Prop. 2019/20:7
Behandling av personuppgifter vid hantering av oredlighet i forskning
Regeringen överlämnar denna proposition till riksdagen.
Jönköping den 12 september 2019
Stefan Löfven
Anna Ekström (Utbildningsdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås ändringar i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning som syftar till att möjliggöra behandling av personuppgifter vid hantering av oredlighet i forskning. Det föreslås bestämmelser om behandling av känsliga personuppgifter, skyddsåtgärder och undantag från den registrerades rättigheter i EU:s dataskyddsförordning.
Lagändringarna föreslås träda i kraft samma dag som lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, dvs. den 1 januari 2020.
1. Förslag till riksdagsbeslut
Regeringens förslag:
1. Riksdagen antar regeringens förslag till lag om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning.
2. Riksdagen antar regeringens förslag till lag om ändring i lagen (2019:000) om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning.
2. Lagtext
Regeringen har följande förslag till lagtext.
2.1. Förslag till lag om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
Härigenom föreskrivs i fråga om lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
dels att nuvarande 15 § ska betecknas 21 §,
dels att rubriken närmast före 15 § ska sättas närmast före den nya 21 §,
dels att det ska införas sex nya paragrafer, 15–20 §§, och närmast före 15 § en ny rubrik av följande lydelse.
Lydelse enligt SFS 2019:504 Föreslagen lydelse
Behandling av personuppgifter
15 §
Bestämmelserna i 16–20 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
16 §
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
17 §
Artikel 13.3 i EU:s dataskyddsförordning om informationsskyldighet för den personuppgiftsansvarige gäller inte när en forsk-
ningshuvudman som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
18 §
Bestämmelsen i 3 kap. 3 § andra stycket dataskyddslagen om sökförbud i fråga om känsliga personuppgifter gäller inte när nämnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
19 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av de forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 om behandlingen är nödvändig för att fullgöra uppgifter enligt denna lag.
För sådana forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller, finns det även bestämmelser om behandling av känsliga personuppgifter i dataskyddslagen.
20 §
Personuppgifter som behandlas av nämnden enbart för att fullgöra uppgifter enligt denna lag får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
2.2. Förslag till lag om ändring i lagen (2019:000) om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
Härigenom föreskrivs att 3 § lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning i stället för lydelsen enligt lagen (2019:000) om ändring i den lagen ska ha följande lydelse.
Lydelse enligt prop. 2018/19:162 Föreslagen lydelse
3 §
Denna lag tillämpas på forskning som utförs av
1. universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434),
2. andra statliga myndigheter,
3. staten i form av aktiebolag, om bolagets verksamhet är reglerad i lag eller någon annan författning eller om staten som ägare eller genom tillskott av statliga anslagsmedel eller genom avtal eller på något annat sätt har ett bestämmande inflytande över verksamheten,
4. staten i form av stiftelse, om stiftelsens verksamhet är reglerad i lag eller någon annan författning eller om stiftelsen är bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,
5. kommuner och regioner, eller
5. kommuner och regioner,
av aktiebolag, handelsbolag, eko-
6. aktiebolag, handelsbolag, eko-
nomiska föreningar och stiftelser nomiska föreningar och stiftelser där kommuner eller regioner utövar där kommuner eller regioner utövar ett rättsligt bestämmande infly- ett rättsligt bestämmande inflytande, och tande, och
6. enskilda utbildningsanordnare
7. enskilda utbildningsanordnare
som har tillstånd att utfärda exami- som har tillstånd att utfärda examina enligt lagen (1993:792) om till- na enligt lagen (1993:792) om tillstånd att utfärda vissa examina. stånd att utfärda vissa examina.
Regeringen får meddela föreskrifter om undantag från lagens tillämpningsområde för forskningshuvudmän som bedriver forskning inom det försvars- och säkerhetspolitiska området. Regeringen får också besluta om sådana undantag i enskilda fall.
3. Ärendet och dess beredning
Regeringen beslutade den 1 oktober 2015 att ge en särskild utredare i uppdrag att undersöka behovet av en ny hantering av ärenden som rör utredning av oredlighet i forskning och lämna förslag som säkerställer en tydlig och rättssäker hantering av misstänkt oredlighet. I uppdraget ingick bl.a. att vid behov föreslå en ny ändamålsenlig organisation för oberoende utredningar av oredlighet i forskning (dir. 2015:99). Utredningen antog namnet Oredlighetsutredningen. I februari 2017 överlämnade utredningen betänkandet Ny ordning för att främja god sed och hantera oredlighet i forskning (SOU 2017:10). Betänkandet remissbehandlades och den 28 februari 2019 beslutade regeringen propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning (prop. 2018/19:58). I propositionen föreslogs en ny lag om ansvar för god forskningssed och prövning av oredlighet i forskning samt att en ny nämnd ska inrättas med uppgift att pröva frågor om oredlighet i forskning. Riksdagen har antagit propositionens lagförslag (bet. 2018/19:UbU21, rskr. 2018/19:273). Den nya lagen träder i kraft den 1 januari 2020 och den nya nämnden planeras inrättas samma datum.
I Oredlighetsutredningens betänkande finns ingen analys av förslagen ur ett dataskyddsperspektiv. I propositionen konstateras att förslagen i propositionen innebär att personuppgifter, även känsliga sådana, kommer att behandlas av både den nämnd som ska pröva oredlighet i forskning och forskningshuvudmännen. Det aviseras i propositionen att Utbildningsdepartementet ska remittera ett förslag till kompletterande dataskyddsreglering med anledning av förslagen i propositionen (prop. 2018/19:58 s. 82 f.).
Inom Regeringskansliet (Utbildningsdepartementet) har en promemoria utarbetats med en analys ur ett dataskyddsperspektiv av förslagen i propositionen och vissa förslag i betänkandet samt förslag till nödvändiga kompletterande bestämmelser. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (U2019/00970/F).
Under den fortsatta beredningen har Datainspektionen getts tillfälle att yttra sig över ett utkast till lagrådsremiss. Utkastet till lagrådsremiss överensstämmer med den beslutade lagrådsremissen, vars lagförslag finns i bilaga 4. Datainspektionen har yttrat sig och synpunkterna behandlas i avsnitt 6.3 och 6.4.3. Yttrandet finns tillgängligt i Utbildningsdepartementet (U2019/00970/F).
Lagrådet
Regeringen beslutade den 18 juli 2019 att inhämta Lagrådets yttrande över lagförslaget i lagrådsremissen. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissens lagförslag har språkliga och författningstekniska ändringar gjorts.
4. Det behövs kompletterande bestämmelser om dataskydd för hanteringen av oredlighet i forskning
Samtidigt som arbetet med en ny reglering av hanteringen av oredlighet i forskning har pågått har ett nytt regelverk för behandling av personuppgifter införts. Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nya rättsakten, som i det följande benämns dataskyddsförordningen, syftar bl.a. till att säkerställa en enhetlig skyddsnivå inom unionen för att den fria rörligheten av personuppgifter inom den inre marknaden inte ska hindras. Dataskyddsförordningen, som började tillämpas den 25 maj 2018, ersatte Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Den 15 februari 2018 beslutades propositionen Ny dataskyddslag (prop. 2017/18:105) med förslag till en ny lag med kompletterande bestämmelser till dataskyddsförordningen. Riksdagen antog lagförslaget den 18 april 2018 (bet. 2017/18:KU23, rskr. 2017/18:224). Den nya lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, i det följande benämnd dataskyddslagen, trädde i kraft den 25 maj 2018. Samtidigt upphävdes personuppgiftslagen (1998:204, förkortad PUL). Samma dag trädde även förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning i kraft.
Som nämnts i avsnitt 3 finns det i propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning (prop. 2018/19:58) ingen analys av den numera beslutade lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning, ur ett dataskyddsperspektiv. En sådan analys presenteras i stället i denna proposition. Det befintliga regelverket bedöms inte vara tillräckligt, utan kompletterande bestämmelser om dataskydd för hanteringen av oredlighet i forskning föreslås i denna proposition.
Hänvisningar till S4
5. Nuvarande reglering
5.1. Närmare om dataskyddsförordningen
EU:s dataskyddsförordning ersatte den 25 maj 2018 det tidigare dataskyddsdirektivet, som låg till grund för PUL, samtidigt som PUL upphävdes. Dataskyddsförordningen har till stor del samma struktur och innehåll som dataskyddsdirektivet.
Vissa allmänna principer gäller för all behandling av personuppgifter
Vilka principer som gäller för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Den första principen som läggs fast är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (artikel 5.1 a). Vidare anges att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b). (För en närmare beskrivning av artikel 89.1, se nedan.) Vidare ska uppgifterna bl.a. vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt (artikel 5.1 c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (artikel 5.1 f). Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att artikel 5.1 efterlevs (artikel 5.2).
Det måste alltid finnas en rättslig grund för personuppgiftsbehandling
Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en av de rättsliga grunder som räknas upp i artikel 6.1. Behandlingen är enligt artikel 6.1 laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Villkor f gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket).
Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e (rättslig förpliktelse respektive allmänt intresse eller myndighetsutövning). Detta får göras genom att man närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet
med kapitel IX Bestämmelser om särskilda behandlingssituationer (artikel 6.2).
När det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning måste det även finnas ett annat stöd i rättsordningen än det som ges i dataskyddsförordningen. I artikel 6.3 första stycket anges nämligen att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I skäl 45 till dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
I propositionen Ny dataskyddslag (prop. 2017/18:105) anför regeringen att det av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av själva personuppgiftsbehandlingen som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet (s. 49). I nu aktuellt fall gäller det t.ex. uppgiften att pröva frågor om oredlighet i forskning som i propositionen föreslås regleras i en ny lag (se vidare avsnitt 6.1.1 nedan).
När det gäller den rättsliga grunden rättslig förpliktelse så ska syftet med behandlingen fastställas i den rättsliga grunden (artikel 6.3 andra stycket). I propositionen Ny dataskyddslag anges att kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske. Vid bedömningen av om något följer av exempelvis en lagbestämmelse kan bl.a. förarbetsuttalanden, bestämmelsens syfte och den rättsliga kontext bestämmelsen befinner sig i behöva beaktas. Det är alltså inte bara lagtextens ordalydelse som är av relevans för att avgöra om något följer av lag. Den rättsliga förpliktelsen behöver inte heller återfinnas direkt i t.ex. en lag eller ett kollektivavtal. Det kan också vara fråga om förpliktelser som även har sin grund i särskilt reglerade avtal, såsom försäkringsavtal (s. 54 och 188).
När det gäller behandling enligt artikel 6.1 e ska syftet med behandlingen vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.3 andra stycket). I propositionen Ny dataskyddslag anför regeringen, i fråga om den rättsliga grunden allmänt intresse, att behandling av personuppgifter som utförs som ett led i administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. De sistnämnda uppgifterna måste vara fastställda i enlighet med gällande rätt (s. 61).
Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, t.ex. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX Bestämmelser om särskilda behandlingssituationer. Unionsrätten eller medlemsstaternas nationella rätt ska dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Sådana bestämmelser brukar i den mån det anses nödvändigt att införa sådana tas in i s.k. registerförfattningar, t.ex. studiestödsdatalagen (2009:287), se vidare avsnitt 5.3.
Särskilda kategorier av personuppgifter
Det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1 i dataskyddsförordningen). Sådana uppgifter benämns i dataskyddslagen känsliga personuppgifter (se vidare avsnitt 5.3). Förbudet ska dock inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får utföras endast under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).
Personuppgiftsbehandling för arkivändamål av allmänt intresse
I dataskyddsförordningen finns även bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse. Enligt artikel 5.1 b gäller exempelvis att ytterligare behandling (vidarebehandling) av personuppgifter för sådana ändamål i enlighet med artikel 89.1 inte ska anses oförenlig med de ursprungliga ändamålen. I artikel 89.1 anges att behandling av personuppgifter för arkivändamål av allmänt intresse ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen för den registrerades rättigheter och friheter. Dessa skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. I skäl 50 anges att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I skäl 50 anges
dock också, i fråga om behandling för arkivändamål, att ytterligare behandling för arkivändamål av allmänt intresse bör betraktas som förenlig och laglig behandling av uppgifter. I propositionen Ny dataskyddslag konstaterar regeringen att svenska myndigheter, kommunala bolag och vissa andra organ enligt arkivlagen (1990:782) är skyldiga att bevara sina allmänna handlingar. Regeringen anför vidare att den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då enligt regeringen inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (s. 109–111).
Den registrerades rättigheter
I tredje kapitlet i dataskyddsförordningen (artiklarna 12–23) anges den registrerades rättigheter i samband med att personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas, se vidare avsnitt 6.6.
5.2. Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt
Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EUförordningar inte genomföras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.
Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna innehåller den som framgår av avsnitt 5.1, många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Möjligheten till kompletterande nationella bestämmelser gäller framför allt behandling av personuppgifter inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).
Hänvisningar till S5-2
5.3. Dataskyddsförordningen kompletteras av dataskyddslagen
Dataskyddslagen innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Bestämmelser i annan lag eller förordning som avviker från dataskyddslagen ska ha företräde (1 kap. 6 § dataskyddslagen), dvs. lagen är subsidiär till andra författningar. Det innebär att lagen, på motsvarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område.
Bestämmelser som anger förutsättningarna för att en rättslig förpliktelse och en uppgift av allmänt intresse och myndighetsutövning ska utgöra rättslig grund för behandling av personuppgifter finns i 2 kap. dataskyddslagen. Där anges att personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning (rättslig förpliktelse), om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 1 §). Vidare anges att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning (uppgift av allmänt intresse eller myndighetsutövning), om behandlingen är nödvändig 1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller 2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning (2 kap. 2 §).
Bestämmelser om behandling av vissa kategorier av personuppgifter finns i 3 kap. dataskyddslagen. Begreppet känsliga personuppgifter definieras som sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (3 kap. 1 §). Det anges vidare att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning 1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2. om behandlingen är nödvändig för handläggningen av ett ärende, eller 3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket). Vid behandling som sker enbart med stöd av 3 kap. 3 § första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket). Vid tilllämpningen av 3 kap. 3 § första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400, förkortad OSL) gäller i deras verksamhet (3 kap. 3 § tredje stycket).
Känsliga personuppgifter får även behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 6 § första stycket). Vidare får personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (fällande domar i brottmål samt överträdelser) behandlas av myndigheter och även
av andra än myndigheter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §). Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket).
I dataskyddslagen regleras även vissa undantag från den registrerades rättigheter. Av 5 kap. 1 § första stycket dataskyddslagen följer att artiklarna 13–15 i EU:s dataskyddsförordning (som rör information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade och den registrerades rätt till tillgång) inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. I andra stycket anges att om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL. Vidare följer det av 5 kap. 2 § första stycket dataskyddslagen att artikel 15 i EU:s dataskyddsförordning (som rör den registrerades rätt till tillgång) inte gäller personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. I andra stycket anges att undantaget i första stycket inte gäller om personuppgifterna har lämnats ut till tredje part, behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning. Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning (5 kap. 3 § dataskyddslagen). I propositionen Ny dataskyddslag gjorde regeringen bedömningen att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör begränsas genom ett undantag i dataskyddslagen. Sådana begränsningar bör enligt regeringen i stället vid behov övervägas på sektorspecifik nivå (s. 103).
5.4. Dataskyddsförordningen kompletteras med ytterligare svenska bestämmelser
Både dataskyddsförordningen och dataskyddslagen innehåller en generell reglering av behandling av personuppgifter. På vissa områden finns det även behov av kompletterande nationella bestämmelser om personuppgiftsbehandling. På utbildningsområdet har sektorslagstiftningen kompletterats med bestämmelser om personuppgiftsbehandling hos enskilda utbildningsanordnare, t.ex. i lagen (1993:792) om tillstånd att utfärda vissa examina. Dessa bestämmelser är dock inte tillämpliga i detta sammanhang. Även på forskningsområdet har sektorslagstiftningen kompletterats med bestämmelser om personuppgiftsbehandling. Inte heller dessa bestämmelser är tillämpliga i detta sammanhang.
5.5. Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå
Vid införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundläggande bestämmelser till skydd för den personliga integriteten beaktas.
Enligt RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan under vissa förutsättningar begränsas genom lag. Begränsningar får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen (2 kap. 6 § andra stycket, 20 § första stycket 2 och 21 § RF). Vid införandet av nya bestämmelser som avser behandling av personuppgifter behöver det därmed bedömas om regleringen utgör ett sådant betydande integritetsintrång som avses i 2 kap. 6 § andra stycket RF och om det skyddet i så fall kan begränsas genom lag, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (prop. 2009/10:80 s. 171 f.).
