

Regeringens förslag: Om personuppgifter samlas in direkt från den enskilde ska de endast få behandlas om personen har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade ska ha rätt att när som helst återkalla ett lämnat medgivande. Ytterligare personuppgifter om den registrerade ska därefter inte få behandlas.

Utredningens förslag: Överensstämmer i huvudsak med regeringens. I utredningens förslag används ordet samtycke i stället för medgivande.

Remissinstanserna: Förvaltningsrätten i Stockholm har synpunkter på bestämmelsens utformning. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag: Vid Myndigheten för arbetsmiljökunskap kan det bli aktuellt att samla in uppgifter direkt från enskilda personer, t.ex. i enkät- eller intervjustudier. Utredningen föreslår en bestämmelse om att i de fall personuppgifterna har samlats in direkt från den enskilde får de endast behandlas om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. Den registrerade ska, enligt utredningens förslag, ha rätt att när som helst återkalla ett lämnat samtycke och därefter får, enligt förslaget, inga ytterligare personuppgifter om den registrerade behandlas.

Enligt Förvaltningsrätten i Stockholm har utredningens förslag till bestämmelse utformats som en rättslig grund trots att det i författningskommentaren anges att samtycke inte kommer att vara den rättsliga grund enligt vilken personuppgifterna behandlas. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och förordningens krav på att varje behandling av personuppgifter måste ha en rättslig grund gäller alltid. Likaså gäller de krav som ställs för att samtycke ska kunna användas som rättslig grund. Myndigheten för arbetsmiljökunskap får således inte behandla personuppgifter med stöd av samtycke som rättslig grund i fall det råder en betydande ojämlikhet mellan myndigheten och den registrerade (skäl 43 i dataskyddsförordningen). I syfte att minimera risken för att den nu aktuella bestämmelsen uppfattas som den rättsliga grunden för behandlingen av personuppgifter bör ordet medgivande användas i stället för ordet samtycke i den föreslagna bestämmelsen.

Av bestämmelsen bör även framgå att ett lämnat medgivande kan återkallas när som helst och att ett återkallat medgivande innebär att inga ytterligare uppgifter om den enskilde får behandlas. Innehållet i bestämmelsen motsvarar det som föreskrivs i artikel 7 i dataskyddsförordningen som avser behandling som stödjer sig på samtycke som rättslig grund. Det är enligt regeringens uppfattning lämpligt att motsvarande krav ska gälla i detta fall då bestämmelsen utgör en integritetshöjande åtgärd.

5.6. Myndigheten ska vara personuppgiftsansvarig

Regeringens förslag: Myndigheten för arbetsmiljökunskap ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Stockholms universitet anser att myndigheten inte bör utpekas som personuppgiftsansvarig. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag: I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och med utgångspunkt i de faktiska omständigheterna

i varje enskilt fall. Medlemsstaterna kan dock enligt artikel 4.7 i dataskyddsförordningen ange vem som är personuppgiftsansvarig i den nationella rätten om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt.

Utredningen föreslår att myndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen eftersom ett sådant utpekande bidrar till tydlighet om ansvaret för behandlingen. Stockholms universitet anger att bestämmelsen som utredningen föreslår om att Myndigheten för arbetsmiljökunskap ska vara personuppgiftsansvarig kan få till följd att myndigheten inte kan vara personuppgiftsbiträde vid behandling av personuppgifter inom lagens tillämpningsområde. Detta kan enligt universitetet leda till problem i myndighetens administrativa arbete och samarbeten med andra myndigheter och forskare. Enligt regeringens bedömning bidrar den föreslagna bestämmelsen om personuppgiftsansvar till tydlighet både för myndigheten och de som registreras av myndigheten. Motsvarande bestämmelse finns i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och Arbetsmiljöverket och det har inte framkommit något som tyder på att dessa bestämmelser har skapat den typ av svårigheter som universitetet pekar på. Det bör därför framgå av den nya lagen att Myndigheten för arbetsmiljökunskap ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

5.7. Ändamålsbestämmelser

5.7.1. Ändamålen med behandlingen

Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för

1. insamling, sammanställning och spridning av kunskap om arbets-

miljö,

2. utvärdering och analys av statliga reformer och andra statliga

initiativ,

3. bevakning och analys av utvecklingen på arbetsmiljöområdet, och

4. forskning som myndigheten får bedriva för att utföra sitt

kunskaps-, utvärderings- och analysarbete.

Utredningens förslag: Överensstämmer i sak med regeringens. Utredningen föreslår dock inte att det ska införas en bestämmelse som klargör att personuppgifter får behandlas för forskning. Utredningen föreslår även en annan redaktionell utformning av bestämmelsen.

Remissinstanserna: Stockholms universitet uppger att det saknas behov av ändamålsbestämmelsen och föreslår att den ska tas bort eller ändras så att det framgår att myndigheten får behandla personuppgifter för att uppfylla sitt uppdrag. Kammarrätten i Göteborg förespråkar att bestämmelsen placeras tidigare i lagen eftersom den anger den yttre ramen för vilken behandling av personuppgifter som är tillåten. Enligt Statistiska centralbyrån är det av största vikt att forskningsuppdraget är tydligt i den nya lagen.

Skälen för regeringens förslag

De primära ändamålen med behandlingen ska anges

Det är en allmän dataskyddsrättslig princip att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är också vanligt att ändamålsbestämmelser tas in i registerförfattningar för att sätta den yttersta ramen för behandlingen av personuppgifter. Utredningen föreslår sådana ändamålsbestämmelser.

En bestämmelse som anger de primära ändamålen innebär att ramen för behandlingen av personuppgifter inom lagens tillämpningsområde fastställs av riksdagen. En ändamålsbestämmelse ger vidare möjlighet att på ett övergripande plan balansera intresset av myndighetens personuppgiftsbehandling mot intresset av det intrång i den personliga integriteten som behandlingen kan innebära.

Stockholms universitet noterar att den föreslagna ändamålsbestämmelsen inte fullt ut motsvarar 2 § förordningen med instruktion för Myndigheten för arbetsmiljökunskap som reglerar myndighetens centrala arbetsuppgifter. Universitetet uppger att detta skapar risker för oklara förutsättningar för behandlingen av personuppgifter. Det saknas enligt universitetet behov av ändamålsbestämmelsen och universitetet föreslår därför att den tas bort eller ändras så att det i stället framgår att myndigheten får behandla personuppgifter för att uppfylla sitt uppdrag.

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6 i dataskyddsförordningen. För Myndigheten för arbetsmiljökunskaps del kommer den rättsliga grunden i allmänhet att vara att behandlingen är nödvändig för en fullgöra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen) eller rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). Enligt dataskyddsförordningen ska en uppgift av allmänt intresse eller en rättslig förpliktelse fastställas i unionsrätten eller i den nationella rätten för att kunna läggas till grund för personuppgiftsbehandlingen (artikel 6.3). Myndighetens uppgifter fastställs i förordningen med instruktion för Myndigheten för arbetsmiljökunskap, myndighetens årliga regleringsbrev och i särskilda uppdrag som regeringen ger myndigheten. Den nu föreslagna ändamålsbestämmelsen syftar till att i lag sätta en yttre ram för behandlingen av personuppgifter som gör att det finns tydliga och förutsebara gränser för vilken behandling som kan utföras med stöd av de uppgifter som regeringen ger myndigheten. Att ta bort denna ram alternativt att i lagen ange att myndigheten får behandla personuppgifter för att fullgöra sina arbetsuppgifter enligt förordningen med instruktion för Myndigheten för arbetsmiljökunskap är därför inte lämpligt enligt regeringens uppfattning. Det skulle nämligen medföra att ramarna för myndighetens behandling av personuppgifter inte fastställdes i lag utan i förordning eller regeringsbeslut.

Enligt Statistiska centralbyrån är det av största vikt att forskningsuppdraget är tydligt i den nya lagen eftersom inte bara utlämnande av uppgifter som är direkt hänförliga till enskilda enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400) utan även statistikansvariga myndigheters utlämnande av uppgifter med en s.k. kodnyckel förutsätter att uppgifterna ska användas för forskning eller statistik.

Myndigheten för arbetsmiljökunskap kommer att ha ett betydande behov av att kunna inhämta personuppgifter från statistikansvariga myndigheter. Statistikansvariga myndigheter får enligt 24 kap. 8 § tredje stycket offentlighets- och sekretesslagen lämna ut en personuppgift som omfattas av statistiksekretess om uppgiften behövs för forsknings- eller statistikändamål och om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Eftersom utredningens lagförslag inte innehåller någon bestämmelse som uttryckligen medger att myndigheten får behandla personuppgifter för forsknings- eller statistikändamål kan det uppfattas oklart om statistikansvariga myndigheter får lämna ut personuppgifter som omfattas av statistiksekretess till Myndigheten för arbetsmiljökunskap. För att undvika sådana oklarheter bör lagen innehålla en bestämmelse som klargör att personuppgifter får behandlas för forskningsändamål. Eftersom forskning inte är en central arbetsuppgift för myndigheten bör bestämmelsen utformas så att det framgår att personuppgifter får behandlas om det är nödvändigt för forskning som myndigheten får bedriva för att utföra sitt kunskaps-, utvärderings- och analysarbete.

Kammarrätten i Göteborg förespråkar att bestämmelsen placeras tidigare i lagen eftersom den anger den yttre ramen för vilken behandling av personuppgifter som är tillåten. Vad gäller bestämmelsens placering i lagen kan det konstateras att strukturen i den föreslagna lagen följer strukturen i de fyra registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och Arbetsmiljöverket. Det finns ett värde i att bestämmelsernas ordning är likartad i registerlagarna.

Hänvisningar till S5-7-1

  • Prop. 2018/19:151: Avsnitt 5.11.2

5.7.2. Lagen ska upplysa om att regeringen kan begränsa ändamålen och de uppgifter som får behandlas

Regeringens förslag: Det ska införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka uppgifter som får behandlas för ett visst ändamål.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Stockholms universitet ifrågasätter lämpligheten i att ändringar i ändamålsregleringen kan komma att ske i myndighetsföreskrifter samtidigt som myndighetens instruktion regleras i förordning.

I övrigt har inte remissinstanserna några synpunkter på förslaget.