Hänvisningar till S5-5
- Prop. 2019/20:7: Avsnitt 6.7
5.6. Den nya ordningen för att främja god sed och hantera oredlighet i forskning
5.6.1. Lagen om ansvar för god forskningssed och prövning av oredlighet i forskning
Lagen (2019:504) om ansvar för god forskningssed och hantering av oredlighet i forskning innehåller dels bestämmelser om forskares och forskningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed, dels om förfarandet vid prövning av frågor om oredlighet i forskning (1 §).
En nämnd för prövning av frågor om oredlighet i forskning ska inrättas
Frågor om oredlighet i forskning ska prövas av en särskild statlig nämnd (7 §). Om det kan misstänkas att oredlighet i forskning har förekommit i en forskningshuvudmans verksamhet, ska forskningshuvudmannen överlämna handlingarna i ärendet till den särskilda nämnden (6 §). Nämnden ska pröva frågor om oredlighet i forskning. Sådana ärenden inleds genom att en forskningshuvudman överlämnar handlingarna i ett ärende som rör misstanke om oredlighet i forskning i den egna verksamheten, genom att en anmälan om oredlighet i forskning inkommer till nämnden eller genom att nämnden tar upp en fråga om oredlighet i forskning som den har fått kännedom om på något annat sätt (7 §).
Vilka forskningshuvudmän ska omfattas av bestämmelserna?
Begreppet forskningshuvudman definieras i lagen som en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs (2 §). Lagen ska tillämpas på forskning som utförs av
1. universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434), i det följande benämnda statliga universitet och högskolor,
2. andra statliga myndigheter,
3. staten i form av aktiebolag, om bolagets verksamhet är reglerad i lag eller någon annan författning eller om staten som ägare eller genom tillskott av statliga anslagsmedel eller genom avtal eller på något annat sätt har ett bestämmande inflytande över verksamheten,
4. staten i form av stiftelse, om stiftelsens verksamhet är reglerad i lag eller någon annan författning eller om stiftelsen är bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,
5. kommuner och landsting, eller av aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, och
6. enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, i det följande benämnda enskilda utbildningsanordnare.
Vidare ska regeringen få meddela föreskrifter om undantag från lagens tillämpningsområde för forskningshuvudmän som bedriver forskning inom det försvars- och säkerhetspolitiska området. Regeringen ska också få besluta om sådana undantag i enskilda fall (3 §).
Forskningshuvudmän ska på begäran bistå med upplysningar och handlingar och ge tillgång till datorer och annan utrustning
En forskningshuvudman ska lämna de upplysningar och handlingar om forskningen som nämnden begär och ge nämnden tillgång till datorer och annan utrustning som har använts vid forskningen. Nämnden ska få besluta de förelägganden som behövs för att en forskningshuvudman ska fullgöra nämnda skyldigheter. Ett beslut om föreläggande får förenas med vite (12 §).
Nämnden ska redovisa resultatet av sin prövning i ett beslut
Nämndens prövning av en fråga om oredlighet i forskning ska redovisas i ett beslut. Nämnden ska också få besluta att avvisa en anmälan om oredlighet i forskning som har inkommit till nämnden om den är uppenbart obefogad. Nämnden ska även få besluta att skriva av ett ärende om anmälan har återkallats. Om nämnden bedömer att ett ärende inte rör oredlighet i forskning men kan gälla andra avvikelser från god forskningssed, ska nämnden underrätta den berörda forskningshuvudmannen och samtidigt lämna över handlingarna i ärendet dit (9–11 §§).
Nämndens beslut ska få överklagas till allmän förvaltningsdomstol
Nämndens beslut i ärenden om oredlighet i forskning och om förelägganden som behövs för att en forskningshuvudman ska fullgöra sina skyldigheter att lämna upplysningar eller handlingar som nämnden begär samt ge
nämnden tillgång till datorer och annan utrustning som har använts vid forskningen ska få överklagas till allmän förvaltningsdomstol. Andra beslut enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska inte få överklagas. Vidare ska prövningstillstånd krävas vid överklagande till kammarrätten (15 §).
Forskningshuvudmännen ska återrapportera till nämnden och ge information till berörda
Om nämnden har fattat ett beslut om att det har förekommit oredlighet i forskning, eller det framgår av ett beslut av nämnden att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsåt eller grov oaktsamhet har kunnat konstateras, ska forskningshuvudmannen – inom sex månader efter att beslutet har vunnit laga kraft rapportera till nämnden vilka åtgärder huvudmannen har vidtagit eller avser att vidta med anledning av beslutet, och – snarast efter att beslutet har fattats informera berörda forskningsfinansiärer, myndigheter, vetenskapliga tidskrifter och andra berörda om beslutet, och då upplysa om att beslutet kan komma att överklagas (13 och 14 §§).
Sekretess ska gälla hos nämnden för vissa uppgifter
Sekretess ska gälla hos nämnden i ärenden enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för uppgift om – en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men, och – en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs.
Sekretessen ska inte gälla för uppgift om vem som har väckt frågan om oredlighet eller för uppgift om vem misstanken riktas mot. Sekretessen ska inte heller gälla beslut i ett ärende. För uppgift i en allmän handling ska sekretessen gälla i högst – sjuttio år för uppgift om en enskilds personliga förhållanden, och – tjugo år för uppgift om en enskilds ekonomiska förhållanden.
Om nämnden i sin verksamhet enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning får en sekretessreglerad uppgift från en forskningshuvudman ska sekretessbestämmelsen vara tilllämplig på uppgiften även hos nämnden. Den överförda sekretessen ska inte gälla för en uppgift som ingår i ett beslut hos nämnden (11 kap. 3 a § och 24 kap. 7 a § OSL).
5.6.2. Hantering av andra misstänkta avvikelser från god forskningssed
Oredlighetsutredningen föreslår i sitt betänkande Ny ordning för att främja god sed och hantera oredlighet i forskning (SOU 2017:10) att det ska regleras i högskoleförordningen (1993:100) att statliga universitet och högskolor ska hantera andra misstänkta avvikelser från god forskningssed
än de som ska prövas särskilt enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Regeringen avser att besluta om en sådan reglering.
Utredningen har inte föreslagit någon reglering av de övriga forskningshuvudmännens hantering av andra fall av misstänkta avvikelser från god forskningssed än de som ska prövas av nämnden. Därmed är det upp till dessa forskningshuvudmän att välja om de ska hantera andra fall av misstänkta avvikelser från god forskningssed och på vilket sätt detta i så fall ska ske. Eftersom det är oklart i vilken utsträckning dessa forskningshuvudmän kommer att hantera andra fall av misstänkta avvikelser från god forskningssed och på vilket sätt de i så fall kommer att hantera dessa är det inte möjligt att göra någon närmare dataskyddsanalys i denna del. Den personuppgiftsbehandling som kan bli nödvändig får därmed ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen.
6. Nämndens och forskningshuvudmännens personuppgiftsbehandling
6.1. Det finns behov av att behandla personuppgifter
Som framgår av avsnitt 5.6.1 ska lagen om ansvar för god forskningssed och prövning av oredlighet i forskning tillämpas på forskning som utförs av statliga universitet och högskolor, övriga statliga myndigheter, kommuner och landsting, vissa statliga aktiebolag och stiftelser, aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande samt enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina. De enskilda utbildningsanordnarna utgörs av stiftelser, aktiebolag och föreningar. Därutöver blir den nya lagen också tillämplig på den särskilda nämnden. Alla dessa myndigheter och andra organ kommer att behöva behandla personuppgifter i flera olika avseenden för att uppfylla de krav som ställs i lagen. Statliga universitet och högskolor kommer också att behöva behandla personuppgifter i sin hantering av andra misstänkta avvikelser från god forskningssed.
I propositionen En ny beteckning för kommuner på regional nivå och vissa frågor om regionindelning (prop. 2018/19:162) föreslår regeringen att beteckningen för kommuner på regional nivå ändras från landsting till region den 1 januari 2020. Med anledning av detta kommer i det följande beteckningen region att användas även i denna proposition när det gäller förhållanden som föreslås råda från och med samma tidpunkt.
Den särskilda nämnden kommer huvudsakligen att behöva behandla personuppgifter i samband med att den prövar frågor om oredlighet i forskning. Denna personuppgiftsbehandling kommer ofta vara lik den som har utförts under själva forskningen. Oredlighetsutredningen har bedömt att nämnden kommer att pröva ca 15 ärenden per år. Regeringen bedömer i propositionen Ny ordning för att främja god sed och hantera oredlighet i
forskning, utifrån antalet oredlighetsärenden som universitet och högskolor har hanterat de senaste åren, att antalet ärenden som nämnden ska hantera kommer att vara begränsat, men att en effekt av att inrätta den nya nämnden och ge en möjlighet för enskilda att anmäla ärenden dit kan bli en större ärendemängd för nämnden, åtminstone initialt. Statliga universitet och högskolor, övriga statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar kommer att behöva behandla personuppgifter när de t.ex. lämnar upplysningar och handlingar om forskningen till den särskilda nämnden och när de informerar berörda forskningsfinansiärer m.fl. om nämndens beslut.
Såväl den särskilda nämnden som de nämnda forskningshuvudmännen kommer vidare att behöva hantera forskningsmaterial som innehåller känsliga personuppgifter. Det kan t.ex. gälla forskningsmaterial inom medicinsk forskning som innehåller uppgifter om hälsa, eller samhällsvetenskaplig forskning som kan innehålla uppgifter om t.ex. etniskt ursprung eller politiska åsikter. I många forskningsprojekt behandlas flera olika kategorier av känsliga personuppgifter inom ramen för samma projekt. I forskningsmaterial kan det även förekomma uppgifter om lagöverträdelser, vilket är vanligt i t.ex. rättsvetenskaplig forskning. Forskningsmaterial kan också omfatta uppgifter om en mycket stor mängd personer i ett och samma forskningsprojekt. Vidare kan den särskilda nämnden och forskningshuvudmännen behöva hantera känsliga uppgifter om den som har gjort anmälan om oredlighet i forskning, om den som är misstänkt för oredlighet i forskning och om andra personer i det aktuella forskningsprojektet eller på den aktuella arbetsplatsen. Det kan även bli aktuellt för nämnden och forskningshuvudmännen att ta del av uppgifter om enskildas ekonomiska förhållanden, t.ex. uppgifter om enskildas affärsförhållanden. Denna typ av uppgifter kan ingå såväl i forskningsmaterial som i övrigt material som nämnden och forskningshuvudmännen tar del av.
6.2. Rättsliga grunder i dataskyddsförordningen kan tillämpas
6.2.1. Rättsliga grunder för den särskilda nämndens personuppgiftsbehandling
Regeringens bedömning: De uppgifter som anges i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning kommer att utgöra i svensk rätt fastställda uppgifter av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utföra uppgifterna kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
Den särskilda nämndens prövning av oredlighet i forskning innefattar myndighetsutövning. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall även utföras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.
De skyldigheter som regleras i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning kommer att utgöra i svensk rätt
fastställda rättsliga förpliktelser som åvilar nämnden och som gör det nödvändigt att behandla personuppgifter. Även den rättsliga grunden rättslig förpliktelse i artikel 6.1 c kan då tillämpas.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Som nämnts i avsnitt 3 har Datainspektionen getts tillfälle att yttra sig över ett utkast till lagrådsremiss med ett förslag som överensstämmer med vad som anges i rutan ovan. Datainspektionen anför bl.a. att det krävs att en rättslig förpliktelse är tillräckligt preciserad och tydlig för att den ska kunna utgöra rättslig grund. Syftet med behandlingen ska vara bestämd av den författning som ger stöd för förpliktelsen. Att en organisation genom en lag ges en uppgift att pröva oredlighet i forskning m.m. kan enligt Datainspektionen inte generellt anses utgöra en tillräckligt preciserad rättslig förpliktelse enligt de krav som ställs i artikel 6.
Skälen för regeringens bedömning: Som nämns i avsnitt 5.1 utgår dataskyddsförordningen från att varje behandling av personuppgifter måste vila på en av de rättsliga grunder som räknas upp i artikel 6.1. När det gäller den särskilda nämndens personuppgiftsbehandling görs bedömningen att det finns flera rättsliga grunder som kan tillämpas. För det första bedöms de uppgifter som anges i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning utgöra i svensk rätt fastställda uppgifter av allmänt intresse. Sådan behandling av personuppgifter där syftet med behandlingen är nödvändigt för att utöva verksamhet som regleras i nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 c.
Vidare gör regeringen i propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning (prop. 2018/19:58) bedömningen att den särskilda nämndens prövning av oredlighet i forskning utgör myndighetsutövning (s. 82 och 85). Det är alltså fråga om myndighetsutövning som fastställs i svensk rätt. Därmed kan nämnden även använda sig av den rättsliga grunden myndighetsutövning i artikel 6.1 e för sådan behandling av personuppgifter som är nödvändig som ett led i myndighetsutövningen.
I promemorian görs bedömningen att de skyldigheter som den särskilda nämnden har enligt den nya lagen utgör rättsliga förpliktelser i dataskyddsförordningens mening. Personuppgiftsbehandling för att fullgöra dessa förpliktelser bedöms i promemorian därmed även kunna ske med stöd av artikel 6.1 c enligt vilken behandlingen ska vara nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Datainspektionen anför i sitt yttrande över utkastet till lagrådsremiss att det förhållandet att en organisation genom en lag ges en uppgift att pröva oredlighet i forskning m.m. inte generellt kan anses utgöra en tillräckligt preciserad rättslig förpliktelse.
Nämnden har enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning i uppgift att pröva frågor om oredlighet i forskning (7 §) och nämndens prövning ska redovisas i ett beslut (9 §). Oredlighet i forskning definieras i 2 § som en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande
eller rapportering av forskning. Regeringens anser att nämndens skyldigheter enligt lagen är tydliga och tillräckligt preciserade för att uppfylla kraven i artikel 6. Syftet med behandlingen är fastställt i den rättsliga grunden och är i detta fall att pröva frågor om oredlighet i forskning utifrån den lagstadgade definitionen av vad oredlighet innebär samt att redovisa resultatet av prövningen i ett beslut.
Hänvisningar till S6-2-1
6.2.2. Rättsliga grunder för övriga statliga myndigheters, kommuners och regioners, enskilda utbildningsanordnares samt övriga bolags, stiftelsers och föreningars personuppgiftsbehandling
Regeringens bedömning: De uppgifter som regleras i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning och i högskoleförordningen kommer att utgöra i svensk rätt fastställda uppgifter av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
Vid hantering av andra misstänkta avvikelser från god forskningssed är det även möjligt för statliga universitet och högskolor att tillämpa den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen, för sådan behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning.
De skyldigheter som regleras i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning kommer att utgöra i svensk rätt fastställda rättsliga förpliktelser som åvilar statliga universitet och högskolor, andra statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar och som gör det nödvändigt att behandla personuppgifter. Även den rättsliga grunden rättslig förpliktelse i artikel 6.1 c kan då tillämpas.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Göteborgs universitet önskar ett klargörande om när regeringen anser att universitet och högskolor kan komma att utöva myndighetsutövning vid utförande av de nya uppgifterna enligt förslaget, och därmed kan använda myndighetsutövning som rättslig grund för behandling av personuppgifter.
Skälen för regeringens bedömning: Även när det gäller den personuppgiftsbehandling som kommer att behöva utföras vid statliga universitet och högskolor, andra statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar vid tillämpning av den nya lagen görs bedömningen att det finns flera rättsliga grunder i dataskyddsförordningen som kan tillämpas.
De uppgifter som forskningshuvudmännen kommer att ha enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning och högskoleförordningen kommer att utgöra i svensk rätt fastställda upp-
gifter av allmänt intresse. Detta innebär att den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
I propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning gör regeringen bedömningen att den särskilda nämndens prövning av oredlighet i forskning utgör myndighetsutövning. I promemorian görs bedömningen att även statliga universitets och högskolors hantering av andra misstänkta avvikelser från god forskningssed rimligen bör utgöra myndighetsutövning. Göteborgs universitet önskar ett klargörande om när regeringen anser att universitet och högskolor kan komma att utöva myndighetsutövning vid utförande av de nya uppgifterna enligt förslaget, och därmed kan använda myndighetsutövning som rättslig grund för behandling av personuppgifter. Uttrycket myndighetsutövning är inte definierat i vare sig dataskyddsförordningen eller i svensk lag. Det förekommer inte i förvaltningslagen (2017:900) som trädde i kraft den 1 juli 2018, men i flera andra författningar. Enligt svensk praxis innefattar myndighetsutövning beslut och andra åtgärder som en myndighet vidtar gentemot en enskild med stöd av en befogenhet som myndigheten har getts genom ett konkret beslut av regeringen eller riksdagen eller genom en offentligrättslig författning (prop. 2018/19:58 s. 85). Det är upp till varje enskilt lärosäte att göra bedömningen av när åtgärder som lärosätet vidtar utgör myndighetsutövning och när de därmed kan använda sig av den rättsliga grunden myndighetsutövning i artikel 6.1 e. De uppgifter som åläggs statliga universitet och högskolor och övriga forskningshuvudmän enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning handlar inte om beslut eller åtgärder gentemot en enskild och bör därför inte anses vara myndighetsutövning. Eventuella beslut och åtgärder som forskningshuvudmännen vidtar efter att oredlighet har konstaterats styrs av andra regelverk och behandlas inte i denna proposition.