Skälen för regeringens förslag: Den primära ändamålsbestämmelsen i den föreslagna lagen fastställer den yttersta ramen för myndighetens personuppgiftsbehandling inom lagens tillämpningsområde. Det kan emellertid finnas skäl att införa mer detaljerade bestämmelser som begränsar ändamålen och vilka uppgifter som får behandlas. Utredningen föreslår mot den bakgrunden att det i lagen införs en bestämmelse som upplyser om möjligheten att begränsa ändamålen och vilka personupp-

gifter som får behandlas. Eftersom det är frågan om en upplysningsbestämmelse om möjligheten att begränsa ändamålen och vilka personuppgifter som får behandlas kommer det inte med stöd av bestämmelsen att vara möjligt att utvidga eller ändra ändamålen i lagen.

Hänvisningar till S5-7-2

  • Prop. 2018/19:151: Avsnitt 5.11.2

5.8. Uppgifter som lämnas i överensstämmelse med lag eller förordning

Regeringens förslag: Personuppgifter som behandlas för de primära ändamålen ska också få behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget.

Skälen för regeringens förslag: I vissa fall finns behov av att lämna ut personuppgifter till en annan myndighet eller någon annan i enlighet med författning. Exempel på detta är när uppgifter behöver lämnas ut för att myndigheten ska uppfylla krav enligt offentlighets- och sekretesslagen.

Myndigheten för arbetsmiljökunskap kommer med stöd av dataskyddsförordningen att kunna behandla personuppgifter för att kunna lämna ut uppgifter enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av 6.1 e (uppgift av allmänt intresse). Frågan är då om det ändå behövs en bestämmelse som anger att personuppgifter får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för detta ändamål och kan därmed ses som en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Med anledning av intresset av att det ska vara tydligt för den registrerade att uppgifter kan komma att lämnas ut bör det i lagen införas en sådan bestämmelse.

Som flera remissinstanser påpekar använder utredningen uttrycket utlämnande av uppgifter i sitt förslag till lagtext medan ordet uppgiftslämnande används i författningskommentaren. Enligt regeringens uppfattning bör, liksom i andra registerlagar på arbetsmarknadsområdet, ordet uppgiftslämnande användas i lagtexten.

5.9. Lagen ska innehålla en bestämmelse om finalitetsprincipen

Regeringens förslag: Det ska i lagen införas en bestämmelse om att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget.

Skälen för regeringens förslag: Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen.

Finalitetsprincipen enligt artikel 5.1 b i dataskyddsförordningen gäller även vid behandling enligt den föreslagna lagen. Tydlighetsskäl talar dock för att det i den föreslagna lagen bör införas en bestämmelse som klargör att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål en sådan ändamålsbegränsning som avses i artikel 6.3 i dataskyddsförordningen.

5.10. Känsliga personuppgifter och krav på etikprövning

Regeringens förslag: I myndighetens samlingar av personuppgifter ska endast sådana uppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning få behandlas.

Lagen ska innehålla en upplysningsbestämmelse om att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Utredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår att endast personuppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening och om hälsa ska få behandlas.

Remissinstanserna: De flesta remissinstanser som yttrar sig över utredningens förslag är positiva till att myndigheten får möjlighet att behandla känsliga personuppgifter om hälsa, etniskt ursprung och medlemskap i fackförening. Ett par remissinstanser efterlyser dock ett mer fördjupat resonemang när det gäller vilka känsliga personuppgifter som myndigheten ska kunna behandla. Tjänstemännens Centralorganisation anser att regeringen bör överväga om myndigheten ska få behandla även uppgifter om sexuell läggning och religiös eller filosofisk övertygelse. Diskrimineringsombudsmannen och Trafikanalys anger att andra uppgifter som är kopplade till diskrimineringsgrunder enligt diskrimineringslagen

(2008:567) kan vara relevanta för studier om kränkande särbehandling i arbetslivet. Lunds universitet anger att Myndigheten för arbetsmiljökunskap kan behandla känsliga personuppgifter i ärendehandläggning med stöd av dataskyddslagen.

Den kompletterande promemorians förslag: Överensstämmer med regeringens.

Remissinstanserna: Flertalet av de som har yttrat sig över förslaget i promemorian är positiva till det eller saknar invändningar mot det, bl.a.

Tjänstemännens Centralorganisation. Landsorganisationen i Sverige ställer sig positiv till att myndigheten även ska få behandla känsliga personuppgifter som rör religiös och filosofisk övertygelse och en persons sexuella läggning. Med den föreslagna ändringen kan myndigheten, enligt organisationen, genomlysa samtliga diskrimineringslagens diskrimineringsgrunder vilket enligt organisationen är väsentligt för att på ett relevant sätt bidra med underlag för arbetsmarknadens parters och lagstiftarens arbete med att förbättra arbetsmiljön. Jämställdhetsmyndigheten framhåller att de föreslagna förändringarna i den kompletterande promemorian utgör en viktig förutsättning för att Myndigheten för arbetsmiljökunskap ska kunna utföra sitt uppdrag och bidra med värdefull kunskap som berör jämställdhet. Lunds universitet anger att det inte tydligt framgår varför det behövs en särskild reglering och begränsning av personuppgiftsanvändningen i myndigheten. Universitetet ifrågasätter också om bestämmelsen om känsliga personuppgifter bidrar till avsedd tydlighet. Diskrimineringsombudsmannen framhåller att det finns anledning att utgå från att behandling av uppgifter om såväl sexuell läggning som religiös övertygelse kan vara av relevans vid studier om t.ex. kränkande särbehandling och därigenom för kunskapen om organisatorisk och social arbetsmiljö. En förutsättning för att en sådan behandling ska vara godtagbar är dock, enligt ombudsmannen, att den sker på ett sätt som säkerställer skyddet för den personliga integriteten och med upprätthållande av grundläggande principer om anonymitet, frivillighet och självklassificering. Datainspektionen avstyrker förslaget, bl.a. med hänvisning till att det enligt inspektionen inte redovisas någon konsekvens- eller proportionalitetsbedömning.

Skälen för regeringens förslag

Dataskyddsförordningens förbud mot behandling av känsliga personuppgifter och vissa undantag från förbudet

Det finns ett förbud mot att behandla särskilda kategorier av personuppgifter (känsliga personuppgifter) i artikel 9.1 i dataskyddsförordningen. Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet sexualliv, se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125129).

I artikel 9.2 i dataskyddsförordningen anges ett antal uttömmande undantag från förbudet mot att behandla känsliga personuppgifter. Ett sådant undantag gäller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna rätt ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Ett annat undantag gäller bl.a. vid behandling för forskningsändamål. Undantagsbestämmelsen anger att förbudet mot att behandla känsliga personuppgifter inte ska tillämpas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Rätten ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j).

Behövs en särskild reglering om myndighetens behandling av känsliga personuppgifter?

Lunds universitet anger att den verksamhet som omfattas av den föreslagna lagen mycket väl kan utgöra ärendehandläggning och därmed omfattas av det generella stödet för att behandla känsliga personuppgifter i dataskyddslagen. Som universitetet påpekar kan den verksamhet vid Myndigheten för arbetsmiljökunskap som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys utgöra handläggning av ärenden i förvaltningsrättslig mening. Myndigheten kan därmed även utan stöd i en särskild registerlag behandla känsliga personuppgifter med stöd av 3 kap. 3 § 2 dataskyddslagen, under förutsättning att behandlingen är nödvändig för handläggningen av ett ärende. Myndigheten kan också behandla känsliga personuppgifter med stöd av 3 kap. 3 § 1 och 3 om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt dataskyddslagen, och i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Det kan samtidigt konstateras att bestämmelser i lag eller förordning som avviker från bestämmelserna i dataskyddslagen ska tillämpas framför bestämmelserna i dataskyddslagen. Förslaget till bestämmelse om att endast vissa kategorier av känsliga personuppgifter ska få behandlas ska därför tillämpas framför dataskyddslagens bestämmelser om behandling av känsliga personuppgifter.

Genom den generella reglering som i Sverige kompletterar dataskyddsförordningen finns således stöd för myndigheter att behandla känsliga personuppgifter, bl.a. i myndigheters ärendehantering. En särskild reglering som gäller för myndigheten är därför, strikt talat, inte en förutsättning för att myndigheten ska kunna behandla känsliga personuppgifter. Även om Myndigheten för arbetsmiljökunskap kan behandla känsliga personuppgifter direkt med stöd av dataskyddslagen bör det dock finnas en bestämmelse i den föreslagna lagen som anger vilka kategorier av

känsliga personuppgifter som får behandlas. Bestämmelsen bidrar till tydlighet både för myndigheten och andra om vilka kategorier av känsliga personuppgifter som får behandlas. En lagbestämmelse sätter också gränser för behandlingen av känsliga personuppgifter, gränser som fastställs av riksdagen och som är motiverade med anledning av de relativt stora mängder av personuppgifter som kan komma att behöva samlas vid myndigheten.

Lunds universitet pekar även på att regleringen kan leda till otydlighet om myndigheten upptäcker att ett dokument innehåller någon enstaka uppgift som tillhör någon av de kategorier av känsliga personuppgifter som myndigheten inte får behandla. I sådana situationer kan det enligt universitetet uppkomma en osäkerhet om myndigheten får ta del av dokumentet. Dataskyddslagen är subsidiär, dvs. bestämmelser i lag eller förordning som avviker från bestämmelserna i dataskyddslagen ska tillämpas framför bestämmelserna i dataskyddslagen. I vissa konkreta fall skulle det dock, som universitetet påpekar, kunna uppstå en osäkerhet om bestämmelserna i den föreslagna lagen ska tillämpas eller om bestämmelserna i dataskyddslagen ska tillämpas, t.ex. om myndigheten får ta del av känsliga personuppgifter som enskilda respondenter har lämnat i en enkätstudie eller som enskilda har sänt till myndigheten i ett epostmeddelande. Universitetets synpunkt väcker således frågan om förhållandet mellan dataskyddslagen och den nu föreslagna lagen när det gäller behandling av känsliga personuppgifter.

Det generella stöd som finns i dataskyddslagen för myndigheters behandling av känsliga personuppgifter bör kunna tillämpas även inom den nu föreslagna lagens tillämpningsområde. I annat fall skulle myndigheten inte kunna behandla alla kategorier av känsliga personuppgifter som myndigheten får ta del av utan att ha efterfrågat uppgifterna, t.ex. uppgifter som finns i handlingar som myndigheten får sig tillsända och som myndigheten enligt lag behöver diarieföra, bevara eller besvara. Samtidigt bör enligt regeringens uppfattning den föreslagna lagens reglering tillämpas framför dataskyddslagens bestämmelser när det är fråga om en sådan behandling av känsliga personuppgifter som medför stora integritetsrisker. I de samlingar som myndigheten föreslås få ha är integritetsriskerna särskilt påtagliga eftersom det i samlingarna finns ett stort antal personuppgifter som behandlas automatiserat och som det enkelt går att söka i. I dessa samlingar råder dessutom myndigheten självständigt, inom de ramar som det gällande regelverket uppställer, över vilka personuppgifter som ska tillföras och bevaras i samlingarna. Av dessa skäl är det enligt regeringens mening lämpligt att den nu föreslagna begränsningen av vilka känsliga personuppgifter som myndigheten ska få behandla ska gälla vid behandling i myndighetens samlingar av personuppgifter. Detta bör också framgå av lagtexten. Med en sådan avgränsning och ett sådant klargörande i lagtexten minimeras den osäkerhet som skulle kunna uppstå om myndigheten upptäcker att ett dokument som myndigheten fått sig tillsänt innehåller någon enstaka uppgift som tillhör en av de kategorier av känsliga personuppgifter som myndigheten inte får behandla enligt det nu aktuella förslaget.

Vilket behov av behandling av känsliga personuppgifter har myndigheten?

Myndigheten för arbetsmiljökunskap har ett behov av att behandla personuppgifter som rör hälsa. Myndigheten behöver t.ex. kunna behandla uppgifter om individer i ärenden om arbetsskador och arbetssjukdomar, uppgifter om enskilda arbetstagares exponering för kemikalier och studier där fysiska personer redogör för sin uppfattning om arbetsmiljörelaterade besvär. Myndigheten kommer även att behöva behandla uppgifter om arbetstagares funktionsnedsättningar för att utföra sitt uppdrag. Det är viktigt att myndigheten har möjlighet att studera skillnader i arbetsmiljö på individnivå. Till exempel finns det skillnader i arbetsmiljörelaterade problem mellan kvinnor och män, vilket till stor del beror på den könssegregerade arbetsmarknaden. Det är vanligare med stress och psykiska påfrestningar i arbetet hos kvinnor medan män är överrepresenterade i statistiken över arbetsrelaterade olyckor och dödsolyckor. Det finns också andra individuella faktorer än kön som det kan vara relevant att studera för att förstå sambanden mellan arbete och hälsa. Exempelvis kan det vara nödvändigt att studera om det finns skillnader i arbetsmiljö mellan arbetstagare med tidsbegränsad anställning och tillsvidareanställning. En ökad kunskap om vilka faktorer som påverkar situationen på arbetsplatser är betydelsefull för att målen om en god arbetsmiljö och jämställd hälsa ska kunna uppnås.

I Sverige regleras villkoren på arbetsmarknaden i stor utsträckning genom kollektivavtal. Den svenska arbetsmarknaden bygger på en ansvarsfördelning mellan staten och arbetsmarknadens parter. Statens roll är att bidra till ett ändamålsenligt regelverk och andra styrmedel för att säkra goda arbetsvillkor och tillkomst av nya jobb, samtidigt som förutsättningar skapas för arbetsmarknadens parter att i kollektivavtal ta ansvar för villkorens närmare utformning. Av arbetsmiljölagen (1977:1160) framgår det att det är arbetsgivaren som ansvarar för arbetsmiljön och samverkar med arbetstagare för att åstadkomma en god arbetsmiljö. Arbetsmarknadens parter är av den anledningen i högsta grad en del av det arbetsmiljöarbete som bedrivs på arbetsplatserna. Mot bakgrund av arbetstagarorganisationernas viktiga roll i att skapa en god arbetsmiljö finns det, som utredningen påpekar, behov för myndigheten att t.ex. studera sambandet mellan å ena sidan arbetsmiljön och hur den upplevs och å andra sidan organisationsgraden och arbetstagarinflytandet över skyddsarbetet på den aktuella arbetsplatsen. Av dessa skäl behöver myndigheten kunna behandla uppgifter om medlemskap i fackförening.

När det gäller möjligheten att behandla känsliga personuppgifter som avslöjar etniskt ursprung kan arbetsmarknadssituationen skilja sig mellan inrikes och utrikes födda. Det finns också en rörlighet på arbetsmarknaden i och med den ökade globaliseringen och Sveriges medlemskap i EU. Av dessa skäl kan det som utredningen framhåller vara nödvändigt för myndigheten att behandla personuppgifter om födelseland och medborgarskap, dvs. uppgifter som direkt eller indirekt kan avslöja en persons etniska ursprung. Det kan också finnas anledning att behandla personuppgifter om etniskt ursprung vid studier om kränkande särbehandling i arbetslivet.

Vissa remissinstanser, däribland Diskrimineringsombudsmannen och

Tjänstemännens Centralorganisation, framhåller att även andra känsliga

personuppgifter kan vara relevanta för studier om kränkande särbehandling i arbetslivet och ställer sig frågande till utredningens motivering av gränsdragningen. I betänkandet anges att det inom arbetsmiljöforskning förekommer studier om kränkande särbehandling i arbetslivet och att utredningen därför har övervägt om den nya myndigheten även bör ha möjlighet att behandla vissa andra känsliga uppgifter som är kopplade till diskrimineringsgrunder enligt diskrimineringslagen, såsom uppgifter om sexuell läggning och religiös eller filosofisk övertygelse. Utredningen kommer dock till slutsatsen att myndigheten inte bör få behandla sådana kategorier av personuppgifter. En reglering som möjliggör vissa studier om kränkande särbehandling i arbetslivet, men inte andra, skulle dock kunna leda till sämre förutsättningar för myndigheten att bidra till kunskapen om arbetssjukdomar. En av de vanligaste orsakerna till anmälda arbetssjukdomar är faktorer som beror på den organisatoriska och sociala arbetsmiljön. Sedan 2011 har antalet anmälda arbetssjukdomar på grund av den organisatoriska och sociala arbetsmiljön fördubblats. Det är också den främsta orsaken till anmäld arbetssjukdom bland kvinnor. Kränkande särbehandling har, som Tjänstemännens Centralorganisation påpekar, direkt inverkan på den organisatoriska och sociala arbetsmiljön och studier om olika former av kränkande särbehandling är av betydelse för kunskap om den organisatoriska och sociala arbetsmiljön i stort. Det kan därför vara relevant för myndigheten att, i t.ex. en enkätstudie eller liknande, ställa frågor som handlar om kränkningar kopplade till t.ex. trosuppfattning eller sexuell läggning.

Utöver de kategorier av känsliga personuppgifter som Myndigheten för arbetsmiljökunskap har behov av att kunna behandla finns i dataskyddsförordningen ytterligare ett antal kategorier av känsliga personuppgifter. Dessa är personuppgifter som avslöjar ras eller politiska åsikter, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en fysisk persons sexualliv. När det gäller dessa kategorier är behovet av att myndigheten ska kunna behandla sådana uppgifter litet eller obefintligt och de bör därmed inte ingå i uppräkningen i den föreslagna bestämmelsen.

Myndigheten har således behov av att kunna behandla fem kategorier av känsliga personuppgifter. Dessa kategorier är personuppgifter som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning.

Dataskyddsförordningens krav på proportionalitetsbedömning

När nationell lagstiftning som kompletterar dataskyddsförordningen införs måste en proportionalitetsbedömning göras (artikel 6.3 andra stycket i dataskyddsförordningen). Det finns även ett krav på proportionalitetsbedömning när undantag från förbudet mot behandling av känsliga personuppgifter görs i de nu aktuella fallen (artikel 9.2 g och j). Datainspektionen anger att det i en proportionalitetsbedömning måste framgå hur det allmänna intresset har vägts mot integritetsintresset i det aktuella lagstiftningsärendet. Inspektionen framhåller också att när det är fråga om en omfattande behandling av känsliga personuppgifter bör även en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen göras. Enligt Datainspektionen redovisas inte någon proportionalitetsbedömning

i promemorian och inspektionen anger att det därför inte är möjligt att ta ställning till om förslaget är förenligt med dataskyddsförordningen. Datainspektionen efterfrågar i det fortsatta lagstiftningsarbetet en sådan proportionalitetsbedömning.

Som Datainspektionen är inne på ska den föreslagna nationella regleringen enligt dataskyddsförordningen stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g och j). För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Även risker för annan påverkan av den registrerades grundläggande rättigheter och intressen behöver identifieras.

Vilka risker finns för de registrerades grundläggande rättigheter och intressen?

Det finns olika integritetsrisker som är förenade med att myndigheten i sina samlingar får behandla personuppgifter som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning. Uppgifterna kan användas av de som har tillgång till uppgifterna i ovidkommande syften. Hälsouppgifter skulle t.ex. kunna användas i syfte att selektera bort personer vid anställning eller på andra sätt. Det finns också risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. De känsliga personuppgifterna skulle i ett sådant fall kunna användas av utomstående för övervakning eller kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar. Uppgifter om etniskt ursprung skulle t.ex. kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp.

Det finns även särskilda risker vid insamling av känsliga personuppgifter, t.ex. uppgifter om religiös eller filosofisk övertygelse och uppgifter om en persons sexuella läggning. Uppgifterna kan inhämtas genom enkäter eller intervjuer. Av 2 kap. 2 § regeringsformen följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det kommer att vara frivilligt att lämna de efterfrågade uppgifterna i enkät- eller intervjustudier men det finns ändå en risk för att enskilda kan uppleva insamlingen av denna typ av uppgifter som kränkande.

Vilka skydds- och säkerhetsåtgärder bör finnas?

Dataskyddsförordningen kräver, som konstateras ovan, bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen för att undantag i nationell reglering ska kunna göras från förbudet att behandla känsliga personuppgifter (artikel 9.2 g och j).