De skyldigheter som forskningshuvudmännen har enligt den nya lagen bedöms utgöra rättsliga förpliktelser i dataskyddsförordningens mening, t.ex. skyldigheten att, om det kan misstänkas att oredlighet i forskning har förekommit i en forskningshuvudmans verksamhet, överlämna handlingarna i ärendet till den särskilda nämnden (6 §) och skyldigheten att lämna de upplysningar och handlingar om forskningen som nämnden begär och ge nämnden tillgång till datorer och annan utrustning som har använts vid forskningen (12 §). Personuppgiftsbehandling för att fullgöra dessa förpliktelser kan därmed även ske med stöd av artikel 6.1 c enligt vilken behandlingen ska vara nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Som framgår ovan och av redovisningen i avsnitt 5.6 av den övriga regleringen är syftet med behandlingen fastställt i den rättsliga grunden.
Hänvisningar till S6-2-2
- Prop. 2019/20:7: Avsnitt 6.4.3
6.3. Finns det behov av att införa generella skyddsåtgärder?
Regeringens förslag: Personuppgifter som behandlas av den särskilda nämnden enbart för att fullgöra uppgifter enligt lagen om ansvar för god
forskningssed och prövning av oredlighet i forskning ska få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Regeringens bedömning: Något undantag för myndigheters användning av personuppgifter i allmänna handlingar bör inte gälla.
Det finns inte något behov av att införa ytterligare bestämmelser om generella skyddsåtgärder.
Promemorians bedömning: Överensstämmer inte med regeringens förslag och bedömning. I promemorian görs bedömningen att det inte finns behov av att införa några ytterligare generella skyddsåtgärder.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Datainspektionen anför att en begränsning av möjligheten för den särskilda nämnden att behandla personuppgifter för att vidta åtgärder i fråga om den registrerade syftar till att begränsa eventuell vidarebehandling av den registrerades personuppgifter till sådana situationer som är av avgörande betydelse för den registrerades liv och hälsa. Att inte införa någon sådan begränsning av nämndens möjlighet till ytterligare behandling innebär enligt Datainspektionen att sådan behandling kan vara tillåten, givetvis under förutsättning att det inte strider mot regleringen i dataskyddförordningen i övrigt. I promemorian görs emellertid bedömningen att nämnden inte alls har till uppgift att själv vidta åtgärder i fråga om den registrerade och det inte ens om det är av avgörande betydelse för den registrerades vitala intressen. Mot den bakgrunden anser Datainspektionen att det finns skäl att som en skyddsåtgärd begränsa nämndens möjlighet till vidarebehandling av den registrerades personuppgifter.
Uppsala universitet önskar ett förtydligande om hur det i praktiken ska gå till när forskningshuvudmannen ska upplysa och varna den registrerade att t.ex. en felaktig behandling har getts till denne, mot bakgrund av att en utredning om oredlighet i forskning kan ta månader. Den registrerade har intresse av att få denna information så fort som möjligt varför det enligt universitetet i vissa fall kan ifrågasättas om det inte vore lämpligare att detta åligger nämnden.
Som nämnts i avsnitt 3 har Datainspektionen beretts tillfälle att yttra sig över ett utkast till lagrådsremiss med ett förslag som överensstämmer med vad som anges i rutan ovan. Datainspektionen anför i sitt yttrande att den anser att det är bra att det som generell skyddsåtgärd införs en begränsning av eventuell vidarebehandling.
Skälen för regeringens förslag och bedömning
Det finns möjlighet att införa generella skyddsåtgärder
I artikel 6.2 i dataskyddsförordningen anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e (rättslig förpliktelse respektive allmänt intresse eller myndighetsutövning som rättslig grund). Detta får göras genom att man närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för
andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX (bestämmelser om särskilda behandlingssituationer).
Vidare anges i artikel 6.3 andra stycket i dataskyddsförordningen att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Sådana särskilda bestämmelser kan bl.a. vara de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX.
För att den särskilda nämnden ska kunna avgöra om det har förekommit oredlighet i forskning, kommer den som regel att behöva undersöka det aktuella forskningsmaterialet och då behandla personuppgifter i det materialet. Statliga universitet och högskolor behöver sannolikt göra motsvarande undersökningar av forskningsmaterialet i samband med sin hantering av andra misstänkta avvikelser från god forskningssed än de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Därutöver kommer forskningshuvudmännen som omfattas av nämnda lag att behöva behandla personuppgifter i samband med att de utför de uppgifter som följer av lagen. Frågan uppkommer då om det finns anledning att införa några generella skyddsåtgärder vid personuppgiftsbehandlingen.
Det finns inte skäl att införa ett krav på pseudonymisering
I propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298) gör regeringen bedömningen att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål. Detta framgår enligt regeringen direkt av dataskyddsförordningen och bör därför inte föreskrivas i svensk rätt (s. 70). Det innebär sannolikt att det forskningsmaterial som den särskilda nämnden och forskningshuvudmännen tar del av i många fall redan är pseudonymiserat. Vid nämndens prövning av oredlighet i forskning och statliga universitets och högskolors hantering av misstänkta avvikelser från god forskningssed är det också viktigt att forskningsmaterialet ser ut som det gjorde när forskaren arbetade med det. Det bedöms därför inte finnas skäl att införa något krav på pseudonymisering av sådant forskningsmaterial som den särskilda nämnden och forskningshuvudmännen tar del av.
Användningsbegränsning bör vara en skyddsåtgärd vid behandling av personuppgifter hos den särskilda nämnden
I dataskyddslagen finns en användningsbegränsning som reglerar hur personuppgifter som behandlas för forskningsändamål får användas (4 kap. 3 §). I bestämmelsen anges att personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen syftar till att begränsa vidarebehandling av personuppgifterna för andra ändamål än forskning, som en skydds-
åtgärd för de registrerade. Bestämmelsen är försedd med ett undantag som tar sikte på situationer som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling (prop. 2017/18:298 s. 194). Frågan uppkommer då om en motsvarande användningsbegränsning bör gälla när den särskilda nämnden fullgör de uppgifter som följer av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
I promemorian föreslås ingen användningsbegränsning motsvarande den i 4 kap. 3 § dataskyddslagen för den särskilda nämnden. Där konstateras att nämnden bara har till uppgift att pröva frågor om oredlighet i forskning och konstatera om oredlighet har förekommit eller inte. Även om oredlighet konstateras så är det inte nämndens uppgift att dra slutsatser om vilka forskningsresultat som hade uppstått om forskningen hade skötts korrekt eller om huruvida de felaktiga slutsatserna är av avgörande betydelse för den registrerades vitala intressen. Det kan dock inte uteslutas att det kan finnas fall då nämndens granskning visar att t.ex. felaktig behandling har getts till forskningspersoner. Det är sannolikt att det forskningsmaterial som den särskilda nämnden tar del av i många fall är pseudonymiserat. I sådana fall är det inte möjligt för den särskilda nämnden att vidta några åtgärder i fråga om de registrerade, utan att begära att få tillgång till kodnyckeln. I promemorian bedömdes det i dessa fall vara lämpligast att forskningshuvudmannen upplyses om vad som framkommit vid granskningen så att denne kan varna den registrerade. Mot denna bakgrund bedömdes det i promemorian inte finnas skäl att införa en motsvarande användningsbegränsning som gäller enligt 4 kap. 3 § dataskyddslagen för den särskilda nämnden. Datainspektionen påpekar att en begränsning av möjligheten för nämnden att behandla personuppgifter för att vidta åtgärder i fråga om den registrerade syftar till att begränsa eventuell vidarebehandling av den registrerades personuppgifter till sådana situationer som är av avgörande betydelse för den registrerades liv och hälsa. Att inte införa någon sådan begränsning av nämndens möjlighet till ytterligare behandling innebär enligt Datainspektionen att sådan behandling kan vara tillåten, givetvis under förutsättning att det inte strider mot regleringen i dataskyddförordningen i övrigt. Mot denna bakgrund anser Datainspektionen, i motsats till bedömningen i promemorian, att det finns skäl att som en skyddsåtgärd begränsa nämndens möjlighet till vidarebehandling av den registrerades personuppgifter. Uppsala universitet önskar vidare ett förtydligande om hur det i praktiken ska gå till när forskningshuvudmannen ska upplysa och varna den registrerade att t. ex. en felaktig behandling har getts till denne, mot bakgrund av att en utredning om oredlighet i forskning kan ta månader. Den registrerade har intresse av att få denna information så fort som möjligt varför det enligt universitetet i vissa fall kan ifrågasättas om det inte vore lämpligare att detta åligger nämnden.
En i nationell rätt fastställd begränsning av nämndens möjligheter till vidarebehandling av personuppgifterna kan, i linje med Datainspektionens uppfattning, utgöra ett lämpligt skydd för de registrerades integritet. Uppsala universitet ifrågasätter om det inte vore lämpligare att nämnden vidtar åtgärder mot de registrerade, när det i samband med utredning om oredlighet i forskning upptäcks att vitala intressen står på spel, istället för att detta åläggs forskningshuvudmannen. Det kan i sammanhanget inte uteslutas att det kan finnas fall då nämndens granskning visar att t.ex. direkt farlig behandling har getts till forskningspersoner. I dessa fall, då de registrerades egna vitala intressen står på spel, anser regeringen att det bör vara möjligt för nämnden att använda personuppgifter som annars bara behandlas för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för att även vidta åtgärder i fråga om de registrerade. Om det är lämpligast att nämnden eller forskningshuvudmannen vidtar åtgärder mot de registrerade när det föreligger synnerliga skäl måste dock bedömas från fall till fall. Om det finns synnerliga skäl bör nämnden omgående informera antingen forskningshuvudmannen eller de registrerade. Det finns alltså inte något skäl att avvakta med denna information till dess utredningen om oredlighet i forskning är klar. Det är regeringens uppfattning att den särskilda nämnden i övrigt inte bör kunna använda personuppgifter som enbart behandlas för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna kan finnas i allmänna handlingar föranleder ingen annan bedömning.
Regeringen föreslår således, i linje med Datainspektionens bedömning, att en motsvarande användningsbegränsning som gäller enligt 4 kap. 3 § dataskyddslagen ska införas för den särskilda nämnden.
Det finns sekretessbestämmelser som utgör skyddsåtgärder
I 24 kap. OSL finns bestämmelser om sekretess till skydd för enskild inom forskning. I kapitlet finns bl.a. bestämmelser om sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål (1 §), sekretess i verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rättspsykiatriskt forskningsregister (2 §) och sekretess i verksamhet som består i etikprövning och tillsyn enligt lagen (2003:460) om etikprövning av forskning som avser människor (3 §). Vidare finns det i 11 kap. 3 § första stycket OSL en bestämmelse som reglerar överföring av sekretess i forskningsverksamhet. Av bestämmelsen följer att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller dock inte en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Nämnda bestämmelser är tillämpliga hos myndigheter, t.ex. statliga universitet och högskolor. Bestämmelserna är även tillämpliga hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande (2 kap. 1 och 3 §§ OSL). Vidare är bestämmelserna tillämpliga hos Stiftelsen Högskolan i Jönköping och vissa bolag som ägs av stiftelsen och Stiftelsen Chal-
mers tekniska högskola och det av stiftelsen ägda bolaget Chalmers tekniska högskola AB (2 kap. 4 § och bilagan till OSL). Sekretessbestämmelserna i 24 kap. och bestämmelserna om överföring av sekretess i 11 kap. 3 § första stycket OSL är alltså tillämpliga hos flera av de forskningshuvudmän som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
Vidare ska sekretess gälla hos den särskilda nämnden i ärenden enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men, och för uppgift om en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Sekretessen ska inte gälla för uppgift om vem som har väckt frågan om oredlighet eller för uppgift om vem misstanken riktas mot. Sekretessen ska inte heller gälla beslut i ett ärende. För uppgift i en allmän handling ska sekretessen gälla i högst sjuttio år för uppgift om en enskilds personliga förhållanden och i högst tjugo år för uppgift om en enskilds ekonomiska förhållanden. Vidare gäller att om den särskilda nämnden i sin verksamhet enligt den nya lagen får en sekretessreglerad uppgift från en forskningshuvudman ska sekretessbestämmelsen vara tillämplig på uppgiften även hos nämnden. Den överförda sekretessen gäller inte för en uppgift som ingår i ett beslut hos nämnden (11 kap. 3 a § och 24 kap. 7 a § OSL).
Ovan nämnda bestämmelser utgör skyddsåtgärder vid den särskilda nämndens och forskningshuvudmännens personuppgiftsbehandlingar.
Det finns inte skäl att införa några ytterligare generella skyddsåtgärder
Som framgår ovan föreslår regeringen en användningsbegränsning för den särskilda nämnden. Vidare konstateras att det redan finns bestämmelser som utgör generella skyddsåtgärder. Det har inte framkommit skäl som talar för att införa några ytterligare skyddsåtgärder. Skyddsåtgärder vid behandling av känsliga personuppgifter behandlas i avsnitt 6.4.
6.4. Behandling av känsliga personuppgifter och personuppgifter som rör lagöverträdelser
6.4.1. Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner ska inte omfattas av sökförbudet i dataskyddslagen
Regeringens förslag: Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner ska inte omfattas av förbudet i dataskyddslagen mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter när de behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
Regeringens bedömning: Statliga universitet och högskolor bör inte omfattas av nämnda sökförbud när de behandlar personuppgifter för att
hantera andra misstänkta avvikelser från god forskningssed än de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner kan med stöd av artikel 9.2 g i dataskyddsförordningen och 3 kap. 3 § i dataskyddslagen behandla känsliga personuppgifter.
De kan vidare med stöd av artikel 10 i dataskyddsförordningen och 3 kap. 8 § i dataskyddslagen behandla personuppgifter som rör lagöverträdelser.
Någon ytterligare reglering för deras behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser bör inte införas.
Promemorians bedömning: Överensstämmer delvis med regeringens förslag och bedömning. Promemorian lämnar inget förslag om att den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner inte ska omfattas av förbudet i dataskyddslagen mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter när de behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning eller för att hantera andra misstänkta avvikelser från god forskningssed.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Datainspektionen anser att det i promemorian inte presenteras någon egentlig utredning av hur behandlingen av känsliga personuppgifter kommer att gå till och att det således inte går att bedöma vilket behov de olika aktörerna har av att behandla känsliga personuppgifter och inte heller vilka risker behandlingen innebär för de registrerades personliga integritet. Att behandlingen av känsliga personuppgifter har ett rättsligt stöd, vare sig detta kan finnas i dataskyddslagen eller kräver ytterligare kompletterande lagstiftning, kan då enligt Datainspektionen inte säkerställas och vilka skyddsåtgärder som behöver införas kan inte heller bedömas, vare sig ur ett integritets- eller verksamhetsperspektiv.
Datainspektionen anför vidare att för det fall granskningen hos den särskilda nämnden kräver viss sökning på känsliga personuppgifter skulle exempelvis ett införande av en sökbegränsning kunna medföra problem för verksamheten. Andra mer lämpliga skyddsåtgärder behöver då enligt
Datainspektionen beaktas. Uppsala universitet påpekar att i de fall nämnden ska genomföra en vetenskaplig kontroll av riktigheten i resultat från en studie med känsliga personuppgifter kan sökningar behöva göras hos nämnden där man får fram ett urval av personer grundat på deras känsliga personuppgifter. Universitetet anser att det bör förtydligas och exemplifieras hur sökbegränsningen ska förstås med hänsyn till nämndens arbete då det finns utrymme för tolkning av begreppet. Tolkningen kan sträcka sig från att sökningen i sig inte är tillåten till att det genom sökningen går att identifiera enskilda utifrån individers känsliga personuppgifter.
Uppsala universitet anför också att det för forskningshuvudmannen gäller att samtycke är undantagsbestämmelsen som möjliggör forskning på känsliga personuppgifter. Om samtycken inte behöver inhämtas för be-
handlingen av känsliga personuppgifter i forskningsverksamhet då nämnden ska kunna behandla känsliga personuppgifter med stöd i undantaget viktigt allmänt intresse minskar den här problematiken med resultatet att forskningshuvudmannen och nämnden kan behandla känsliga personuppgifter med samma undantagsgrund. En utökad etikprövning skulle i de fallen kunna ersätta samtycken. Vidare önskar universitetet ett förtydligande av huruvida nämnden ska ansöka om etiskt tillstånd om den konstaterar att forskning skett på känsliga personuppgifter utan nödvändigt etiskt tillstånd.
Skälen för regeringens förslag och bedömning
Dataskyddsförordningen och dataskyddslagen ger tillräckligt stöd för behandling av känsliga personuppgifter
Som konstaterats i avsnitt 6.1 kan den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner komma att behöva behandla känsliga personuppgifter och personuppgifter som rör lagöverträdelser för att utföra de uppgifter som åläggs dem i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning och genom förslaget om hantering av andra avvikelser från god forskningssed. Personuppgiftsbehandlingen vid granskning av forskning bedöms bli lik den som utförts under själva forskningen. För att nämnden ska kunna granska utförd forskning och utreda misstankar om oredlighet eller andra avvikelser från god forskningssed är det av stor vikt att nämnden har samma möjligheter att behandla uppgifterna i forskningsmaterialet, både vad avser metoder och tillgång till uppgifter.
Som framgår av avsnitt 5.1 finns det undantag från förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla känsliga personuppgifter. Det undantag som aktualiseras i detta sammanhang finns i artikel 9.2 g. Enligt denna bestämmelse ska artikel 9.1 inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I dataskyddslagen anges att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen 1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2. om behandlingen är nödvändig för handläggningen av ett ärende, eller 3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket). I propositionen Ny dataskyddslag (prop. 2017/18:105) anför regeringen i fråga om denna bestämmelse att begreppen handläggning och ärende ska tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900). Begreppet handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedöm-
ningen av om en myndighets uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form (s. 194).
Datainspektionen anser att det utifrån promemorians beskrivning inte går att bedöma vilket behov de olika aktörerna har av att behandla känsliga personuppgifter och inte heller vilka risker behandlingen innebär för de registrerades personliga integritet. Att behandlingen av känsliga personuppgifter har ett rättsligt stöd, vare sig detta kan finnas i dataskyddslagen eller kräver ytterligare kompletterande lagstiftning, kan då enligt Datainspektionen inte säkerställas.
Som nämnts i avsnitt 6.1 behandlas känsliga personuppgifter inom t.ex. medicinsk forskning eller annan forskning som rör hälso- och sjukvård eller hälsa. Sådan forskning kan komma att bli anmäld för oredlighet och uppgifterna i anmälan behöver då utredas av den särskilda nämnden. I samband med en sådan anmälan måste nämnden ha samma möjligheter att behandla de känsliga personuppgifterna som forskningshuvudmannen. Det kan inte på förhand analyseras i detalj vilken personuppgiftsbehandling som kommer att bli aktuell i ett sådant fall eftersom ärendena kan se helt olika ut. Personuppgiftsbehandlingen kommer dock i ett sådant fall att ske inom ramen för handläggningen av ett ärende. Behandling av känsliga personuppgifter kan därmed ske med stöd av artikel 9.2 g i dataskyddsförordningen och 3 kap. 3 § första stycket 2 dataskyddslagen. Detsamma gäller andra ärenden om prövning av oredlighet i forskning där känsliga personuppgifter förekommer i den forskning som utreds. Även den statliga eller kommunala forskningshuvudman som överlämnar handlingar för prövning av den särskilda nämnden gör det inom ramen för handläggningen av ett ärende.
Som nämnts ovan får enligt dataskyddslagen känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen även i andra fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). I propositionen Ny dataskyddslag anför regeringen att bestämmelsen är tillämplig i s.k. faktisk verksamhet hos myndigheter, dvs. i sådan förvaltningsverksamhet som inte utgör ärendehandläggning (s. 194). I den mån det skulle bli aktuellt för nämnden, statliga universitet och högskolor, andra statliga myndigheter eller kommuner och regioner att utföra förvaltningsverksamhet som inte utgör ärendehandläggning, s.k. faktisk verksamhet, finns alltså möjlighet att tillämpa artikel 9.2 g i dataskyddsförordningen och 3 kap. 3 § första stycket 3 dataskyddslagen.
Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner kommer således att kunna behandla känsliga personuppgifter med stöd av dataskyddsförordningen och dataskyddslagen.
Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner ska inte omfattas av sökförbudet i dataskyddslagen
Som nämnts ovan anges i dataskyddslagen att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförord-
ningen om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2). Denna bestämmelse är tillämplig för den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner. I dataskyddslagen anges också att det, vid behandling som sker enbart med stöd av 3 kap. 3 § första stycket, är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket).
Datainspektionen har i sitt remissvar påtalat att en sökbegränsning kan medföra problem för nämndens granskningsverksamhet. I forskningen genomförs i vissa fall sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Av sökförbudet i dataskyddslagen följer att detta gäller vid behandling som sker enbart med stöd av 3 kap. 3 § första stycket dataskyddslagen. Behandling av känsliga personuppgifter inom forskning utförs dock inte med stöd av den bestämmelsen utan direkt med stöd av artikel 9.2 j dataskyddsförordningen (se prop. 2017/18:298 s. 90).
Eftersom det inom forskningen kan genomföras sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter kan även den särskilda nämnden behöva göra motsvarande sökningar för att kunna fastställa om det förekommit oredlighet i forskning. Även forskningshuvudmännen kan behöva genomföra sådana sökningar när de ska fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, t.ex. när de ska lämna handlingar om forskningen till nämnden.
Som nämnts i avsnitt 5.6.2 föreslår utredningen att statliga universitet och högskolor ska hantera andra misstänkta avvikelser från god forskningssed än de som ska prövas särskilt enligt den nya lagen. Regeringen avser att i förordning fastställa denna uppgift för de statliga universiteten och högskolorna. Även vid utförandet av denna uppgift kan det finnas behov av att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Som framgått av avsnitt 5.3 är regleringen i dataskyddslagen subsidiär i förhållande till bestämmelser i annan lag eller förordning. Bestämmelsen om sökförbud i 3 kap. 3 § andra stycket dataskyddslagen bör inte gälla varken när nämnden eller en forskningshuvudman behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning eller när statliga universitet och högskolor behandlar personuppgifter för att hantera andra misstänkta avvikelser från god forskningssed än de som ska prövas enligt den lagen. Ett undantag för den första situationen bör införas i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Ett undantag för den andra situationen bör införas på förordningsnivå i anslutning till den kommande regleringen om att statliga universitet och högskolor ska hantera andra misstänkta avvikelser från god forskningssed än de som ska prövas enligt nämnda lag (se vidare avsnitt 6.7).
Det finns inget behov av att införa någon ytterligare reglering för behandlingen av känsliga personuppgifter
Om behandling av känsliga personuppgifter tillåts ska det enligt dataskyddsförordningen finnas lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I av-
snitt 6.3 redovisas vilka generella skyddsåtgärder som gäller för all behandling av personuppgifter som blir aktuell till följd av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnittet föreslås ytterligare en skyddsåtgärd som innebär att personuppgifter som enbart behandlas av den särskilda nämnden för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Där görs också bedömningen att det inte finns något behov av att införa ytterligare bestämmelser om generella skyddsåtgärder. Frågan uppstår dock om det finns skäl att införa särskilda skyddsåtgärder vad gäller behandling av känsliga personuppgifter. Datainspektionen säger sig inte kunna bedöma vilka skyddsåtgärder som behöver införas, vare sig ur ett integritets- eller verksamhetsperspektiv. Regeringen gör bedömningen att de generella skyddsåtgärderna säkerställer den registrerades grundläggande rättigheter och intressen. Dessutom finns det redan en särskild skyddsåtgärd vid behandlingen av känsliga personuppgifter i den forskning som nämnden har att granska i form av kravet i etikprövningslagen på etikgodkännande för all forskning som innefattar behandling av känsliga personuppgifter. Förslaget ovan om att den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner inte ska omfattas av sökförbudet i dataskyddslagen innebär visserligen att en av de nuvarande skyddsåtgärderna tas bort, men regeringen gör ändå bedömningen att det finns ett tillräckligt skydd för de registrerades grundläggande rättigheter och intressen.
Uppsala universitet hävdar att det för forskningshuvudmannen gäller att samtycke är undantagsbestämmelsen som möjliggör forskning på känsliga personuppgifter. Om samtycken inte behöver inhämtas för behandlingen av känsliga personuppgifter i forskningsverksamhet då nämnden ska kunna behandla känsliga personuppgifter med stöd i undantaget viktigt allmänt intresse minskar den här problematiken med resultatet att forskningshuvudmannen och nämnden kan behandla känsliga personuppgifter med samma undantagsgrund. En utökad etikprövning skulle i de fallen enligt universitetets bedömning kunna ersätta samtycken.
Frågan om vilka undantagsbestämmelser i artikel 9.2 i dataskyddsförordningen som forskningshuvudmän kan tillämpa vid forskning som innefattar behandling av känsliga personuppgifter har behandlats i propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298). Av propositionen framgår att vid behandling av känsliga personuppgifter i forskning tillämpas undantaget i artikel 9.2 j, enligt vilket behandlingen ska vara nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Etikprövning enligt etikprövningslagen bedöms vara en sådan lämplig och särskild skyddsåtgärd, fastställd i svensk rätt, som krävs (prop. 2017/18:298 s 84 f.). Forskning som innefattar behandling av känsliga personuppgifter får enligt etikprövningslagen bara utföras om den har
godkänts vid en etikprövning (3 och 6 §§). Detta gäller även behandling som grundas på samtycke (prop. 2007/08:44 s. 21 f.). Av propositionen Behandling av personuppgifter för forskningsändamål framgår också att behandling av känsliga personuppgifter för forskningsändamål inte kan ske endast med stöd av samtycke enligt undantaget i artikel 9.2.a i dataskyddsförordningen, eftersom nationell rätt kräver etikgodkännande (s. 88 f.). Detta krav i etikprövningslagen utgör ett sådant förbud som inte kan upphävas av den enskilde, se artikel 9.2 a sista ledet. Av sista stycket i 6 § etikprövningslagen framgår vidare att ett godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det kan alltså vara så att det för ett forskningsprojekt inte alltid är tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar. Exempelvis krävs det enligt läkemedelslagen (2015:315) tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar. Med anledning av en ny EU-förordning och kompletterande nationell reglering, som ännu inte trätt i kraft, kommer det framöver inte att krävas tillstånd enligt etikprövningslagen för forskning som består i kliniska läkemedelsprövningar. Det kommer i stället enbart att krävas ett beslut av Läkemedelsverket. Ett sådant beslut kommer dock att föregås av ett yttrande från Etikprövningsmyndigheten enligt lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel (se prop. 2017/18:193 och prop. 2017/18:196). Det sagda innebär att om förutsättningarna enligt etikprövningslagen och/eller andra författningar är uppfyllda i fråga om ett enskilt forskningsprojekt krävs inte samtycke för behandling av känsliga personuppgifter inom projektet, såvida inte samtycke krävs enligt den aktuella regleringen på området (se t.ex. artikel 29 i Europaparlamentets och rådets förordning [EU] nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphörande av direktiv 2001/20/EG). Någon ändring i den nationella regleringen i form av utökade krav på etikprövning för känsliga personuppgifter behövs således inte.
Uppsala universitet önskar ett förtydligande av huruvida nämnden ska ansöka om etiskt tillstånd om den konstaterar att forskning skett på känsliga personuppgifter utan nödvändigt etiskt tillstånd. Enligt 2 § lagen om ansvar för god forskningssed och prövning av oredlighet i forskning definieras oredlighet i forskning som en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande eller rapportering av forskning. Avsaknad av etiktillstånd omfattas alltså inte av nämndens kompetensområde utan är en annat slags avvikelse från god forskningssed. Att utföra forskning utan ett etikgodkännande när ett sådant krävs är straffbart enligt 38 § etikprövningslagen. Om nämnden bedömer att ett ärende inte rör oredlighet i forskning men kan gälla andra avvikelser från god forskningssed ska nämnden underrätta den berörda forskningshuvudmannen och samtidigt lämna över handlingarna i ärendet dit. Eftersom det är straffbart att utföra forskning som omfattas av etikprövningslagens tillämpningsområde utan att ha fått godkännande vid en etikprövning bör dock den som misstänker att sådan forskning förekommer anmäla detta.
Detta gäller även nämnden. Nämnden kommer dock aldrig att behöva ansöka om etikprövningstillstånd eftersom nämnden inte utför forskning.
Dataskyddsförordningen och dataskyddslagen ger tillräckligt stöd för behandling av personuppgifter som rör lagöverträdelser
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 utföras endast under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. I 3 kap. 8 § första stycket dataskyddslagen, som förtydligar artikel 10 i dataskyddsförordningen, anges att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. I avsnitt 6.3 redovisas vilka generella skyddsåtgärder som gäller för all behandling av personuppgifter som blir aktuell till följd av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnittet föreslås att personuppgifter som enbart behandlas av den särskilda nämnden för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Där görs också bedömningen att det inte finns något behov av att införa ytterligare bestämmelser om generella skyddsåtgärder. Några ytterligare skyddsåtgärder bedöms inte heller behövas när det är fråga om uppgifter som rör lagöverträdelser.
Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner kommer således att med stöd av dataskyddsförordningen och dataskyddslagen kunna behandla personuppgifter som rör lagöverträdelser.
Hänvisningar till S6-4-1
6.4.2. Det behövs kompletterande reglering i fråga om behandling av känsliga personuppgifter för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar
Regeringens förslag: Det ska införas en bestämmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska få behandla känsliga personuppgifter om behandlingen är nödvändig för att fullgöra uppgifter enligt lagen.
Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian föreslås dessutom att det ska vara förbjudet för forskningshuvudmän att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot förslaget.
Skåne läns landsting anser att det bör övervägas om motsvarande bestämmelse även ska avse leverantörer och konsulter inom it, datajournalsystem samt vårddatabaser.
Datainspektionen anser att det i promemorian inte presenteras någon egentlig utredning av hur behandlingen av känsliga personuppgifter kommer att gå till och att det således inte går att bedöma vilket behov de olika aktörerna har av att behandla känsliga personuppgifter och inte heller vilka risker behandlingen innebär för de registrerades personliga integritet. Att behandlingen av känsliga personuppgifter har ett rättsligt stöd, vare sig detta kan finnas i dataskyddslagen eller kräver ytterligare kompletterande lagstiftning, kan då enligt Datainspektionen inte säkerställas och vilka skyddsåtgärder som behöver införas kan inte heller bedömas, vare sig ur ett integritets- eller verksamhetsperspektiv. Datainspektionen avstyrker förslaget.
Skälen för regeringens förslag
Känsliga personuppgifter får behandlas under vissa villkor
Som konstaterats i avsnitt 6.1 kan enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av den nya lagen komma att behöva behandla känsliga personuppgifter. Enligt artikel 9.1 i dataskyddsförordningen är behandling av känsliga personuppgifter förbjuden. Förbudet ska dock, enligt artikel 9.2 g, inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Vissa bestämmelser i dataskyddslagen gäller för vissa enskilda forskningshuvudmän
Som framgår av avsnitt 6.4.1 kommer den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner att kunna behandla känsliga personuppgifter med stöd av dataskyddsförordningen och dataskyddslagen. Av avsnitt 5.3 framgår vidare att vissa bestämmelser i dataskyddslagen även är tillämpliga hos andra än myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen (TF) och OSL gäller i deras verksamhet (3 kap. 3 § tredje stycket dataskyddslagen).
Av 2 kap. 3 § OSL framgår att vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande samt att sådana bolag, föreningar och stiftelser vid tillämpningen av OSL ska jämställas med myndigheter. Vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter ska vidare, enligt 2 kap. 4 § OSL, i tillämpliga delar också gälla handlingar hos de organ som anges i bilagan till OSL, om handlingarna hör till den verksamhet som nämns där. Dessa organ ska i den verksamheten jämställas med myndigheter vid tillämpningen av OSL. Tre enskilda utbildningsanordnare finns upptagna i bilagan till OSL. Det är Stiftelsen Högskolan i Jönköping och vissa bolag som ägs av stiftelsen (all verksamhet), Stiftelsen Chalmers tekniska hög-
skola och det av stiftelsen ägda bolaget Chalmers tekniska högskola AB (all verksamhet) samt Handelshögskolan i Stockholm (i fråga om statligt stöd i form av utbildningsbidrag för doktorander).