I denna proposition föreslås ett antal sådana åtgärder. I avsnitt 5.11 föreslås att personuppgifter i samlingar hos myndigheten inte direkt ska kunna hänföras till en person. Personuppgifterna ska dock få vara försedda

med en beteckning som kan hänföras till ett personnummer eller motsvarande beteckning. Det föreslås även andra begränsningar i behandlingen av personuppgifter i samlingarna, t.ex. förbud mot behandling i syfte att identifiera enskilda personer och att tillgången till personuppgifter ska vara begränsad (avsnitt 5.12).

Står den föreslagna regleringen i proportion till det eftersträvade syftet?

En god arbetsmiljö bidrar till att förebygga och minska den arbetsrelaterade ohälsan och olycksfall i arbetet. Likaså bidrar en god arbetsmiljö till en långsiktigt stabil och låg sjukfrånvaro och att fler kan få ett längre arbetsliv. Bättre kunskap om arbetsmiljöns effekter är ett viktigt led i att öka träffsäkerheten i styrning och reglering på området och bidra till att statens resurser används till insatser med dokumenterad effekt. Mer kunskap är således ett nödvändigt medel för att skapa en god arbetsmiljö.

Enligt regeringens bedömning är det med hänsyn till ett sådant viktigt allmänt intresse som avses i dataskyddsförordningens artikel 9.2 g nödvändigt för myndigheten att i sina samlingar kunna behandla personuppgifter som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning.

Som regeringen har konstaterat finns vissa risker som är förenade med behandlingen av dessa kategorier av känsliga personuppgifter. Dessa risker får dock anses vara relativt begränsade eftersom det i den föreslagna lagen finns bestämmelser om skydds- och säkerhetsåtgärder. Mot bakgrund av de skydds- och säkerhetsåtgärder som föreslås för att säkerställa registrerades grundläggande rättigheter och intressen får det anses proportionellt att myndigheten får behandla dessa kategorier av känsliga personuppgifter i sina samlingar.

Lagen ska upplysa om att forskning som innefattar behandling av känsliga personuppgifter måste etikprövas

Vid forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden krävs att forskningen prövas av Etikprövningsmyndigheten enligt lagen (2003:460) om etikprövning av forskning som avser människor. Etikprövningsmyndigheten kan i samband med sitt godkännande ställa villkor för personuppgiftsbehandlingen i ett forskningsprojekt. Dessa villkor går utöver de krav som ställs enligt den föreslagna lagen. Lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering innehåller en bestämmelse som upplyser om ordningen med obligatorisk etikprövning. Också den nu föreslagna lagen bör innehålla en sådan upplysning.

5.11. Myndigheten ska få ha samlingar av personuppgifter

Hänvisningar till S5-11

  • Prop. 2018/19:151: Avsnitt 5.10

5.11.1. Samlingar av pseudonymiserade personuppgifter där kodnyckeln förvaras hos den myndighet uppgifterna kommer från

Regeringens förslag: Myndigheten ska få ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i sådana samlingar ska inte få behandlas i syfte att röja en persons identitet.

Utredningens förslag: Överensstämmer med regeringens. Utredningens förslag till bestämmelser har dock en annan redaktionell utformning.

Remissinstanserna: Myndigheten för arbetsmiljökunskap anger att dess möjlighet att fullgöra sina uppdrag på ett effektivt sätt skulle försvåras väsentligt om myndigheten inte skulle ges möjlighet att ha egna samlingar av avidentifierade personuppgifter. Datainspektionen ifrågasätter behovet av de aktuella uppgiftssamlingarna och avstyrker förslaget i denna del.

Statistiska centralbyrån anger att det hade varit värdefullt om utredningen hade redogjort för i vilka avseenden centralbyråns system MONA inte bedöms svara mot de behov som Myndigheten för arbetsmiljökunskap har.

Skälen för regeringens förslag

Myndighetens uppdrag kräver studier av en stor mängd uppgifter över en längre tid

För att kunna följa och analysera utvecklingen på arbetsmiljöområdet och utvärdera olika statliga arbetsmiljöinsatser behöver Myndigheten för arbetsmiljökunskap tillgång till en stor mängd uppgifter. Det kan t.ex. röra sig om uppgifter om arbetsskador och sjukfrånvaro. Uppgifterna behöver ofta omfatta ett längre tidsspann för att möjliggöra longitudinella studier. Myndigheten behöver även kunna kombinera olika variabler på ett sätt som innebär behandling av stora mängder av personuppgifter. För att detta ska vara möjligt föreslår utredningen att myndigheten ska få ha samlingar av personuppgifter som inte nödvändigtvis är knutna till ett avgränsat projekt.

Det är kostsamt och tidskrävande att bygga upp nya samlingar

Datainspektionen anser att lagstiftning som tillåter lagring av stora mängder personuppgifter inte kan motiveras av det faktum att andra myndigheter har en lång handläggningstid. Lagstiftningen kan i sådana fall inte anses vara proportionell mot det legitima mål som eftersträvas.

Datainspektionen anger även att Myndigheten för arbetsmiljökunskap kommer att kunna ta fram effektiva rutiner som medför att handläggningstiden för ansökningar om att få ta del av uppgifter kommer att förkortas.

Att bygga upp en samling av personuppgifter för ett särskilt projekt är kostsamt och tar lång tid. Uppgifter behöver samlas in från externa källor

eller genom studier som myndigheten själv genomför. Ofta behöver uppgifterna bearbetas eftersom de är framtagna för ett annat ändamål än det ändamål som myndigheten behöver behandla uppgifterna för. Till exempel behöver uppgifter insamlade för statistikproduktion ofta bearbetas så att de kan användas för ett analys- eller utvärderingsprojekt. Därtill är det svårt att vid insamlingen av personuppgifter bestämma vilka uppgifter som är nödvändiga för ett visst projekt. Ofta uppstår nya frågeställningar under projektets gång som gör det nödvändigt att samla in andra uppgifter.

Tiden är en viktig faktor vid sådana analyser och utvärderingar som behöver göras för att skapa beslutsunderlag för ny arbetsmiljöpolitik och insatser på arbetsmiljöområdet eftersom det sker snabba förändringar inom området. Samlingar som möjliggör analyser och utvärderingar utan långa ledtider fyller därför en viktig samhällsfunktion. I många fall behöver analyser och utvärderingar kunna göras på kort tid för att de över huvud taget ska vara meningsfulla.

Samlingarna möjliggör hög kvalitet, långsiktighet och effektivt användande av resurser

Att myndigheten kan ha samlingar möjliggör långsiktighet i myndighetens arbete och en effektiv användning av statliga resurser eftersom uppgifterna i samlingarna kan återanvändas. Samlingarna ger också möjlighet till ett bättre underlag och minskat beroende av andra myndigheters dataunderlag. Om uppgifterna inte kan bevaras i samlingar som består mellan projekten begränsas myndighetens möjligheter att ta fram särskilda indikatorer på arbetsmiljöområdet och på andra sätt utveckla uppgifterna för att möjliggöra bättre framtida underlag. Detta innebär i sin tur att de utvecklade uppgifterna inte kan återföras till statistikansvariga myndigheter. De effektivitetsvinster och förbättringar som är förenade med spridningen av de utvecklade uppgifterna går därmed förlorade.

Statistiska centralbyrån anger att det hade varit värdefullt om utredningen hade redogjort för i vilka avseenden centralbyråns system för direktåtkomst MONA (Microdata Online Access) inte bedöms svara mot de behov som Myndigheten för arbetsmiljökunskap har. Statistiska centralbyråns system för direktåtkomst är ett verktyg som även

Myndigheten för arbetsmiljökunskap kan ha stor nytta av. Systemet bedöms dock inte kunna ersätta de samlingar av personuppgifter som utredningen föreslår att myndigheten ska få ha. Samlingarna kommer att möjliggöra att myndigheten kombinerar stora mängder av personuppgifter som samlas in från olika statistikansvariga myndigheter som sedan kan utvecklas och anpassas för att svara mot myndighetens behov att långsiktigt kunna genomföra studier och utvärderingar utan långa utredningstider. Samlingarna är en viktig förutsättning för att myndigheten ska kunna utföra sitt kunskapsuppdrag med hög kvalitet, långsiktigt och att resurserna som tilldelas myndigheten ska kunna användas på ett effektivt sätt.

Personuppgifterna i samlingarna ska inte direkt kunna hänföras till en person

Samlingar av stora mängder personuppgifter som bevaras över en längre tid är oundvikligen förenade med risker för intrång i den personliga

integriteten. Därför bör samlingarna vara omgärdade av särskilda säkerhetsåtgärder. Pseudonymisering är en säkerhetsåtgärd som enligt dataskyddsförordningen bör användas när det är lämpligt (artiklarna 32.1 och 89). Det är också en åtgärd som används av många svenska myndigheter, bl.a. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Enligt dataskyddsförordningen är pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person (artikel 4.1).

Det skulle kunna ställas krav på att uppgifter i samlingarna ska vara avidentifierade på ett sådant sätt att de varken direkt eller indirekt kan hänföras till en person. Ett sådant krav skulle dock innebära att det inte gick att uppdatera eller kontrollera uppgifterna. Det är lämpligare att det ställs krav på att personuppgifter i samlingarna inte direkt kan hänföras till en person. Det bör således inte vara omöjligt att knyta specifika uppgifter till en person, men myndigheten bör inte kunna återknyta uppgifterna till en person på egen hand. I stället bör det ställas krav på att den utlämnande myndigheten tar fram en kodnyckel med vilken den utlämnande myndigheten kan hänföra personuppgifterna till ett personnummer eller motsvarande identitetsbeteckning. Det bör vidare krävas att kodnyckeln inte förvaras hos Myndigheten för arbetsmiljökunskap, utan hos den myndighet som uppgifterna kommer från. En sådan ordning motsvarar säkerhetsåtgärden pseudonymisering i dataskyddsförordningen.

Det ska inte vara tillåtet att behandla personuppgifterna i syfte att röja en persons identitet

Enligt förslaget kommer Myndigheten för arbetsmiljökunskap inte direkt med hjälp av personuppgifterna i samlingarna att kunna identifiera enskilda personer. I samlingarna kommer det dock för varje individ att finnas ett antal variabler med vilka det skulle kunna vara möjligt att identifiera enskilda personer, s.k. bakvägsidentifiering. Det bör därför i den nya lagen finnas en bestämmelse som innebär att det inte är tillåtet att behandla personuppgifter i samlingarna i syfte att röja en persons identitet.