Kommunala bolag, föreningar och stiftelser och ovan nämnda tre enskilda utbildningsanordnare ska alltså tillämpa offentlighetsprincipen och sekretessregleringen. I den mån några av de övriga statliga bolagen och stiftelserna som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning finns upptagna i bilagan till OSL ska även dessa tillämpa offentlighetsprincipen samt sekretessregleringen. Därmed ska dessa organ, enligt 3 kap. 3 § tredje stycket dataskyddslagen, jämställas med myndigheter vid tillämpningen av 3 kap. 3 § första stycket 1 dataskyddslagen. Enligt den bestämmelsen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Bestämmelsen klargör att det är tillåtet för myndigheter att utföra sådan behandling av känsliga personuppgifter som krävs i myndigheternas verksamhet som en direkt följd av framför allt OSL:s och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post (prop. 2017/18:105 s. 194). Bestämmelsen omfattar dock inte, trots lagtextens generella utformning, sådan behandling som kan komma att krävas enligt den nya lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Det innebär att bestämmelsen inte omfattar all sådan behandling av känsliga personuppgifter som utförs av kommunala bolag, föreningar och stiftelser, ovan nämnda tre enskilda utbildningsanordnare och eventuella övriga statliga bolag och stiftelser som finns upptagna i bilagan till OSL och som omfattas av den nya lagen.
Det behövs en bestämmelse som möjliggör behandling av känsliga personuppgifter för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar
Dataskyddslagens bestämmelser i 3 kap. 3 § första stycket 2 och 3 om behandling av känsliga personuppgifter vid ärendehandläggning eller s.k. faktisk verksamhet omfattar inte enskilda utbildningsanordnare eller övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. För enskilda utbildningsanordnare finns bestämmelser om behandling av känsliga personuppgifter i 13 § lagen om tillstånd att utfärda vissa examina, men dessa bestämmelser är inte tillämpliga i nu aktuella fall. Alla de forskningshuvudmän som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning behöver kunna behandla känsliga personuppgifter för att fullgöra de krav som lagen ställer. Regeringen föreslår därför att det ska införas en bestämmelse som innebär att känsliga personuppgifter får behandlas av enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar om det är nödvändigt för att fullgöra uppgifter enligt nämnda lag. Frågorna om på vilken normnivå regleringen bör införas behandlas i avsnitt 6.8.
Skåne läns landsting anser att det bör övervägas om motsvarande bestämmelse även ska avse leverantörer och konsulter inom it, datajournalsystem samt vårddatabaser. Här vill regeringen anföra att i den mån inne-
hållet i datajournalsystem och vårddatabaser utgör en del av forskningsmaterialet, och har förts över till forskningshuvudmannen, så utgör det sådant material som nämnden kan begära in från forskningshuvudmannen. De nämnda aktörerna ges ingen ny roll i den nya hanteringen av oredlighet i forskning och deras personuppgiftsbehandling analyseras inte i denna proposition.
Det behövs inte någon ytterligare skyddsåtgärd Datainspektionen anser att det i promemorian inte presenteras någon egentlig utredning av hur behandlingen av känsliga personuppgifter kommer att gå till och att det således inte går att bedöma vilket behov de olika aktörerna har av att behandla känsliga personuppgifter och inte heller vilka risker behandlingen innebär för de registrerades personliga integritet. Att behandlingen av känsliga personuppgifter har ett rättsligt stöd, vare sig detta kan finnas i dataskyddslagen eller kräver ytterligare kompletterande lagstiftning, kan då enligt Datainspektionen inte säkerställas och vilka skyddsåtgärder som behöver införas kan inte heller bedömas, vare sig ur ett integritets- eller verksamhetsperspektiv. I avsnitt 6.1 och 6.4.1 redogörs för de situationer då forskningshuvudmännen kan behöva behandla känsliga personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och hantering av oredlighet i forskning. I avsnitt 6.3 redogörs för de generella skyddsåtgärder som finns och föreslås. Dessa utgörs av en användningsbegränsning för den särskilda nämnden och sekretessbestämmelser för forskningshuvudmän och den särskilda nämnden samt bestämmelser om överföring av sekretess, liksom den pseudonymisering vid all behandling av personuppgifter för forskningsändamål som förordas i dataskyddsförordningen. Dessutom finns det redan en särskild skyddsåtgärd vid behandlingen av känsliga personuppgifter i den forskning som ska lämnas över för granskning i form av kravet i etikprövningslagen på etikgodkännande för all forskning som innefattar behandling av känsliga personuppgifter. Därutöver föreslås bestämmelsen om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar ska få behandla känsliga personuppgifter avgränsas så att den endast avser behandlingar som är nödvändiga för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Genom dessa skyddsåtgärder bedöms kravet i artikel 9.2 g i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vara uppfyllda.
Hänvisningar till S6-4-2
6.4.3. Det finns inte behov av någon ytterligare reglering för behandling av personuppgifter som rör lagöverträdelser för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar
Regeringens bedömning: Uppgift om att en forskare har gjort sig skyldig till oredlighet i forskning utgör inte en överträdelse i den mening som avses i artikel 10 i dataskyddsförordningen.
Enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar kan med stöd av artikel 10 i dataskyddsförordningen och 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning behandla personuppgifter om lagöverträdelser. Någon ytterligare reglering för deras behandling av sådana personuppgifter bör inte införas.
Promemorians förslag och bedömning: Överensstämmer delvis med regeringens bedömning. I promemorian föreslås att det ska införas en bestämmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska få behandla personuppgifter som rör lagöverträdelser om behandlingen är nödvändig för att fullgöra uppgifter enligt den lagen.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot förslaget eller bedömningen.
Skåne läns landsting anser att det bör övervägas om motsvarande bestämmelse även ska avse leverantörer och konsulter inom it, datajournalsystem samt vårddatabaser.
Datainspektionen avstyrker förslaget. Att en personuppgiftsansvarig inte får utföra en personuppgiftsbehandling som ligger utanför det i lag givna rättsliga stödet kan enligt Datainspektionens mening inte utgöra en skyddsåtgärd.
Som nämnts i avsnitt 3 har Datainspektionen beretts tillfälle att yttra sig över ett utkast till lagrådsremiss med ett förslag som överensstämmer med vad som anges i rutan ovan. Datainspektionen anför att någon redogörelse för hur bestämmelsen i 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning uppfyller kraven i artikel 10 på lämpliga skyddsåtgärder inte har presenterats.
Skälen för regeringens bedömning
Personuppgifter som rör lagöverträdelser får behandlas under vissa villkor
Som konstaterats i avsnitt 6.1 kan enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning komma att behöva behandla personuppgifter som rör lagöverträdelser. Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 utföras endast under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Uppgift om att en forskare har gjort sig skyldig till oredlighet i forskning rör inte en fällande dom i ett brottmål eller en lagöverträdelse som innefattar brott eller därmed sammanhängande säkerhetsåtgärd i den mening som avses i artikel 10. Som framgår av avsnitt 6.1 kan dock sådana personuppgifter som avses i artikel 10 förekomma i t.ex. forskningsmaterial.
I dataskyddslagen anges att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter samt att sådana upp-
gifter får behandlas även av andra än myndigheter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §). I promemorian föreslogs att det skulle införas en bestämmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska få behandla personuppgifter som rör lagöverträdelser om behandlingen är nödvändig för att fullgöra uppgifter enligt den lagen. Vidare gjordes bedömningen, utifrån kravet på lämpliga skyddsåtgärder i artikel 10, att det inte bör införas några ytterligare skyddsåtgärder. I promemorian redogjordes även för vilka skyddsåtgärder som finns. Datainspektionen avstyrker förslaget och anför att det förhållandet att en personuppgiftsansvarig inte får utföra en personuppgiftsbehandling som ligger utanför det i lag givna rättsliga stödet inte kan utgöra en skyddsåtgärd.
Regeringen konstaterar att det i dataskyddslagen finns en föreskriftsrätt för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (3 kap. 9 §). I 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning föreskrivs att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av andra än myndigheter om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Utöver dessa bestämmelser finns det även bestämmelser för enskilda utbildningsanordnare om behandling av personuppgifter som rör fällande domar i brottmål i lagen om tillstånd att utfärda vissa examina, men de bestämmelserna är inte tillämpliga i nu aktuella fall (14 §).
Enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar har stöd i nationell rätt för sin behandling av personuppgifter om lagöverträdelser
Enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar har samma behov som statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner att kunna behandla personuppgifter som rör lagöverträdelser när de fullgör de uppgifter som följer av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
Som framgått ovan tillåts behandling av uppgifter om lagöverträdelser för andra än myndigheter enligt 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning om behandlingen är nödvändig för att bl.a. en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. I avsnitt 6.2.2 görs bedömningen att de skyldigheter som regleras i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning kommer att utgöra i svensk rätt fastställda rättsliga förpliktelser som åvilar statliga universitet och högskolor, andra statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar, och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c kan då tillämpas. Detta innebär att enskilda utbildningsanordnare och övriga
bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning med stöd av 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning kommer att kunna utföra nödvändig behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Det behövs då inte någon ytterligare bestämmelse om detta.
Med anledning av Datainspektionens synpunkt över utkastet till lagrådsremiss kan det konstateras att det utöver ovanstående finns skyddsåtgärder fastställda (se avsnitt 6.3).
Skåne läns landsting anser att det bör övervägas om motsvarande bestämmelse som föreslås i promemorian beträffande enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningars möjligheter att behandla uppgifter om lagöverträdelser även ska avse leverantörer och konsulter inom it, datajournalsystem samt vårddatabaser. Som påpekas i avsnitt 6.4.3 ovan kan nämnden från forskningshuvudmannen begära in innehållet i datajournalsystem och vårddatabaser, i den mån det utgör en del av forskningsmaterialet (och har förts över till forskningshuvudmannen).
De nämnda aktörerna ges ingen ny roll i den nya hanteringen av oredlighet i forskning och deras personuppgiftsbehandling analyseras därför inte i denna proposition.
6.5. Det behövs inget ytterligare rättsligt stöd för personuppgiftsbehandling som sker med stöd av arkivbestämmelser
Regeringens bedömning: Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning kan med stöd av EU:s dataskyddsförordning och dataskyddslagen utföra de personuppgiftsbehandlingar som blir nödvändiga med anledning av föreskrifter om arkiv.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Skälen för regeringens bedömning: Som framgår av avsnitt 5.1 är svenska myndigheter, kommunala bolag och vissa andra organ enligt arkivlagen skyldiga att bevara sina allmänna handlingar. Regeringen gör i propositionen Ny dataskyddslag bedömningen att myndigheter och andra som omfattas av föreskrifter om arkiv enligt gällande rätt har rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse.
Vidare gör regeringen bedömningen att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse enligt dataskyddsförordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver således inte fastställas för sådan vidarebehandling (s. 109 f.). Den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner bedöms således med
stöd av den befintliga regleringen i dataskyddsförordningen och dataskyddslagen kunna utföra de personuppgiftsbehandlingar som blir nödvändiga med anledning av föreskrifter om arkiv, t.ex. föreskrifter enligt arkivlagen.
Som framgår av avsnitt 6.4.3 ska TF:s bestämmelser om rätten att ta del av allmänna handlingar och bestämmelserna i OSL även tillämpas på kommunala bolag, föreningar och stiftelser (2 kap. 3 § OSL) och sådana enskilda organ som anges i bilagan till OSL (2 kap. 4 § OSL)
.
I den bilagan
anges bl.a. Stiftelsen Högskolan i Jönköping och vissa bolag som ägs av stiftelsen (all verksamhet), Stiftelsen Chalmers tekniska högskola och det av stiftelsen ägda bolaget Chalmers tekniska högskola AB (all verksamhet) samt Handelshögskolan i Stockholm (i fråga om statligt stöd i form av utbildningsbidrag för doktorander). Det framgår av 2 a § arkivlagen att det som enligt den lagen gäller för kommunala myndigheters arkiv ska gälla även för arkiv hos sådana juridiska personer som avses i 2 kap. 3 § OSL. Det framgår vidare av 2 § arkivlagen att det som enligt den lagen gäller för statliga myndigheters arkiv ska gälla även för arkiv hos sådana organ som avses i 2 kap. 4 § OSL till den del arkivet härrör från den verksamhet som avses i bilagan till OSL.
Kommunala bolag, föreningar och stiftelser och ovan nämnda tre enskilda utbildningsanordnare ska alltså tillämpa offentlighetsprincipen, samt sekretess- och arkivregleringen. I den mån några av de övriga statliga bolagen och stiftelserna som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning finns upptagna i bilagan till OSL, ska även dessa tillämpa offentlighetsprincipen samt sekretess- och arkivregleringen. De kan därmed utföra sådana personuppgiftsbehandlingar som blir nödvändiga med anledning av arkivregleringen med stöd av dataskyddsförordningen och dataskyddslagen.
Hänvisningar till S6-5
6.6. Behöver de registrerades rättigheter eller de personuppgiftsansvarigas skyldigheter begränsas i något avseende?
Regeringens förslag: Bestämmelsen i EU:s dataskyddsförordning om information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, i de fall den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska inte gälla när forskningshuvudmännen behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
Regeringens bedömning: Bestämmelsen bör inte heller gälla när statliga universitet och högskolor behandlar personuppgifter för att hantera andra misstänkta avvikelser från god forskningssed än de som ska prövas särskilt enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning.
Tillämpningsområdet för de personuppgiftsansvarigas skyldigheter eller de registrerades rättigheter som följer av dataskyddsförordningen bör i övrigt inte begränsas.
Promemorians bedömning: Överensstämmer delvis med regeringens förslag och bedömning. I promemorian görs bedömningen att tillämpningsområdet för de personuppgiftsansvarigas skyldigheter eller de registrerades rättigheter som följer av dataskyddsförordningen inte bör begränsas alls.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Kungl. Tekniska högskolan vill, apropå promemorians bedömning att det inte finns något skäl till begränsning av rätten till rättelse enligt artikel 16, uppmärksamma att ändringar i forskningsmaterialet innebär att informationen inte förblir oförvanskad, dvs. i det skick som den var när forskaren arbetade med informationen.
Göteborgs universitet instämmer inte i promemorians bedömning om de registrerades rätt till information enligt artikel 13 och 14 i dataskyddsförordningen. Universitetet ser ett behov av att närmare utreda frågan om att införa ett generellt undantag från informationsskyldigheten vid behandling av personuppgifter i syfte att utreda misstänkt oredlighet och avvikelser från god forskningssed. Göteborgs universitet anför vidare att undantaget i artikel 14.5 c i dataskyddsförordningen enbart omfattar utlämnandet av personuppgifterna från forskningshuvudmannen till nämnden och inte personuppgiftsbehandling som kan krävas hos forskningshuvudmannen. I de fall där inte något av undantagen i artikel 13 eller 14 i dataskyddsförordningen är tillämpliga kan forskningshuvudmannen vara skyldig att informera forskningspersonerna om den nya behandlingen som sker i syfte att utreda misstänkt oredlighet i forskning. Som anförs i promemorian så skulle det kunna bli relativt betungande att informera om den nya behandlingen när det rör sig om forskningsmaterial avseende ett stort antal personer. Det kan enligt universitetet även ifrågasättas om det är lämpligt att informera forskningspersonerna i ett forskningsprojekt om att personuppgifterna hanteras för att utreda misstänkt oredlighet i forskning eller avvikelse från god forskningssed innan en sådan utredning avslutats.
Även Uppsala universitet påpekar att dataskyddsförordningen ställer krav på att de registrerade vid en personuppgiftsbehandling informeras om det specifika ändamål personuppgiftsbehandlingen har, och att forskningsdeltagares personuppgifter kommer att behandlas för nya och andra ändamål hos nämnden som kan skilja sig från ändamålet med den ursprungliga behandlingen så som det presenterades för den registrerade. Uppsala universitet vill få bekräftat att forskningshuvudmannen vid påbörjandet av personuppgiftbehandling för forskning inte behöver informera om att personuppgifterna kan komma att behandlas av nämnden, utan att skyldigheten att informera de registrerade om det nya ändamål som uppstår i och med nämndens behandling faller på nämnden i egenskap av personuppgiftsansvarig och ska utföras i enlighet med artikel 14 i dataskyddsförordningen.
Uppsala universitet påpekar vidare, apropå bedömningen i promemorian att nämnden sällan kommer att behöva tillämpa artikel 15 om registrerades rätt till tillgång till uppgifter hos den personuppgiftsansvarige eftersom den inte är tillämplig om den personuppgiftsansvarige inte kan identifiera den registrerade, att det till forskningsdata med pseudonymiserade personuppgifter som behandlas vid lärosäten i regel hör en s.k. kodlista eller motsvarande. Med kodlistan kan deltagarna i en studie identifie-
ras. Om studier baseras på mikrodata från Statistiska centralbyrån (SCB) förvaras emellertid kodlistan hos SCB och då kan inte forskningshuvudmannen själv identifiera deltagarna. Enligt Uppsala universitet torde nämnden i det förra fallet kunna ställas inför en begäran från en registrerad om att få tillgång till de personuppgifter som nämnden behandlar. Förutsättningarna för förvaring av kodlistor och tillämpningen av artikel 15 bör enligt universitetet eventuellt utredas närmare och universitetet önskar vidare förtydliganden avseende hur en förfrågan om registerutdrag ska besvaras av forskningshuvudmannen när den registrerades personuppgifter överlämnats till nämnden.
Skälen för regeringens förslag och bedömning
Dataskyddsförordningen anger under vilka förutsättningar de registrerades rättigheter kan begränsas
I dataskyddsförordningens tredje kapitel anges den registrerades rättigheter i samband med att personuppgifter behandlas (artiklarna 12–23). Som närmare utvecklas nedan finns det enligt EU-förordningen möjligheter för en medlemsstat att begränsa dessa rättigheter.
I artikel 12 finns bestämmelser om klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter. I artikel 13 finns bestämmelser om information som ska tillhandahållas om personuppgifterna samlas in från den registrerade och i artikel 14 finns bestämmelser om information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Artikel 15 reglerar den registrerades rätt till tillgång, som huvudsakligen rör den registrerades rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss information. Artikel 16 och 17 reglerar rätten till rättelse respektive rätten till radering (rätten att bli bortglömd). Rätten till begränsning av behandling regleras i artikel 18. I artikel 19 finns bestämmelser om anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling. Artikel 20 reglerar rätten till dataportabilitet, dvs. den registrerades rätt att under vissa förutsättningar få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och sedan överföra dessa till en annan personuppgiftsansvarig. Artiklarna 21 och 22 reglerar rätten att göra invändningar respektive automatiserat individuellt beslutsfattande, inbegripet profilering.
Av artikel 23.1 följer att såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34 (information till den registrerade om en personuppgiftsincident), samt artikel 5 (principer för behandling av personuppgifter) i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste dock ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Den måste också utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
a) den nationella säkerheten, b) försvaret, c) den allmänna säkerheten, d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt
förebyggande och förhindrande av hot mot den allmänna säkerheten, e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet, f) skydd av rättsväsendets oberoende och rättsliga åtgärder, g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g, i) skydd av den registrerade eller andras rättigheter och friheter, eller j) verkställighet av civilrättsliga krav.
I artikel 23.2 anges att sådana begränsningar ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende a) ändamålen med behandlingen eller kategorierna av behandling, b) kategorierna av personuppgifter, c) omfattningen av de införda begränsningarna, d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, g) riskerna för de registrerades rättigheter och friheter, och h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
I dataskyddslagen regleras vissa undantag från den registrerades rättigheter
I dataskyddslagen anges att artiklarna 13–15 i EU:s dataskyddsförordning (som rör information som ska tillhandahållas om personuppgifterna samlas in från den registrerade, information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade samt den registrerades rätt till tillgång) inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning (5 kap. 1 § första stycket). I andra stycket anges att om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.
I dataskyddslagen anges vidare att artikel 15 i EU:s dataskyddsförordning (som rör den registrerades rätt till tillgång) inte gäller personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 § första stycket). I andra stycket anges att undantaget i första stycket inte gäller om personuppgifterna har lämnats ut till tredje part, behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
I dataskyddslagen finns också ett bemyndigande till regeringen. I detta anges att regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning (5 kap. 3 §).
Finns det anledning att begränsa de personuppgiftsansvarigas skyldigheter eller de registrerades rättigheter ytterligare?
Nedan görs en genomgång och bedömning av huruvida de rättigheter och skyldigheter som kan begränsas enligt artikel 23.1 i dataskyddsförordningen, dvs. de rättigheter som anges i artiklarna 5, 12–22 och 34, bör inskränkas.
Tydlig information och kommunikation och tydliga villkor (artikel 12)
Artikel 12 i dataskyddsförordningen innehåller bestämmelser om klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter. Bestämmelserna i artikel 12 bedöms inte medföra någon onödigt betungande eller omöjlig hantering för den särskilda nämnden eller forskningshuvudmännen vid utförandet av de uppgifter som följer av den nya ordningen för att främja god sed och hantera oredlighet i forskning som återges i avsnitt 5.6. Det bedöms således inte behövas något undantag från artikel 12 i dataskyddsförordningen.
Den registrerades rätt till information när personuppgifterna samlas in från den registrerade (artikel 13)
I artikel 13.1–3 i dataskyddsförordningen finns bestämmelser om information som ska tillhandahållas om personuppgifterna samlas in från den registrerade. Av artikel 13.1 följer en skyldighet för den personuppgiftsansvarige att lämna viss angiven information till den registrerade i de fall personuppgifter samlas in direkt från denne, bl.a. ändamålen med och den rättsliga grunden för behandlingen. Utöver denna information ska den personuppgiftsansvarige, enligt artikel 13.2, vid insamling av personuppgifterna lämna den registrerade information om bl.a. lagringsperiod och vissa rättigheter för den personuppgiftsansvarige och den registrerade, vilken krävs för att säkerställa rättvis och transparent behandling. Av artikel 13.3 följer att om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt artikel 13.2.
Vid prövning av frågor om oredlighet i forskning kommer den särskilda nämnden att behöva inhämta forskningsmaterial från forskningshuvudmännen. Detta material kommer således inte att inhämtas från den registrerade och därmed blir artikel 13 inte tillämplig i denna del. Den särskilda nämnden kommer dock även att behöva inhämta uppgifter från forskare och andra enskilda, t.ex. uppgifter om den person som är föremål för prövning i den särskilda nämnden. Sådant inhämtande av uppgifter från enskilda bedöms dock inte bli särskilt omfattande. Detta innebär att artikel 13 i dataskyddsförordningen inte blir tillämplig i någon större utsträckning i den särskilda nämndens verksamhet.
Forskningshuvudmännen kommer huvudsakligen att hantera uppgifter som redan finns tillgängliga hos forskningshuvudmannen, men som tidigare samlats in från den registrerade inom ramen för forskning. Det ursprungliga syftet med insamlingen av uppgifterna var alltså att behandla personuppgifterna för forskningsändamål. När forskningshuvudmännen fullgör de uppgifter som följer av lagen om ansvar för god forskningssed
och prövning av oredlighet i forskning kommer de därför att behöva behandla personuppgifter för ett annat syfte än det för vilket de samlades in. Detsamma gäller när statliga universitet och högskolor hanterar andra misstänkta avvikelser från god forskningssed än de som ska prövas särskilt enligt den nya lagen. Bestämmelsen i artikel 13.3 om information till de registrerade vid ytterligare behandling för ett annat syfte än det för vilket de samlades in blir då tillämplig.
Att tillhandahålla sådan information till alla personer vars personuppgifter ingår i ett forskningsprojekt skulle kunna bli en mycket betungande uppgift och i vissa fall visa sig vara närmast omöjligt eller medföra en oproportionell ansträngning. Ett forskningsprojekt kan innehålla personuppgifter om tusentals personer. Dessutom är uppgifterna i många fall pseudonymiserade, vilket gör att personerna måste identifieras med hjälp av en kodnyckel för att informationen ska kunna lämnas. Pseudonymisering är en viktig och grundläggande skyddsåtgärd vid all behandling av personuppgifter för forskningsändamål, vilket också framhålls uttryckligen i artikel 89.1 i dataskyddsförordningen. Att granska utförd forskning för att utreda misstankar om oredlighet eller andra avvikelser från god forskningssed kan anses vara ett slutligt led i forskningsprocessen, även om syftet med själva behandlingen av personuppgifterna i materialet är något annorlunda mot det ursprungliga ändamålet vid insamlingen. Att samma forskningshuvudman som har pseudonymiserat personuppgifterna till skydd för de registrerade, i enlighet med dataskyddsförordningens krav, ska tvingas identifiera de registrerade enbart för att informera om att sådan granskning ska ske är enligt regeringens mening dessutom ett betydande intrång i de registrerades integritet som inte uppvägs av syftet med informationsskyldigheten. Som Göteborgs universitet påpekar kan det också ifrågasättas om det är lämpligt att informera forskningspersonerna i ett forskningsprojekt om att personuppgifterna hanteras för att utreda misstänkt oredlighet i forskning eller en avvikelse från god forskningssed innan en sådan utredning avslutats. Att lämna sådan information skulle enligt universitetet riskera att påverka forskningen på ett inte obetydligt sätt även om det skulle visa sig att det inte fanns någon grund för misstanken. Det är inte orimligt att tänka sig en situation där forskningspersoner redan innan misstanken utretts skulle välja att t.ex. återta ett tidigare lämnat samtycke. Enligt offentlighets- och sekretesslagen gäller vidare viss sekretess innan en utredning är avslutad. När utredningen har avslutats ska den särskilda nämndens prövning redovisas i ett offentligt beslut. Om beslutet innebär att det har förekommit oredlighet i forskning, eller det framgår av beslutet att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsåt eller grov oaktsamhet har kunnat konstateras, har forskningshuvudmannen en skyldighet att snarast efter att beslutet har fattats informera berörda forskningsfinansiärer, myndigheter, vetenskapliga tidskrifter och andra berörda om beslutet. Forskningshuvudmannen ska även upplysa om att beslutet kan komma att överklagas (7 och 14 §§ lagen om ansvar för god forskningssed och prövning av oredlighet i forskning och 11 kap. 3 a § andra stycket och 24 kap. 7 a § tredje stycket OSL).
Mot bakgrund av ovanstående anser regeringen att det behövs ett undantag från artikel 13.3 i dataskyddsförordningen när forskningshuvudmännen avser att behandla personuppgifter för att fullgöra uppgifter enligt la-
gen om ansvar för god forskningssed och prövning av oredlighet i forskning. Som nämnts ovan följer det av artikel 23.1 att en sådan begränsning måste utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa syften (a–j), bl.a. av unionen eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (e). Regeringen anser att forskning och upprätthållandet av förtroendet för forskning, bl.a. genom utredning av oredlighet i forskning, utgör sådana viktiga generella allmänna intressen. Ett undantag från artikel 13.3 i det här sammanhanget utgör enligt regeringen en nödvändig och proportionell åtgärd för att säkerställa att utredning av oredlighet i forskning kan utföras utan onödigt integritetsintrång. Det övergripande syftet med lagen om ansvar för god forskningssed och prövning av oredlighet i forskning är att främja förtroendet för forskningen. Förfarandet vid utredning av misstankar om oredlighet måste vara tydligt och rättssäkert för de personer som har väckt frågor om misstanke om oredlighet och de som misstankar riktas mot. Det direkta syftet är att oredlighet ska upptäckas och att felaktiga forskningsresultat ska dras tillbaka eller rättas, vilket i sin tur bidrar till ökad tillförlitlighet och kvalitet i forskningen, samt till att oredlighet förebyggs. De bestämmelser som innebär att resultatet av den särskilda nämndens prövning ska redovisas i ett offentligt beslut och bestämmelserna om forskningshuvudmannens informationsskyldighet i de fall beslutet innebär att det har förekommit oredlighet i forskning, eller det framgår av beslutet att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsåt eller grov oaktsamhet har kunnat konstateras, fyller det informationsbehov som finns. Regeringen anser därför att undantaget från artikel 13.3 kan stödjas på artikel 23.1 e.
Uppsala universitet vill få bekräftat att forskningshuvudmannen vid påbörjandet av personuppgiftbehandling för forskning inte behöver informera om att personuppgifterna kan komma att behandlas av nämnden, utan att skyldigheten att informera de registrerade om det nya ändamål som uppstår i och med nämndens behandling faller på nämnden i egenskap av personuppgiftsansvarig och ska utföras i enlighet med artikel 14 dataskyddsförordningen. Det föreslagna undantaget från artikel 13.3 innebär att forskningshuvudmannen inte behöver informera de registrerade om att de avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de samlades in. Informationsskyldigheten enligt artikel 14 behandlas nedan.
Regeringen bedömer också att ett undantag från artikel 13.3 behövs när statliga universitet och högskolor behandlar personuppgifter för att hantera andra misstänkta avvikelser från god forskningssed än de som ska prövas särskilt enligt nämnda lag.
I övrigt bedöms det inte behövas något undantag från artikel 13.
Den registrerades rätt till information när personuppgifterna inte har erhållits från den registrerade (artikel 14)
I artikel 14.1–4 i dataskyddsförordningen finns bestämmelser om information som ska tillhandahållas om personuppgifterna inte har erhållits från
den registrerade. Vid prövning av frågor om oredlighet i forskning kommer den särskilda nämnden att behöva inhämta forskningsmaterial från forskningshuvudmännen. Det innebär att artikel 14 i dataskyddsförordningen blir tillämplig i stor utsträckning. De skyldigheter som följer av artikel 14.1–4 i dataskyddsförordningen skulle kunna bli relativt betungande för nämnden i det fall det rör sig om forskningsmaterial som rör ett stort antal personer. I artikel 14.5 regleras dock ett antal fall då skyldigheterna i artikel 14.1–4 inte ska tillämpas, bl.a. om erhållande eller utlämnande av uppgifterna uttryckligen föreskrivs genom nationell rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Som återges i avsnitt 5.6.1 blir forskningshuvudmännen skyldiga att lämna de upplysningar och handlingar om forskningen som nämnden begär och att ge nämnden tillgång till datorer och annan utrustning som har använts vid forskningen. Genom denna reglering finns det alltså nationella bestämmelser om erhållande och utlämnande av uppgifter. De skyddsåtgärder som redovisas i avsnitt 6.3 och 6.4 bedöms utgöra lämpliga åtgärder för att skydda den registrerades intressen. Skyldigheterna i artikel 14.1–4 ska därmed, enligt artikel 14.5, inte tillämpas. Göteborgs universitet anför att undantaget i artikel 14.5 c i dataskyddsförordningen enbart omfattar utlämnandet av personuppgifterna från forskningshuvudmannen till nämnden och att övrig personuppgiftsbehandling som kan krävas hos forskningshuvudmannen inte omfattas av undantaget. Forskningshuvudmännen kommer dock huvudsakligen att hantera uppgifter som redan finns tillgängliga hos forskningshuvudmannen. Någon insamling av uppgifter är alltså i de flesta fall inte nödvändig. Artikel 14 blir då inte tillämplig. Mot denna bakgrund bedöms det inte behövas något undantag från artikel 14 i dataskyddsförordningen.
Tillgång till personuppgifter samt rättelse och radering (artiklarna 15– 20)
En viktig och direkt tillämplig reglering i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det är vanligt att det saknas direkt identifierande uppgifter i sådant material som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller avgöra om uppgifter om en viss person behandlas. Om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade ska artiklarna 15–20 i dataskyddsförordningen inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig (artikel 11, jfr även skäl 57). Den särskilda nämnden och forskningshuvudmännen behöver alltså som huvudregel inte tillämpa artiklarna 15–20 om de kan visa att de inte kan identifiera den registrerade.
I artikel 15 finns bestämmelser om den registrerades rätt till tillgång. Som redovisats ovan följer det av artikel 11 att artikel 15 inte ska gälla om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig. Det är vanligt att det saknas di-
rekt identifierande uppgifter i sådant material som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Det innebär att artikel 15 till stor del inte är tillämplig i fråga om det forskningsmaterial som den särskilda nämnden och forskningshuvudmännen kommer att hantera. Uppsala universitet anser att förutsättningarna för förvaring av kodlistor och tillämpningen av artikel 15 eventuellt bör utredas närmare. Här vill regeringen anföra följande. Enligt dataskyddsförordningen ska uppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c uppgiftsminimering). Det innebär att nämnden inte bör begära in kodlistan om det inte behövs för hanteringen av oredlighetsärendet. Nämnden kommer därmed i varje enskilt fall att behöva avgöra om det är nödvändigt att behandla direkt identifierande personuppgifter i forskningsmaterialet för att kunna utreda misstankar om oredlighet i forskningen. Om det bedöms nödvändigt för nämnden att inhämta kodlistan omfattas dessa uppgifter av samma krav på skydd och säkerhet som krävs vid motsvarande hantering hos forskningshuvudmannen. Alla personuppgiftsansvariga har ansvar för och ska kunna visa att förordningens krav på att uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder efterlevs. När det gäller artikel 15 innebär detta att nämnden i de flesta fall sannolikt inte kommer att ha tillgång till direkt identifierande uppgifter och att artikel 15 till stor del inte blir tillämplig i nämndens verksamhet. I de fall nämnden har möjlighet att identifiera den enskilde anser regeringen att rätten till tillgång är en viktig och grundläggande rättighet för den registrerade och att något undantag inte bör göras.