5.11.2. Samlingar av pseudonymiserade personuppgifter där kodnyckeln förvaras hos Myndigheten för arbetsmiljökunskap

Regeringens förslag: Myndigheten ska om det är nödvändigt för ett särskilt projekt även få ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som förvaras skilt från uppgifterna och som myndigheten kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i samlingarna ska inte få sambearbetas med varandra. Denna begränsning ska inte gälla för en sådan sambearbetning av personuppgifter som är nödvändig för att myndigheten ska kunna upprepa eller följa upp ett tidigare genomfört projekt.

Utredningens förslag: Överensstämmer delvis med regeringens. Utredningen föreslår att myndigheten ska få ha samlingar av personuppgifter som direkt kan hänföras till en person. Av utredningens förslag till lagtext framgår inte att en förutsättning är att uppgifterna är nödvändiga för ett särskilt projekt.

Remissinstanserna: Kungliga tekniska högskolan efterlyser en fördjupad grundlagsanalys när det gäller behandling av personuppgifter i samlingarna. Även Lunds universitet efterlyser en mer ingående beskrivning och precisering av den integritetskänsliga registerföringen. Datainspektionen avstyrker och efterfrågar överväganden om ytterligare skyddsåtgärder.

Skälen för regeringens förslag

Myndigheten ska om det är nödvändigt för ett särskilt projekt få ha samlingar av pseudonymiserade personuppgifter

I de flesta fall bör det komma att räcka för myndigheten att ha samlingar av pseudonymiserade personuppgifter som inhämtas från externa källor, t.ex. statistikansvariga myndigheter, för att kunna utföra sina arbetsuppgifter. I vissa fall bedöms det dock nödvändigt för myndigheten att på egen hand kunna samla in uppgifter genom enkät- eller intervjustudier eller samla in personuppgifter som inte är pseudonymiserade från andra källor. Utredningen föreslår därför att myndigheten, om det är nödvändigt för ett avgränsat projekt, ska få ha samlingar av personuppgifter som direkt kan hänföras till en person eller som är försedda med en beteckning som förvaras skilt från uppgifterna och som myndigheten kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Datainspektionen avstyrker utredningens förslag i denna del och efterfrågar att det i det fortsatta lagstiftningsärendet görs överväganden om behov av ytterligare skyddsåtgärder som visar att lagstiftningen är proportionell mot det eftersträvade syftet och att de registrerades grundläggande rättigheter och intressen säkerställs.

Myndigheters samlingar av personuppgifter som direkt kan hänföras till en person är förenade med stora integritetsrisker. Det har inte framkommit att myndigheten skulle hindras från att utföra sitt uppdrag utan tillgång till samlingar av personuppgifter som direkt kan hänföras till en person.

Därför bör det ställas krav på att de insamlade uppgifterna pseudonymiseras av myndigheten innan de tillförs samlingarna. Till skillnad från vad som gäller för de samlingar som myndigheten föreslås få ha i föregående avsnitt bör den särskilda beteckningen, eller kodnyckeln, dock kunna förvaras inom myndigheten så länge som den genom tekniska och organisatoriska åtgärder hålls skild från uppgifterna. På så sätt kan myndigheten sköta pseudonymiseringen på egen hand utan att behöva ta hjälp av en extern aktör. Vidare bör det ställas krav på att uppgifterna i samlingarna behandlas inom ramen för ett särskilt projekt. Det bör således som huvudregel inte vara möjligt att återanvända personuppgifterna i andra projekt.

Det ska vidtas ytterligare åtgärder för att värna den personliga integriteten

Kungliga tekniska högskolan efterlyser en fördjupad analys när det gäller behandlingen av personuppgifter i de föreslagna samlingarna i relation till bestämmelsen i 2 kap. 6 § andra stycket regeringsformen. Även Lunds universitet efterlyser en mer ingående beskrivning och precisering av den integritetskänsliga registerföringen.

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Av förarbetena till regeringsformen framgår att bestämmelsen är avsedd att endast omfatta vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär och ändamålet med behandlingen. Därutöver kan även mängden uppgifter vara en betydelsefull faktor i sammanhanget. Även omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse. Det kan också beaktas på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnande uppgifter, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 183 f.). Enligt regeringens bedömning kan vissa av de kriterier som enligt förarbetena ska ligga till grund för bedömningen av vad som kan anses innebära ett betydande intrång vid behandlingen av personuppgifter vara uppfyllda vid den personuppgiftsbehandling som kommer att ske i myndighetens samlingar. Personuppgifterna kommer att vara många och inte sällan av integritetskänslig karaktär. Samtidigt talar andra faktorer emot att behandlingen i samlingarna utgör ett betydande intrång i den personliga integriteten. Personuppgifterna kommer att behandlas för vissa avgränsade ändamål som inte kan anses medföra särskilda integritetsrisker och uppgifterna bedöms inte komma att lämnas ut i någon mer omfattande utsträckning. Mot denna bakgrund gör regeringen bedömning att myndighetens behandling av personuppgifter i samlingarna inte utgör ett sådant betydande intrång i den personliga integriteten som avses i regeringsformen. Motsvarande bedömning gjordes i förarbetena till lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, se

propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (prop. 2011/12:176 s. 19).

Även om behandlingen av personuppgifter i samlingarna inte utgör ett betydande intrång i den personliga integriteten är det viktigt att den reglering som omgärdar myndighetens behandling i samlingarna värnar enskildas personliga integritet. Regeringen har ovan redogjort för ett antal förslag som syftar till att minska riskerna för intrång i den personliga integriteten. Personuppgifter bör framför allt vara pseudonymiserade.

Sambearbetning av personuppgifterna kan medföra särskilda risker ur ett integritetsperspektiv. Med anledning av detta bör det införas ett förbud mot att sambearbeta personuppgifter. I vissa fall kan det dock vara värdefullt att kunna upprepa ett tidigare genomfört projekt. Det bör därför finnas en möjlighet till undantag från förbudet mot sambearbetning när det gäller uppgifter som härrör från olika avgränsade projekt. För att skydda integriteten hos de registrerade bör undantaget begränsas till sambearbetning i syfte att upprepa eller följa upp ett tidigare genomfört projekt. Utöver dessa åtgärder föreslås i andra delar av propositionen ytterligare integritetshöjande åtgärder. I avsnitt 5.7.1 föreslås begränsningar av ändamålen med behandlingen. Dessa begränsningar bör givetvis också gälla vid behandling av personuppgifter i samlingarna. I avsnitt 5.5 föreslås att det ska krävas medgivande när uppgifter samlas in direkt från den enskilde och i avsnitt 5.12 föreslås att tillgången till personuppgifter ska begränsas.

Datainspektionen efterfrågar som nämnts överväganden om ytterligare skyddsåtgärder som visar att lagstiftningen är proportionell mot det eftersträvade syftet och att de registrerades grundläggande rättigheter och intressen säkerställs. Enligt regeringens bedömning är de ytterligare skyddsåtgärder som skulle kunna vara aktuella framför allt av organisatorisk karaktär. Liksom Forskningsdatautredningen föreslår när det gäller forskningsdatabaser skulle det t.ex. kunna ställas krav på hur den interna åtkomsten till personuppgifter inom myndigheten ska ordnas, se

SOU 2018:36. Regeringen bedömer emellertid att det är mindre lämpligt att införa krav på sådana åtgärder i den nu aktuella lagen eftersom Myndigheten för arbetsmiljökunskap är liten och inte behöver en lagreglering på detaljnivå av hur den ska organisera sig. I stället kommer det att finnas möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om begränsningar i vissa avseenden, se avsnitt 5.7.2. Etikprövningsmyndigheten kan därtill i samband med sitt godkännande av forskning ställa ytterligare villkor för behandling av känsliga personuppgifter, se avsnitt 5.10. Det kan också nämnas att Myndigheten för samhällsskydd och beredskap har meddelat föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Föreskrifterna innehåller bl.a. en skyldighet för statliga myndigheter att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.

Mot bakgrund av de skydds- och säkerhetsåtgärder som föreslås för att säkerställa registrerades grundläggande rättigheter och intressen får det anses proportionellt enligt artikel 6.3 i dataskyddsförordningen att myndigheten får behandla personuppgifter i samlingar av personuppgifter.

5.12. Tillgången till personuppgifter ska begränsas

Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Myndigheten för arbetsmiljökunskap tillstyrker förslaget. Datainspektionen anser att den föreslagna bestämmelsen inte medför en högre skyddsnivå än vad som följer direkt av dataskyddsförordningen. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag: För behandling av känsliga personuppgifter med stöd av artikel 9.2 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Spridning av personuppgifter är en viktig faktor vid bedömning av integritetsrisker med behandling av personuppgifter. Personuppgifter som är lättillgängliga för en vidare krets personer innebär en ökad risk för att uppgifterna kommer att användas på ett otillbörligt och inte avsett sätt. Därför är utgångspunkten att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I detta sammanhang saknas i princip betydelse hur många som i praktiken faktiskt tar del av personuppgifterna.

Som Datainspektionen anger innebär förslaget att vissa av de skyddsåtgärder som utredningen föreslår, såsom att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter, inte medför någon högre skyddsnivå än vad som följer direkt av dataskyddsförordningen. Trots det finns ett värde i en uttrycklig bestämmelse i lagen om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter även om innebörden kan anses följa direkt av dataskyddsförordningen. Motsvarande bestämmelser finns också i andra registerlagar på arbetsmarknadsområdet och enhetlighet i regelverken talar för att en sådan bestämmelse även bör införas i den särskilda lagen för Myndigheten för arbetsmiljökunskap.

5.13. Det ska inte finnas några begränsningar av tillåtna sökbegrepp

Regeringens bedömning: Lagen ska inte innehålla några begränsningar av tillåtna sökbegrepp.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på bedömningen.

Skälen för regeringens bedömning

Dataskyddsförordningen och sökningar i personuppgifter

Dataskyddsförordningen saknar bestämmelser om sökning eller användning av sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock sådan behandling av personuppgifter som omfattas av dataskyddsförordningens bestämmelser. På grund av detta måste en sökning uppfylla de krav som ställs vid behandling av personuppgifter, bl.a. när det gäller att personuppgifterna enligt artikel 5.1 c ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

Riskerna med sök- och sammanställningsteknik

I en databas eller annan textmassa, t.ex. sådana samlingar av personuppgifter som Myndigheten för arbetsmiljökunskap i denna proposition föreslås få ha, som har lagrats på ett medium för automatiserad behandling, är det möjligt att genom att ange ett s.k. sökbegrepp i en sökmotor söka igenom den lagrade informationen och hitta de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas och skapa statistik. Statistiken i sig innehåller inte personuppgifter, men för att skapa den är behandlingen av personuppgifter nödvändig.