Uppsala universitet önskar vidare förtydliganden om hur en förfrågan om registerutdrag ska besvaras av forskningshuvudmannen när den registrerades personuppgifter har överlämnats till nämnden. En sådan förfrågan ska behandlas som vanligt, dvs. all information som anges i artikel 15 ska lämnas ut. Detta innebär bl.a. att huvudmannen i enlighet med art. 15.1 c ska informera den registrerade om att uppgifter har lämnats till den särskilda nämnden. Om huvudmannen har överlämnat alla personuppgifter till nämnden, dvs. forskningshuvudmannen har för tillfället inte själv tillgång till uppgifterna, får forskningshuvudmannen upplysa om det. I så fall kan den registrerade vända sig till nämnden och få ett registerutdrag därifrån.
I artikel 16 i dataskyddsförordningen finns bestämmelser om rätt till rättelse. Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter som rör denne rättade utan onödigt dröjsmål samt att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Den som vill rätta en felaktig uppgift i forskningsmaterial kommer sannolikt att i första hand vända sig till forskningshuvudmannen för att få uppgiften rättad eftersom det är hos denna materialet finns. Den registrerade bör då rimligen ha samma möjligheter att få den felaktiga uppgiften rättad även i sådant forskningsmaterial som forskningshuvudmannen kan ha skickat till den särskilda nämnden i ett oredlighetsärende. Kungl. Tekniska högskolan vill i sammanhanget uppmärksamma att ändringar i forskningsmaterialet innebär att informationen inte förblir oförvanskad, dvs. i det skick som den var när forskaren arbetade med informationen. Regeringen gör dock be-
dömningen att nämnden, om en sådan begäran om rättelse i forskningsmaterialet skulle komma in, kommer att kunna hantera den på ett sådant sätt att den inte påverkar bedömningen av om oredlighet har förekommit eller inte. Den situation som Kungl. Tekniska högskolan pekar på bedöms inte utgöra ett tillräckligt skäl för att begränsa rätten till rättelse. Det har inte heller i övrigt framkommit några skäl som talar för att begränsa rätten till rättelse. Regeringen gör därför bedömningen att det inte finnas något behov av undantag från artikel 16.
I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. De skyldigheter som följer av artikel 17.1 och 17.2 i dataskyddsförordningen gäller enligt artikel 17.3 b inte i den utsträckning som behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Samtliga av den särskilda nämndens och forskningshuvudmännens uppgifter enligt den nya ordningen för att främja god sed och hantera oredlighet i forskning som återges i avsnitt 5.6 bedöms falla in under tillämpningsområdet för artikel 17.3 b. Det bedöms därför inte behövas något undantag från artikel 17 i dataskyddsförordningen.
I artikel 18 i dataskyddsförordningen finns bestämmelser om rätt till begränsning av behandling. Den registrerade har enligt artikel 18.1 rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om en av följande fyra förutsättningar är uppfyllda: a) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är korrekta, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och begär i stället en begränsning av deras användning, c) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Av artikel 18.2 framgår att om behandlingen har begränsats enligt punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Med begränsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Det har inte framkommit något skäl för att inskränka den registrerades rätt till begränsning av behandling. Det bedöms därför inte behövas något undantag från artikel 18 i dataskyddsförordningen.
I artikel 19 i dataskyddsförordningen anges att den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den regi-
strerade om dessa mottagare på den registrerades begäran. Det bedöms inte finnas behov av något undantag från artikel 19.
I artikel 20 i dataskyddsförordningen finns bestämmelser om rätt till dataportabilitet. I artikel 20.1 anges att den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om a) behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och b) behandlingen sker automatiserat. Artikeln blir sannolikt endast tillämplig i begränsad utsträckning för den särskilda nämndens och forskningshuvudmännens del. Det bedöms inte finnas behov av något undantag från den rätt till dataportabilitet som följer av artikel 20 i dataskyddsförordningen.
Rätt att göra invändningar, automatiserat beslutsfattande och information om personuppgiftsincident (artiklarna 21, 22 och 34)
I artikel 21 i dataskyddsförordningen finns bestämmelser om rätt att göra invändningar. Det bedöms inte finnas behov av några undantag från denna rättighet.
I artikel 22 i dataskyddsförordningen finns bestämmelser om automatiserat beslutsfattande, inbegripet profilering. Den nya ordningen för att främja god sed och hantera oredlighet i forskning som återges i avsnitt 5.6 innefattar inte automatiserat beslutsfattande. Av det skälet blir artikel 22 i dataskyddsförordningen inte aktuell att behandla här.
I artikel 34 i dataskyddsförordningen finns bestämmelser om information till den registrerade om en personuppgiftsincident. Som huvudregel gäller enligt denna artikel att om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om incidenten (artikel 34.1). Detta krävs dock inte om något av de villkor som anges i artikel 34.3 är uppfyllda. Ett av dessa villkor är att det skulle inbegripa en oproportionerlig ansträngning för den personuppgiftsansvarige. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt. Bestämmelserna i artikel 34 bedöms inte medföra någon onödigt betungande eller omöjlig hantering för den särskilda nämnden eller forskningshuvudmännen vid utförandet av de uppgifter som följer av den nya ordningen för att främja god sed och hantera oredlighet i forskning som återges i avsnitt 5.6. Det bedöms därför inte behövas något undantag från artikel 34.
Hänvisningar till S6-6
6.7. Den lagtekniska lösningen och förhållandet till annan dataskyddsreglering
Regeringens förslag: De bestämmelser om personuppgiftsbehandling som föreslås i denna proposition med anledning av den personuppgiftsbehandling som behövs vid tillämpning av lagen om ansvar för god
forskningssed och prövning av oredlighet i forskning, ska införas i den lagen.
Det ska även införas upplysningsbestämmelser om att – bestämmelserna kompletterar EU:s dataskyddsförordning, – dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, om inte annat följer av den lagen, och
– det i dataskyddslagen finns bestämmelser om behandling av känsliga personuppgifter för vissa enskilda organ som jämställs med myndigheter.
De hänvisningar till EU:s dataskyddsförordning som föreslås ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.
Regeringens bedömning: Bestämmelser om undantag från sökförbudet i dataskyddslagen och från bestämmelserna i EU:s dataskyddsförordning om information till den registrerade, för statliga universitet och högskolor vid hantering av andra misstänkta avvikelser från god forskningssed än de som ska hanteras enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, bör regleras på förordningsnivå.
Promemorians förslag: Överensstämmer delvis med regeringens förslag och bedömning. Även i promemorian föreslås att bestämmelser om personuppgiftsbehandling ska regleras i lag. Promemorians lagförslag innehåller dock delvis andra bestämmelser än propositionen. I promemorian görs ingen bedömning om reglering av dataskydd vid hantering av andra misstänkta avvikelser från god forskningssed.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot förslaget.
Göteborgs universitet ifrågasätter nödvändigheten i att i 18 § tredje stycket och 19 § andra stycket lagen om ansvar för god forskningssed och prövning av oredlighet i forskning införa upplysningsbestämmelser utöver de som redan finns i 16 och 17 §§ samma lag. Det finns redan hänvisningar till dataskyddsförordningen och dataskyddslagen i andra bestämmelser i förslaget. Enligt universitetet minskar det tydligheten att ha ytterligare hänvisningar i nämnda bestämmelser.
Skälen för regeringens förslag och bedömning
Bestämmelser om personuppgiftsbehandling som kompletterar lagen om ansvar för god forskningssed och prövning av oredlighet i forskning bör införas i den lagen
I avsnitt 6.3 föreslås att personuppgifter som behandlas av den särskilda nämnden enbart för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, ska få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I avsnitt 6.4.2 föreslås att den särskilda nämnden, statliga universitet och högskolor, andra statliga myndigheter samt kommuner och regioner inte ska omfattas av förbudet i dataskyddslagen mot att utföra sökningar i syfte att få fram
ett urval av personer grundat på känsliga personuppgifter när de behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnitt 6.4.3 föreslås att det ska införas en bestämmelse om behandling av känsliga personuppgifter som ska gälla för enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Slutligen föreslås i avsnitt 6.6 att artikel 13.3 i dataskyddsförordningen om information till den registrerade inte ska gälla när forskningshuvudmännen behandlar personuppgifter för att fullgöra uppgifter enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Dessa förslag omfattar den särskilda nämnden och forskningshuvudmän som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Vidare är förslagen kopplade till uppgifter som följer av nämnda lag. Det bör därför underlätta för tillämparna om dessa bestämmelser finns i den aktuella lagen. Det bedöms därför lämpligast att de aktuella bestämmelserna tas in i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, på motsvarande sätt som kompletterande dataskyddsbestämmelser för enskilda utbildningsanordnare har införts i bl.a. lagen om tillstånd att utfärda vissa examina.
Det bör upplysas om bestämmelsernas förhållande till dataskyddsförordningen och dataskyddslagen
På motsvarande sätt som i lagen om tillstånd att utförda vissa examina bör de nya bestämmelserna om behandling av personuppgifter föras in under en ny fetstilsrubrik (se 10–14 §§ den lagen). I en inledande bestämmelse bör det upplysas om att bestämmelserna om personuppgiftsbehandling utgör en komplettering till dataskyddsförordningen.
De nya bestämmelserna innebär bl.a. att det införs ett undantag från förbudet i dataskyddslagen mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det är alltså i denna del fråga om en avvikelse från dataskyddslagens reglering. Det finns därför behov av att i den nya lagen införa en bestämmelse om att bestämmelserna i lagen ska ha företräde framför dataskyddslagen.
Det bör upplysas om att det i dataskyddslagen finns bestämmelser om behandling av känsliga personuppgifter för vissa enskilda organ som jämställs med myndigheter
I avsnitt 6.4.2 föreslås att det ska införas en bestämmelse om att enskilda utbildningsanordnare och övriga bolag, stiftelser och föreningar som omfattas av lagen om ansvar för god forskningssed och prövning av oredlighet i forskning ska få behandla känsliga personuppgifter om behandlingen är nödvändig för att fullgöra uppgifter enligt den lagen. Som framgår av det avsnittet är även vissa bestämmelser i dataskyddslagen, som bl.a. avser sådan personuppgiftsbehandling som är nödvändig för diarieföring av allmänna handlingar m.m., tillämpliga på kommunala bolag, föreningar och stiftelser och sådana enskilda organ som anges i bilagan till OSL (3 kap. 3 § tredje stycket dataskyddslagen). I promemorian föreslås att det av tydlighetsskäl, i anslutning till den nya bestämmelsen om behandling av känsliga personuppgifter i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, bör upplysas om att det för enskilda forsknings-
huvudmän i vars verksamhet bestämmelserna om allmänna handlingar och sekretess i TF och OSL gäller, även finns bestämmelser om behandling av känsliga personuppgifter i dataskyddslagen. Göteborgs universitet ifrågasätter nödvändigheten i att införa denna upplysningsbestämmelse eftersom det finns hänvisningar till dataskyddsförordningen och dataskyddslagen i andra bestämmelser i förslaget. Regeringen anser dock att det finns behov av den aktuella upplysningsbestämmelsen eftersom den är mer specifik än de generella upplysningsbestämmelserna som föreslås i 16 och 17 §§. Liknande upplysningsbestämmelser finns bl.a. i lagen om tillstånd att utfärda vissa examina.
Hänvisningarna till bestämmelser i dataskyddsförordningen bör ges en dynamisk utformning
Som framgår ovan innehåller flera av de föreslagna bestämmelserna hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Motsvarande hänvisningar i dataskyddslagen har en dynamisk utformning. Även de här aktuella hänvisningarna bör därför ges en dynamisk utformning.
Det bör göras en redaktionell justering gällande lagens tillämpningsområde
Enligt 3 § lagen om ansvar för god forskningssed och prövning av oredlighet i forskning (i lydelsen enligt prop. 2018/19:162) är lagen tillämplig på forskning som utförs av bl.a. kommuner och regioner och aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (första stycket 5). Utformningen av den i promemorian föreslagna bestämmelsen om behandling av känsliga personuppgifter är felaktig eftersom den, genom att hänvisa till bl.a. 3 § första stycket 5 i nämnda lag, görs tillämplig även för kommuner och regioner. Avsikten har dock inte varit att kommuner och regioner ska omfattas av bestämmelsen. För att hänvisningen ska bli korrekt föreslås att 3 § ändras så att punkt 5 delas upp i två punkter: dels en som omfattar kommuner och regioner (punkt 5), dels en ny punkt som omfattar aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (punkt 6). Hänvisningen i den föreslagna bestämmelsen om behandling av känsliga personuppgifter justeras vidare till att avse bl.a. 3 § 6.
Bestämmelserna om personuppgiftsbehandling vid statliga universitet och högskolors hantering av andra misstänkta avvikelser från god forskningssed bör regleras i förordning
Som framgår av avsnitt 5.6.2 avser regeringen att reglera i högskoleförordningen att statliga universitet och högskolor ska hantera andra avvikelser från god forskningssed än de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. I avsnitt 6.4.1 görs bedömningen att statliga universitet och högskolor vid sådan hantering inte bör omfattas av förbudet i dataskyddslagen mot att utföra
sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter när de behandlar personuppgifter. Vidare görs i avsnitt 6.6 bedömningen att regeringen med stöd av artikel 23 ska föreskriva att artikel 13.3 i dataskyddsförordningen om information till den registrerade inte heller ska gälla vid sådan hantering.
Dataskyddslagen är subsidiär i förhållande till andra författningar, dvs. bestämmelser i lag eller förordning som avviker från dataskyddslagen har företräde framför den lagen (1 kap. 6 § dataskyddslagen). Det finns också ett bemyndigande i dataskyddslagen för regeringen att meddela ytterligare föreskrifter om begränsningar enligt bl.a. artikel 23 i EU:s dataskyddsförordning (5 kap. 3 §). Det är därmed ur ett dataskyddsperspektiv möjligt att införa de aktuella undantagsbestämmelserna på förordningsnivå.
Som framgår av avsnitt 5.5 måste dock även regeringsformens (RF) bestämmelser om skydd för den personliga integriteten beaktas. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan under vissa förutsättningar begränsas genom lag (2 kap. 20 § första stycket 2 och 21 §). I förarbetena till dessa bestämmelser exemplifieras ett antal verksamheter där ändamålet med behandlingen av personuppgifter i sig kan indikera att det handlar om en omfattande kartläggning av den enskildes personliga förhållanden. Det är t.ex. fallet med behandling av personuppgifter inom brottsbekämpande verksamhet, på skatt- och tullområdet, inom socialtjänsten och hälso- och sjukvården samt inom socialförsäkringen och indrivningen (prop. 2009/10:80 s. 180 f.). Utredning av avvikelser från god forskningssed nämns inte bland sådana verksamheter där ändamålet med behandlingen av personuppgifter förutsätter en omfattande kartläggning av den enskildes personliga förhållanden. Som framgår av avsnitt 6.6 handlar det ofta om att behandla pseudonymiserade uppgifter i forskningsmaterial. Uppgifter om den eller de forskare som misstänks ha avvikit från god forskningssed kommer dock inte att vara pseudonymiserade. De senare uppgifterna rör dock ett mycket begränsat antal personer. Regeringen gör bedömningen att den behandling av personuppgifter som statliga universitet och högskolor måste göra för att hantera andra avvikelser från god forskningssed än de som ska prövas enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning inte är av sådan karaktär att den innebär ett sådant betydande integritetsintrång som avses i 2 kap. 6 § RF (jfr prop. 2017/18:218 s. 114 f.).
Regeringen avser införa de aktuella undantagsbestämmelserna på förordningsnivå.