Något generellt förbud mot sökning i en databas är dock normalt sett inte motiverat. Ofta kan en sökmotor vara ett värdefullt redskap i myndighetens verksamhet, utan att det för den sakens skull måste innebära risker för den personliga integriteten. De integritetsrisker som följer med användningen av ny informationsteknik är nära kopplade till informationsteknikens egenskaper att söka och sammanställa stora mängder av uppgifter. Sök- och sammanställningsmöjligheter kan medföra att uppgifter lättare kan knytas till en fysisk person. De kan även medföra att personuppgifter som annars uppfattas som relativt harmlösa får en mer integritetskänslig karaktär, t.ex. genom omfattande registrering.

Det ska inte införas någon begränsning av sökbegrepp

Vid bedömningen av vilka sökbegrepp som bör vara tillåtna måste en avvägning göras mellan intresset av effektivitet i en myndighets verksamhet och risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökningar som typiskt sett medför särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde framför andra intressen, även om goda skäl i och för sig talar för att en viss typ av sökning eller behandling bör vara tillåten.

I Inspektionen för arbetslöshetsförsäkringens och Arbetsförmedlingens lagar som reglerar behandling av personuppgifter är det förbjudet att använda känsliga personuppgifter som sökbegrepp. Värt att notera är dock att dessa myndigheters databaser innehåller personuppgifter om enskilda som behövs för handläggning av de berördas ärenden. Därtill finns i lagarna undantag på så sätt att bl.a. kod för hälsotillstånd får användas som sökbegrepp.

Arbetsmiljöverket och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering saknar motsvarande förbud. I förarbetena anges att

Arbetsmiljöverket måste ha möjlighet att använda uppgifter som rör hälsa som sökbegrepp, bl.a. för att kunna fullfölja sitt uppdrag vad gäller framställande av statistik och att institutet har ett behov av att leta samband bland många variabler, varför begränsning av variablerna inte är önskvärt, se prop. 2017/18:112 s. 48 och prop. 2011/12:176 s. 48 och 49. Dessa resonemang är relevanta även när det gäller Myndigheten för arbetsmiljökunskap.

Utifrån dessa avvägningar gör regeringen bedömningen att det inte bör införas någon begränsning vad gäller sökbegrepp i den nya lagen. Den personliga integriteten bör värnas genom andra typer av begränsningar av personuppgiftsbehandlingen.

5.14. Det bör inte införas bestämmelser om gallring

Regeringens bedömning: Det bör inte införas några gallringsbestämmelser i lagen.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Statistiska centralbyrån saknar ett resonemang om hur utredningens förslag förhåller sig till arkivlagen (1990:782). Riksarkivet anför att när det gäller allmänna handlingar och uppgifter ur allmänna handlingar har arkivlagen företräde framför dataskyddsförordningen. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens bedömning: Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). När det gäller tiden för lagring anger artikel 5.1 e att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Principerna om uppgifts- och lagringsminimering gäller om det inte finns särskilda, nationella föreskrifter om lagringstid som har införts enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen.

Myndigheters arkiv omfattas av offentlighetsprincipen enligt bestämmelserna i tryckfrihetsförordningen och svenska myndigheter är enligt arkivlagen skyldiga att bevara sina allmänna handlingar. I 3 § arkivlagen föreskrivs att myndigheters arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Allmänna handlingar får enligt 10 § samma lag endast gallras om återstående arkivmaterial kan tillgodose dessa ändamål, och det krävs särskilda föreskrifter eller ett beslut från en arkivmyndighet för att gallring ska få ske. Inom den statliga förvaltningen är Riksarkivet arkivmyndighet.

I 1 kap. 7 § dataskyddslagen anges att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Liksom Riksarkivet påpekar har alltså handlingsoffentligheten företräde framför dataskyddsförordningen vilket innebär att personuppgifter i allmänna handlingar inte ska gallras enligt bestämmelser i dataskyddsförordningen. I stället gäller arkivlagens regler så länge som det inte har införts särskilda bestämmelser i annan författning om gallring av allmänna handlingar (10 § andra stycket arkivlagen).

Det lämnas således utrymme både i arkivlagen och i dataskyddsförordningen för särskilda gallringsbestämmelser. Arkivlagens utgångspunkt är att allmänna handlingar ska bevaras. I de särskilda registerförfattningarna angående behandling av personuppgifter i olika verksamheter är principen dock ofta den motsatta, nämligen att uppgifterna ska gallras senast efter en viss tid om inte undantag har föreskrivits i registerförfattningen eller i en bestämmelse meddelad med stöd av denna. Principen att gallring ska ske motiveras i första hand av integritetsskäl. Behovet av särskilda gallringsbestämmelser måste således avgöras genom en avvägning mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet, jfr prop. 2011/12:176 s. 54.

När det gäller Myndigheten för arbetsmiljökunskaps verksamhet får det konstateras att den huvudsakligen är inriktad på kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys. Sådan verksamhet där intresset av offentlighet och insyn är starkt, t.ex. myndighetsutövning, utgör endast en mindre del av verksamheten. Detta talar för att integritetsskyddsintresset ska prioriteras. Samtidigt kommer myndigheten i huvudsak att behandla personuppgifter som är pseudonymiserade, dvs. uppgifter som inte kan kopplas till en individ utan att en särskild kodnyckel används. Vidare kommer det att finnas ett behov av att kunna behandla personuppgifter under relativt långa perioder. Detta talar enligt regeringens uppfattning för en mer flexibel ordning som medger en löpande bedömning av vilka uppgifter som behöver bevaras, vilka som behöver raderas och vilka som kan avidentifieras på ett sådant sätt att de inte längre utgör personuppgifter i dataskyddsförordningens mening.

Regeringen delar utredningens bedömning att det lämpligaste är att det generella regelverket ska bestämma när gallring ska ske vid Myndigheten för arbetsmiljökunskap. Detta innebär således att dataskyddsförordningens och arkivlagens bestämmelser bör tillämpas i stället för att det införs särskilda gallringsbestämmelser i lagen.

5.15. Det saknas behov av överklagandebestämmelser

Regeringens bedömning: Det bör inte införas någon överklagandebestämmelse i lagen.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på bedömningen.

Skälen för regeringens bedömning: Enligt artikel 79 i dataskyddsförordningen ska en registrerad ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde.

I 7 kap. 2 § dataskyddslagen finns en bestämmelse som reglerar rätten att överklaga personuppgiftsansvariga myndigheters beslut. Dataskyddslagen gäller inom den föreslagna lagens tillämpningsområde om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den.

Det har inte framkommit behov av att införa särskilda bestämmelser om överklagande i den nya lagen. Inte heller en upplysningsbestämmelse som hänvisar till dataskyddslagen i fråga om överklagande bedöms vara nödvändig eller lämplig.

6. Ikraftträdande

Regeringens förslag: Den nya lagen ska träda i kraft den 1 mars 2020.

Utredningens förslag: Utredningen föreslår att lagen ska träda i kraft den 1 juli 2019.

Remissinstanserna: Landsorganisationen i Sverige befarar att tiden för ikraftträdandet av föreslagna lagstiftning kan ge negativa återspeglingar för myndighetens verksamhet vid framtida utvärderingar och efterfrågar därför ett tidigare ikraftträdande. Övriga remissinstanser har inga synpunkter på förslaget.

Skälen för regeringens förslag: Den föreslagna lagen bedöms föranleda ett visst anpassningsarbete vid Myndigheten för arbetsmiljökunskap.

Även andra myndigheter som lämnar ut personuppgifter till myndigheten kan behöva anpassa sig till den nya lagen. Samtidigt är det liksom Landsorganisationen i Sverige påpekar angeläget att lagen träder i kraft så snart som möjligt. Enligt regeringen är en lämplig tidpunkt för ikraftträdande den 1 mars 2020.

7. Konsekvenser

7.1. Ekonomiska konsekvenser

En dålig arbetsmiljö kan innebära negativa ekonomiska konsekvenser för såväl staten, organisationer och företag som den enskilda. Om myndigheten ges förutsättningar att ta fram kvalitativa kunskapsunderlag kan det i stället bidra till en bättre kunskap om vad som skapar en god arbetsmiljö. Detta kan i sin tur t.ex. bidra till att förebygga och minska den arbetsrelaterade ohälsan och sjukfrånvaron och ökad produktivitet samt minska tidigt utträde ur arbetslivet. En bättre kunskap om arbetsmiljöns effekter kan även leda till ökad träffsäkerhet i politiska initiativ och reformer samt bidra till att statens resurser används till insatser med dokumenterad effekt.

Förslaget ger myndigheten förutsättningar att ta fram ett gott kunskapsunderlag. Dessa förutsättningar gör att myndigheten kan utföra sitt uppdrag på ett effektivt och ändamålsenligt sätt, vilket kommer att bidra till att statens resurser kan användas mer effektivt. Om förslaget inte genomförs kan det leda till att myndigheten behöver lägga mer resurser på insamling av data eftersom myndigheten i så fall skulle behöva samla in data för varje enskilt projekt. Att samla in data för varje enskilt projekt bedöms vara mer kostnadskrävande jämfört med om myndigheten kan förvalta data på myndigheten och återanvända insamlade data till flera olika projekt.

7.2. Konsekvenser för jämställdhet mellan kvinnor och män

En ökad kunskap om arbetsmiljö bidrar även till att uppnå de jämställdhetspolitiska målen, särskilt delmålet om ekonomisk jämställdhet och jämställd hälsa. Ohälsotalet är högre för kvinnor och det finns kunskapsluckor om arbetsmiljön på kvinnodominerade arbetsplatser och i kvinnodominerade branscher. Samtidigt är män överrepresenterade i statistiken över arbetsrelaterade olyckor och dödsolyckor. Den nya myndigheten kan bidra till att öka kunskapen på detta område. Sådan kunskap kan i sin tur bidra till en bättre arbetsmiljö för både kvinnor och män och till ett mer jämställt arbetsliv. Mot denna bakgrund bedömer regeringen att förslaget kommer att ha positiva effekter ur ett jämställdhetsperspektiv.

7.3. Konsekvenser i övrigt

Förslaget bedöms inte få några konsekvenser för företag eller konkurrensförhållanden, den kommunala självstyrelsen, de integrationspolitiska målen, miljön eller Sveriges medlemskap i EU.

8. Författningskommentar

Förslaget till lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid

Myndigheten för arbetsmiljökunskap som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förslaget behandlas i avsnitt 5.2.

I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen gäller inom Myndigheten för arbetsmiljökunskaps verksamhet med kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys. Kunskapsuppbyggnad och kunskapsspridning innefattar exempelvis kvalitetsgranskning av vetenskapliga artiklar och sammanställning av resultat från olika studier. Utvärdering och analys kan t.ex. innefatta effektutvärderingar av en viss reform på arbetsmiljöområdet eller analyser av utvecklingen inom samma område. Behandling av personuppgifter i övrig verksamhet vid myndigheten, såsom personaladministration, faller utanför lagens tillämpningsområde.

I paragrafens andra stycke begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter. Manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning

(EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Förslaget behandlas i avsnitt 5.3.1.

Paragrafen anger lagens förhållande till dataskyddsförordningen. Av paragrafen framgår att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen, vilket innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i alla medlemsstater, vilket innebär att den automatiskt är en del av den svenska rättsordningen. I vissa

avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Hänvisningarna till dataskyddsförordningen i lagen är dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen

( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 5.3.2.

Paragrafen upplyser om hur lagen förhåller sig till dataskyddslagen. Bestämmelsens första led klargör att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för myndighetens hantering av personuppgifter inom denna lags tillämpningsområde. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller om inte något annat föreskrivs i lagen eller föreskrifter meddelade i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd-

ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Förslaget behandlas i avsnitt 5.4.

Paragrafen behandlar rätten att göra invändningar enligt dataskyddsförordningen. Enligt artikel 21.1 i dataskyddsförordningen har den registrerade rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e och 6.1 andra stycket).

Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i dataskyddsförordningen. Undantaget är en sådan begränsning som är tillåten enligt artikel 23 i dataskyddsförordningen.

Andra stycket innebär att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar gäller när uppgifterna samlas in direkt från den enskilde.

Medgivande när uppgifter samlas in direkt från den enskilde

5 § Om personuppgifterna samlas in direkt från den enskilde, får de

behandlas endast om personen har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Förslaget behandlas i avsnitt 5.5.

Paragrafen innehåller bestämmelser om medgivande och återkallelse av medgivande i vissa fall.

I första stycket anges att ett uttryckligt medgivande krävs i vissa fall. Kravet på medgivande är en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Medgivandet ska alltså inte ses som den rättsliga grunden för myndighetens behandling av personuppgifter enligt artikel 6.1 a i dataskyddsförordningen. Detta innebär att utöver medgivande från den enskilde krävs en rättslig grund, t.ex. att behandlingen är nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse (artikel 6.1 e).

I andra stycket behandlas återkallelse av ett lämnat medgivande. En återkallelse kan göras skriftligt eller muntligt till myndigheten. Sedan återkallelsen har gjorts och kommit till myndighetens kännedom får ytterligare personuppgifter om den enskilde inte behandlas. Behandlingen av redan insamlade personuppgifter får dock fortsätta.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för

den behandling av personuppgifter som myndigheten utför enligt denna lag.

Förslaget behandlas i avsnitt 5.6.

I paragrafen anges vem som är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Utpekandet av myndigheten som personuppgiftsansvarig är i enlighet med artikel 4.7 i dataskyddsförordningen.

Ändamål med behandlingen

7 § Personuppgifter får endast behandlas om det är nödvändigt för

1. insamling, sammanställning och spridning av kunskap om arbetsmiljö,

2. utvärdering och analys av statliga reformer och andra statliga initiativ,

3. bevakning och analys av utvecklingen på arbetsmiljöområdet, och

4. forskning som myndigheten får bedriva för att utföra sitt kunskaps-, utvärderings- och analysarbete.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Förslaget behandlas i avsnitt 5.7.

Paragrafen behandlar de s.k. primära ändamålen för behandlingen av personuppgifter inom lagens tillämpningsområde.

Beskrivningen av ändamålen i första stycket får betydelse för vilken insamling och annan behandling av personuppgifter som är tillåten enligt lagen. Bestämmelsen utgör en yttre ram för vilka slags personuppgiftsbehandlingar som är tillåtna enligt lagen och är en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 i dataskyddsförordningen. Att det anges ett krav på att behandlingen ska vara nödvändig för de angivna ändamålen innebär ett tydliggörande av kravet på laglig behandling enligt artikel 6.1 i dataskyddsförordningen.

Paragrafens andra stycke upplyser om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får

också behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Förslaget behandlas i avsnitt 5.8.

Bestämmelsen i paragrafen innebär att myndigheten får behandla personuppgifter för att fullgöra ett uppgiftslämnande i överensstämmelse med lag eller förordning. Ett sådant uppgiftslämnande kan exempelvis vara aktuellt om myndigheten behöver lämna ut uppgifter för att uppfylla krav enligt offentlighets- och sekretesslagen (2009:400).

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för

andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget behandlas i avsnitt 5.9.

Paragrafen tydliggör att den s.k. finalitetsprincipen, dvs. att personuppgifter endast får behandlas för de ändamål som angavs när uppgifterna samlades in, gäller vid behandling av personuppgifter enligt lagen. Bestämmelsen i paragrafen har utformats i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Det innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a–e i förordningen ska beaktas vid bedömningen om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.

Behandling av känsliga personuppgifter

10 § I myndighetens samlingar av personuppgifter får endast sådana

uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning behandlas.

Av lagen ( 2003:460 ) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter

eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Förslaget behandlas i avsnitt 5.10.

I paragrafen regleras i vilken utsträckning Myndigheten för arbetsmiljökunskap i sina samlingar av personuppgifter får behandla sådana särskilda kategorier av personuppgifter (känsliga personuppgifter) som avses i artikel 9.1 i dataskyddsförordningen.

Bestämmelsen innebär att endast sådana känsliga personuppgifter som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas i myndighetens samlingar av personuppgifter.

I andra stycket finns en upplysningsbestämmelse om att forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om vissa lagöverträdelser måste etikprövas. Kravet på etikprövning utgör en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser. Bestämmelsen tydliggör att i de fall myndigheten behandlar sådana personuppgifter inom ramen för de tillåtna ändamålen och på ett sådant sätt som innebär forskning, måste det finnas tillstånd enligt lagen (2003:460) om etikprövning av forskning som avser människor. Upplysningen om kravet på etikprövning innebär inte att myndigheten får behandla andra kategorier av känsliga personuppgifter än de som framgår av första stycket, även om tillstånd för sådan behandling skulle ges enligt lagen om etikprövning av forskning som avser människor.

Samlingar av personuppgifter

11 § Myndigheten får ha samlingar av personuppgifter som behandlas

automatiserat och som är försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i sådana samlingar som avses i första stycket får inte behandlas i syfte att röja en persons identitet.

Förslaget behandlas i avsnitt 5.11.1.

I paragrafen regleras möjligheten för myndigheten att ha samlingar av pseudonymiserade personuppgifter som inte nödvändigtvis är knutna till ett särskilt projekt och vissa begränsningar av behandlingen i samlingarna.

Av första stycket framgår att myndigheten har möjlighet att ha samlingar av personuppgifter som behandlas automatiserat och som är pseudonymiserade. Detta innebär att uppgifterna kan hänföras till en person endast med hjälp av en kodnyckel som endast den myndighet uppgifterna kommer från har tillgång till. En person kan således inte identifieras utan hjälp av kodnyckeln.

Enligt andra stycket är det inte tillåtet att behandla personuppgifter i samlingarna för att avslöja en persons identitet. Förbudet är avsett att förhindra s.k. bakvägsidentifiering, dvs. att olika variabler kombineras på ett sådant sätt att en persons identitet avslöjas. Bestämmelsen är en sådan skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen.

12 § Myndigheten får om det är nödvändigt för ett särskilt projekt även

ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som förvaras skilt från uppgifterna och som myndigheten kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i samlingar som avses i första stycket får inte sambearbetas med varandra. Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att myndigheten ska kunna upprepa eller följa upp ett tidigare genomfört projekt.

Förslaget behandlas i avsnitt 5.11.2.

Paragrafen reglerar myndighetens möjligheter att ha samlingar av personuppgifter som behandlas automatiserat och som är nödvändiga för ett särskilt projekt och vissa begränsningar av behandlingen i samlingarna.

Av paragrafens första stycke följer att myndigheten endast får ha samlingarna om det är nödvändigt för ett särskilt projekt. Vidare följer av stycket att personuppgifterna ska vara pseudonymiserade. Detta innebär att uppgifterna kan hänföras till en person endast med hjälp av en kodnyckel. Till skillnad från vad som gäller enligt 11 § kan myndigheten i de nu aktuella samlingarna själv ha kodnyckeln under förutsättning att den förvaras skilt från uppgifterna.

Andra stycket innebär ett förbud mot sambearbetning av personuppgifter i samlingar som myndigheten har med stöd av första stycket. Bestämmelsen i andra stycket är en sådan skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen. Sambearbetningsförbudet i första stycket gäller inte sambearbetning av personuppgifter som är nödvändig för att upprepa eller följa upp ett tidigare genomfört projekt för de ändamål som omfattas av lagen.

Tillgång till personuppgifter

13 § Tillgången till personuppgifter ska begränsas till vad var och en

behöver för att kunna fullgöra sina arbetsuppgifter.

Förslaget behandlas i avsnitt 5.12.

Paragrafen reglerar tillgången till personuppgifter. Den innebär ett uttryckligt krav på myndigheten att se till att tillgången till personuppgifter begränsas till dem som behöver personuppgifterna för att kunna fullgöra sina arbetsuppgifter. I och med begränsningen förstärks skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt. Paragrafen är en sådan skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen.

Sammanfattning av betänkandet Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap (SOU 2018:45)

Betänkandet innehåller ett förslag till en ny lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap som inledde sin verksamhet den 1 juni 2018.