Hänvisningar till S6-7
- Prop. 2019/20:7: Avsnitt 6.4.1, 7, Författningskommentar till 15 § lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning, Författningskommentar till 16 § lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning, Författningskommentar till 19 § lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
6.8. Enskildas integritet skyddas
Regeringens bedömning: Den behandling av personuppgifter som möjliggörs genom förslagen i denna proposition medför enbart begränsade risker för de intressen som dataskyddsregleringen avser att skydda. Behandlingen av personuppgifter står i rimlig proportion till den nytta som förslagen förväntas medföra.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen.
Högskolan Dalarna anser att forskningsdata ska överlämnas från huvudmannen till den särskilda nämnden på ett sådant sätt att behandlingen inte medför att risk för kränkning av integritet uppstår, och efterfrågar ett förtydligande om hur länge data får lagras hos den särskilda nämnden efter att granskningen är avslutad. Högskolan i Borås påpekar att det kan föreligga behov av att överföra ej psedonymiserade personuppgifter från forskningshuvudmannen till nämnden. Detta kan bl.a. bero på att forskningsunderlaget, t.ex. stora databaser, ljud och/eller bildmaterial, inte kan pseudonymiseras med hänsyn till att ändamålet med forskningen inte kan uppfyllas på det sättet. Även om de båda personuppgiftsansvariga verksamheterna alltid har att samverka kring hur överföringen av informationen ska genomföras, kan det enligt Högskolan Borås finnas behov av att överväga eventuell författningsreglering kring detta alternativt uttalanden som kan fungera som stöd för forskningshuvudmannen och nämnden i dess hantering avseende säkerheten. Kungl. Tekniska högskolan vill lyfta fram vikten av det finns tekniskt säkra metoder för eventuell överföring och lagring av data från forskningshuvudmannen till nämnden, inklusive kryptering, för att forskningsmaterial inte ska komma obehöriga tillhanda.
Högskolan Väst hävdar att den personuppgiftsbehandling som nämnden måste utföra inom ramen för sin prövning av oredlighet i forskning kan hamna i konflikt med annan integritetsskyddande lagstiftning än dataskyddslagstiftningen, exempelvis patientdatalagens regelverk för grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet. Högskolan Väst vill rikta uppmärksamhet mot att sådana konflikter kan hindra nämndens arbete och att sådana hinder bör identifieras och åtgärdas på ett för respektive situation ändamålsenligt sätt.
Skälen för regeringens bedömning: I avsnitt 6.1 redogörs för de personuppgiftsbehandlingar som blir nödvändiga för den särskilda nämnden, statliga universitet och högskolor, övriga statliga myndigheter, kommuner och regioner, enskilda utbildningsanordnare samt övriga bolag, stiftelser och föreningar med anledning av den nya ordningen för att främja god sed och hantera oredlighet i forskning som redovisas i avsnitt 5.6.
Vid behandlingen av personuppgifter är dataskyddsförordningen och dataskyddslagen tillämplig. Därutöver kommer den reglering som föreslås i denna proposition att vara tillämplig. Den föreslagna regleringen innebär att behandling av känsliga personuppgifter som annars hade varit förbjuden blir tillåten, att forskningshuvudmännen inte är skyldiga att informera den registrerade när uppgifter lämnas till den särskilda nämnden, att den särskilda nämnden och forskningshuvudmännen inte omfattas av sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen och att nämnden omfattas av en användningsbegränsning. Utöver den användningsbegränsning som föreslås finns det sekretessbestämmelser för forskningshuvudmännen och den särskilda nämnden som utgör generella skyddsåtgärder. Vidare förordar dataskyddsförordningen pseudonymisering vid all behandling av personuppgifter för forskningsändamål. Genom dessa skyddsåtgärder begränsas integritetsintrånget. Dessutom får känsliga personuppgifter bara behandlas om det är nödvändigt för att de enskilda forsknings-
huvudmännen ska kunna fullgöra sina uppgifter enligt den nya lagen. Det finns vidare en särskilda skyddsåtgärd vid behandlingen av känsliga personuppgifter i den forskning som ska lämnas över för granskning av den särskilda nämnden, i form av kravet i etikprövningslagen på etikgodkännande för all forskning som innefattar behandling av känsliga personuppgifter.
Den särskilda nämnden och forskningshuvudmännen är personuppgiftsansvariga för de behandlingar av personuppgifter som blir nödvändiga inom respektive organ med anledning av den nya ordningen för att främja god sed och hantera oredlighet i forskning. Den personuppgiftsansvarige ska enligt dataskyddsförordningen bl.a., med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Dessa åtgärder ska ses över och uppdateras vid behov (artikel 24.1).
Personuppgiftsbehandling kan komma att utföras av såväl anställd personal som av tillfälligt anlitade experter och sakkunniga. Vanligtvis bör den krets som ska få tillgång till uppgifterna kunna begränsas till ett fåtal personer inom forskningshuvudmännens organisation. När det gäller den särskilda nämnden behöver samtliga nämndledamöter ta del av material för att kunna avgöra ett oredlighetsärende. Även nämndens kanslipersonal kommer att behöva ta del av materialet.
Som anges i avsnitt 6.4 kommer forskningsmaterial i många fall sannolikt att vara pseudonymiserat. Vidare omfattas statliga universitet och högskolor, övriga statliga myndigheter samt kommuner och landsting av vissa bestämmelser om sekretess till skydd för enskild inom forskning i 24 kap. OSL och bestämmelsen om överföring av sekretess i forskningsverksamhet i 11 kap. 3 § första stycket OSL. Detsamma gäller för kommunala bolag, föreningar och stiftelser samt för de enskilda utbildningsanordnarna Stiftelsen Högskolan i Jönköping och vissa bolag som ägs av stiftelsen samt Stiftelsen Chalmers tekniska högskola och det av stiftelsen ägda Chalmers tekniska högskola AB eftersom de finns upptagna i bilagan till OSL (se avsnitt 6.4.2). Detta begränsar risken för oönskad spridning av personuppgifter.
När det gäller eventuella risker för oönskad spridning av personuppgifter i samband med att uppgifter överförs till den särskilda nämnden gäller sekretess hos den särskilda nämnden i ärenden enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men, och om en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Sekretessen gäller inte för uppgift om vem som har väckt frågan om oredlighet eller för uppgift om vem misstanken riktas mot och inte heller för beslut i ett ärende. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år för uppgift om en enskilds personliga förhållanden, och tjugo år för uppgift om en enskilds ekonomiska förhållanden. Vidare gäller att om den särskilda nämnden i sin verksamhet enligt lagen om ansvar för god forskningssed och prövning av oredlighet i forskning får en sekretessreglerad uppgift från en forskningshuvudman ska sekretessbestämmelsen vara tillämplig på uppgiften även
hos nämnden. Den överförda sekretessen gäller inte för en uppgift som ingår i ett beslut hos nämnden. Dessa sekretessbestämmelser begränsar risken för oönskad spridning av personuppgifter.
Högskolan Dalarna, Högskolan i Borås och Kungl. Tekniska högskolan pekar på vikten av säker överföring av personuppgifter från forskningshuvudmannen till nämnden. Två av de grundläggande principerna för all personuppgiftsbehandling enligt dataskyddsförordningen är principen om uppgiftsminimering, dvs. att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, och principen om integritet och konfidentialitet, dvs. att uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 c och f). Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att detta efterlevs (artikel 5.2). Det är därmed forskningshuvudmannens och nämndens respektive ansvar att se till att efterleva dataskyddsförordningens krav på bl.a. säker hantering i samband med all behandling av personuppgifter i den egna verksamheten, inklusive i samband med själva överföringen av personuppgifter.
Högskolan Dalarna efterfrågar även ett förtydligande om hur länge data får lagras hos den särskilda nämnden efter att granskningen är avslutad.
Lagringsminimering är en grundläggande princip vid all personuppgiftsbehandling enligt dataskyddsförordningen, vilket innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Det enda undantaget från denna princip är då personuppgifter enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I dessa fall får uppgifterna lagras under längre perioder, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter. Nämndens behandling av personuppgifter för arkivändamål regleras i den generella arkivregleringen för myndigheter.
Högskolan Väst påpekar att den personuppgiftsbehandling som nämnden måste utföra inom ramen för sin prövning av oredlighet i forskning måste vara förenlig med annan integritetsskyddande lagstiftning än dataskyddslagstiftningen. Regeringen har dock inte identifierat några konflikter med annan lagstiftning. När det gäller patientdatalagen (2008:535) så ska den tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § första stycket). De uppgifter som nämnden får tillgång till inom ramen för sin prövning av oredlighet i forskning kommer huvudsakligen att utgöra forskningsmaterial. I vissa fall kan uppgifterna i forskningsmaterialet härröra från hälso- och sjukvården. Nämndens behandling av dessa uppgifter kan dock inte anses ske ”inom hälso- och sjukvård”. Patientdatalagen saknar därför relevans för nämndens behandling av personuppgifter. Regeringen kommer dock att noga följa det nya regelverkets tillämpning för att bl.a. kunna identifiera eventuella problem av nämnda slag.
Sammanfattningsvis gör regeringen bedömningen att den behandling av personuppgifter som möjliggörs genom förslagen i denna proposition enbart medför begränsade risker för de intressen som dataskyddsregleringen avser att skydda. Regeringen anser därmed att behandlingen av personuppgifter står i rimlig proportion till den nytta som förslagen förväntas medföra.
Hänvisningar till S6-8
- Prop. 2019/20:7: Avsnitt 6.4.2
7. Ikraftträdande
Regeringens förslag: Lagändringarna ska träda i kraft samma dag som lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, dvs. den 1 januari 2020.
Promemorians bedömning: Överensstämmer med regeringens förslag. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inget att invända mot bedömningen. Svenskt Näringsliv önskar ett klargörande av
vilka regler som ska gälla under tiden
mellan det att dataskyddsförordningen trädde i kraft 25 maj 2018 och den 1 januari 2020.
Skälen för regeringens förslag: Lagen om ansvar för god forskningssed och prövning av oredlighet i forskning träder i kraft den 1 januari 2020 (prop. 2018/19:58, bet. 2018/19:UbU21, rskr. 2018/19:273). Som nämnts i avsnitt 6.7 har det i propositionen En ny beteckning för kommuner på regional nivå och vissa frågor om regionindelning (prop. 2018/19:162) föreslagits en ändring i 3 § i nämnda lag. De i denna proposition föreslagna bestämmelserna om personuppgiftsbehandling föreslås i avsnitt 6.7 föras in i samma lag. Därutöver föreslås en följdändring i 3 §. Eftersom det redan är beslutat när lagen ska träda i kraft behövs det nu inga särskilda bestämmelser om ikraftträdande. Med anledning av synpunkten från Svenskt
Näringsliv vill regeringen förtydliga att det för statliga universitet och högskolor finns gällande bestämmelser om utredning av misstankar om oredlighet i forskning i 1 kap. 16 § högskoleförordningen. För övriga forskningshuvudmän är det inte författningsreglerat hur de ska utreda misstankar om oredlighet i forskning. De instanser som för närvarande hanterar frågor om oredlighet i forskning får finna stöd i allmänna dataskyddsregler för den hanteringen.
Hänvisningar till S7
8. Konsekvenser
8.1. Konsekvenser för den personliga integriteten
Förslagen i denna proposition syftar till att möjliggöra personuppgiftsbehandling som är nödvändig för att utföra de uppgifter som följer av förslagen i propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning. Den behandling av personuppgifter som möjliggörs genom
förslagen bedöms medföra enbart begränsade risker för de intressen som Prop. 2019/20:7 dataskyddsregleringen avser att skydda.
8.2. Ekonomiska konsekvenser och konsekvenser i övrigt
Regeringen bedömer att förslagen i propositionen inte får några kostnadsmässiga eller andra ekonomiska konsekvenser. Förslagen bedöms inte heller få några konsekvenser för företag eller konkurrensförhållanden, den kommunala självstyrelsen, jämställdheten mellan män och kvinnor, miljön, brottsligheten eller det brottsförebyggande arbetet, möjligheten att nå de integrationspolitiska målen eller Sveriges medlemskap i Europeiska unionen.
9. Författningskommentar
9.1. Förslaget till lag om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
15 § Bestämmelserna i 16–20 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Paragrafen är ny och anger att 16–20 §§ innehåller kompletterande bestämmelser till dataskyddsförordningen. Det innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Bestämmelserna i 16–20 §§ innehåller sådana kompletterande bestämmelser.
Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Övervägandena finns i avsnitt 6.7.
16 § Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
Paragrafen är ny och upplyser om hur lagen förhåller sig till dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen.
Bestämmelsen innehåller en upplysning om att det i dataskyddslagen och anslutande föreskrifter finns generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed i tillämpliga delar även gäller vid behandling enligt denna lag. Vidare anges att dataskyddslagen och anslutande föreskrifter är subsidiära i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag.
Övervägandena finns i avsnitt 6.7.
17 § Artikel 13.3 i EU:s dataskyddsförordning om informationsskyldighet för den personuppgiftsansvarige gäller inte när en forskningshuvudman som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
Paragrafen är ny och innehåller ett undantag från artikel 13.3 i dataskyddsförordningen. I den artikeln anges att om den personuppgiftsansvarige avser att ytterligare behandla personuppgifter för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt artikel 13.2.
Bestämmelsen innebär att artikel 13.3 inte gäller när de forskningshuvudmän som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Övervägandena finns i avsnitt 6.6.
18 § Bestämmelsen i 3 kap. 3 § andra stycket dataskyddslagen om sökförbud i fråga om känsliga personuppgifter gäller inte när nämnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
Paragrafen är ny och innehåller ett undantag från 3 kap. 3 § andra stycket dataskyddslagen. I 3 kap. 3 § första stycket dataskyddslagen anges att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning 1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2. om behandlingen är nödvändig för handläggningen av ett ärende, eller 3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I 3 kap. 3 § andra stycket dataskyddslagen anges att vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förevarande bestämmelse innebär att detta sökförbud inte gäller när nämnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
Övervägandena finns i avsnitt 6.4.1.
19 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av de forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 om behandlingen är nödvändig för att fullgöra uppgifter enligt denna lag.
För sådana forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller, finns det även bestämmelser om behandling av känsliga personuppgifter i dataskyddslagen.
Paragrafen är ny.
Av första stycket framgår att sådana forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning. De personuppgifter som avses, känsliga personuppgifter, är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Personuppgifterna får dock behandlas bara om behandlingen är nödvändig för att fullgöra uppgifter enligt denna lag. Att behandlingen måste vara nödvändig innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (jfr prop. 2017/18:218 s. 46 f. och 204 f.).
För att underlätta tillämpningen innehåller andra stycket en upplysning om att det för sådana forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller, även finns bestämmelser om behandling av känsliga personuppgifter i dataskyddslagen. De bestämmelser som avses finns i 3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen och de klargör att det är tillåtet att utföra sådan behandling av känsliga personuppgifter som krävs i verksamheten som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens (2017:900) bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post (se avsnitt 6.4.2). De nu nämnda bestämmelserna i 3 kap. 3 § första stycket 1 dataskyddslagen omfattar dock inte, trots lagtextens generella lydelse, sådan behandling som kan komma att krävas enligt den nya lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Detta innebär att de nämnda bestämmelserna i dataskyddslagen inte ensamma tillgodoser det behov av författningsstöd för behandling av känsliga personuppgifter som nu aktuella forskningshuvudmän har. För att kunna fullgöra dessa uppgifter behöver forskningshuvudmännen därför även tillämpa bestämmelsen i förevarande paragrafs första stycke.
I 3 kap. 3 § andra stycket dataskyddslagen anges att vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgif-
ter. Denna sökbegränsning blir tillämplig för de forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 vid behandling av känsliga personuppgifter som utförs med stöd av 3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen.
Hänvisningarna till dataskyddsförordningen är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Övervägandena finns i avsnitt 6.4.2 och 6.7.
20 § Personuppgifter som behandlas av nämnden enbart för att fullgöra uppgifter enligt denna lag får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Paragrafen är ny och fastställer begränsningar för hur personuppgifter som behandlas av nämnden enbart för att fullgöra uppgifter enligt denna lag får användas.
Enligt bestämmelsen får personuppgifter som behandlas enbart för att fullgöra uppgifter enligt denna lag användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. Med vitala intressen avses intressen som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas behöver användas för att varna den registrerade. Det kan t.ex. förekomma om nämnden, i samband med granskning av forskningsmaterial i ett oredlighetsärende, upptäcker att det finns ett samband mellan intag av en medicin och någon allvarlig sjukdom, och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Det får bedömas från fall till fall om det är lämpligast att nämnden eller forskningshuvudmannen vidtar åtgärder i fråga om de registrerade i ett sådant fall. Det är nämnden som har att visa att det finns sådana omständigheter som utgör synnerliga skäl enligt förevarande paragraf.