Förslaget syftar till att, i enlighet med de krav som ställs på behandling av personuppgifter i EU:s dataskyddsförordning, ge myndigheten möjlighet att behandla personuppgifter i den utsträckning som myndigheten behöver för att på ett ändamålsenligt och effektivt sätt fullgöra sitt uppdrag. Samtidigt syftar förslaget till att fastställa ett ramverk för personuppgiftsbehandlingen som säkerställer ett tillfredsställande skydd för den personliga integriteten. I den föreslagna lagen regleras den nya myndighetens behandling av personuppgifter inom ramen för dess kärnuppdrag. Förslaget innehåller bl.a. bestämmelser om för vilka ändamål personuppgiftsbehandling får ske, vilka typer av känsliga personuppgifter som får behandlas och om begränsningar av hur uppgifterna får behandlas.

Den nya lagen föreslås träda i kraft den 1 juli 2019.

Betänkandets lagförslag

Förslag till lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet hos Myndigheten för arbetsmiljökunskap som avser kunskapsuppbyggnad och kunskapsspridning samt utvärdering och analys.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Första stycket gäller dock inte när personuppgifterna samlats in direkt från den enskilde.

Samtycke när uppgifter har samlats in direkt från den enskilde

5 § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål med behandlingen

7 § Myndigheten för arbetsmiljökunskap får behandla personuppgifter om det är nödvändigt inom myndighetens ansvarsområde. En sådan behandling får innefatta

1. granskningar och analyser som syftar till att samla in, sammanställa och sprida kunskap om arbetsmiljö,

2. utvärderingar och analyser av statliga reformer och andra statliga initiativ, samt

3. studier om utvecklingen inom arbetsmiljöområdet. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.

Behandling av känsliga personuppgifter

10 § Inga andra personuppgifter som avses i artikel 9.1 EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa får behandlas för de ändamål som anges i 7 §.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter, samt personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Samlingar av personuppgifter

11 § Om det är nödvändigt för de ändamål som anges i 7 §, får det hos

Myndigheten för arbetsmiljökunskap finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

12 § Om det behövs för de ändamål som anges i 7 §, får det hos

Myndigheten för arbetsmiljökunskap även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 11 §, om uppgifterna är nödvändiga för myndighetens arbete som avser kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys.

Begränsningar i behandlingen av personuppgifter

13 § Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får inte behandlas i syfte att röja en persons identitet.

14 § Personuppgifter som behandlas enligt 12 § och som har samlats in för att behandlas inom olika avgränsade projekt som avser kunskapsuppbyggnad och kunskapsspridning eller utvärdering och analys får inte sambearbetas med varandra.

Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att kunna upprepa eller följa upp ett tidigare genomfört projekt av sådant slag som avses i första stycket.

Tillgång till personuppgifter

15 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Denna lag träder i kraft den 1 juli 2019.

Förteckning över remissinstanserna (betänkandet)

Remissyttranden över betänkandet har avgetts av följande instanser: AFA Försäkring, Arbetsförmedlingen, Arbetsgivarverket, Arbetsmiljöverket, Centrala etikprövningsnämnden, Datainspektionen, Diskrimineringsombudsmannen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Försäkringskassan, Förvaltningsrätten i Stockholm, Högskolan i Gävle, Inspektionen för socialförsäkringen, Jämställdhetsmyndigheten, Kammarrätten i Göteborg, Karolinska institutet, Kungl. Tekniska högskolan, Landsorganisationen i Sverige, Linköpings universitet, Lunds universitet, Myndigheten för arbetsmiljökunskap, Myndigheten för kulturanalys, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Myndigheten för vård- och omsorgsanalys, Riksarkivet, Riksdagens ombudsmän, Socialstyrelsen, Statistiska centralbyrån, Statskontoret, Stockholms universitet, Tjänstemännens Centralorganisation, Trafikanalys, Umeå universitet, Verket för innovationssystem och Vetenskapsrådet.

Följande instanser har inbjudits att yttra sig men avstått: Arbets- och miljömedicin Göteborg, Arbets- och miljömedicin Örebro, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Regelrådet, Riksrevisionen, Statens beredning för medicinsk och social utvärdering, Svenskt Näringsliv, Sveriges akademikers centralorganisation, Sveriges företagshälsor, Sveriges Kommuner och Landsting samt Uppsala universitet.

Sammanfattning av Kompletterande promemoria till betänkandet Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Myndigheten för arbetsmiljökunskap är en ny statlig myndighet på arbetsmarknadsområdet som inledde sin verksamhet den 1 juni 2018. Myndigheten är ett nationellt kunskapscentrum för arbetsmiljöfrågor. För närvarande pågår ett arbete inom Regeringskansliet med att ta fram en lagrådsremiss om behandling av personuppgifter vid myndigheten. Lagrådsremissen bygger på ett betänkande från Utredningen om inrättande av Myndigheten för arbetsmiljökunskap, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap (SOU 2018:45). Utredningen föreslår i betänkandet en ny lag om behandling av personuppgifter vid myndigheten. Betänkandet har remitterats.

Utredningen föreslår att den nya lagen ska innehålla en bestämmelse som ger myndigheten möjlighet att under vissa förutsättningar behandla tre kategorier av känsliga personuppgifter. Dessa uppgifter är sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa. Flera remissinstanser har väckt frågan om varför just dessa tre kategorier av känsliga personuppgifter ska få behandlas och särskilt varför myndigheten enligt utredningens förslag inte ska få behandla andra känsliga personuppgifter som är kopplade till diskrimineringsgrunder enligt diskrimineringslagen (2008:567).

I promemorian övervägs ändringar i förhållande till betänkandets förslag när det gäller vilka känsliga personuppgifter som myndigheten ska få behandla. Myndigheten föreslås få behandla två kategorier av känsliga personuppgifter utöver de kategorier som utredningen föreslår att myndigheten ska få behandla. Dessa kategorier är personuppgifter om religiös eller filosofisk övertygelse och uppgifter som rör en persons sexuella läggning.

Promemorians lagförslag

Förslag till lag (2019:XX) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Föreslagen lydelse enligt SOU 2018:45

Föreslagen lydelse

10 §

Inga andra personuppgifter som avses i artikel 9.1 EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa får behandlas för de ändamål som anges i 7 §.

Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter, samt personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Förteckning över remissinstanserna (promemorian)

Remissyttranden över betänkandet har avgetts av följande instanser: Arbetsförmedlingen, Arbetsgivarverket, Arbetsmiljöverket, Arbets- och miljömedicin Örebro, Datainspektionen, Diskrimineringsombudsmannen, Etikprövningsmyndigheten, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Försäkringskassan, Förvaltningsrätten i Stockholm, Inspektionen för socialförsäkringen, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Jämställdhetsmyndigheten, Kammarrätten i Göteborg, Kungliga Tekniska högskolan, Landsorganisationen i Sverige, Lunds universitet, Myndigheten för arbetsmiljökunskap, Myndigheten för kulturanalys, Myndigheten för vård- och omsorgsanalys, Regelrådet, Riksdagens ombudsmän, Socialstyrelsen, Statskontoret, Statistiska centralbyrån, Tjänstemännens Centralorganisation, Trafikanalys, Verket för innovationssystem och Vetenskapsrådet.

Följande instanser har inbjudits att yttra sig men avstått: AFA Försäkring, Arbets- och miljömedicin Göteborg, Civil Right Defenders, Islamiska samarbetsrådet, Judiska Centralrådet i Sverige, Myndigheten för tillväxtpolitiska utvärderingar och analyser Riksförbundet för homosexuellas, bisexuellas, transpersoners och queeras rättigheter, Riksrevisionen, Statens beredning för medicinsk och social utvärdering, Svenskt Näringsliv, Sveriges akademikers centralorganisation, Sveriges Kommuner och Landsting, Sveriges kristna råd, Sveriges företagshälsor samt Överklagandenämnden för etikprövning.

Lagrådsremissens lagförslag

Förslag till lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i verksamhet vid

Myndigheten för arbetsmiljökunskap som avser kunskapsuppbyggnad, kunskapsspridning, utvärdering och analys.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

Medgivande när uppgifter samlas in direkt från den enskilde

5 § Om personuppgifterna samlas in direkt från den enskilde, får de behandlas endast om personen har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Personuppgiftsansvar

6 § Myndigheten för arbetsmiljökunskap är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål med behandlingen

7 § Personuppgifter får endast behandlas om det är nödvändigt för

1. insamling, sammanställning och spridning av kunskap om arbetsmiljö,

2. utvärdering och analys av statliga reformer och andra statliga initiativ,

3. bevakning och analys av utvecklingen på arbetsmiljöområdet, och

4. forskning som myndigheten får bedriva för att utföra sitt kunskaps-, utvärderings- och analysarbete.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

9 § Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

10 § I myndighetens samlingar får endast sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) som avslöjar etniskt ursprung, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning behandlas.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Samlingar av personuppgifter

11 § Myndigheten får ha samlingar av personuppgifter som behandlas automatiserat och som är försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i sådana samlingar som avses i första stycket får inte behandlas i syfte att röja en persons identitet.

12 § Myndigheten får om det är nödvändigt för ett särskilt projekt även ha samlingar av personuppgifter som behandlas automatiserat och som är

försedda med en beteckning som förvaras skilt från uppgifterna och som myndigheten kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Personuppgifter i samlingar som avses i första stycket får inte sambearbetas med varandra. Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att myndigheten ska kunna upprepa eller följa upp ett tidigare genomfört projekt.

Tillgång till personuppgifter

13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Denna lag träder i kraft den 1 mars 2020.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2019-06-10

Närvarande: F.d. justitierådet Ella Nyström samt justitieråden Erik

Nymansson och Thomas Bull

Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap

Enligt en lagrådsremiss den 29 maj 2019 har regeringen (Arbetsmarknadsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.

Förslaget har inför Lagrådet föredragits av departementssekreteraren Per Larsson.

Lagrådet lämnar förslaget utan erinran.

Arbetsmarknadsdepartementet

Utdrag ur protokoll vid regeringssammanträde den 19 juni 2019

Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, M Johansson, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Strandhäll, Ygeman, Ekström, Dahlgren, Nilsson, Ernkrans, Lindhagen

Föredragande: statsrådet Lindhagen

Regeringen beslutar proposition Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap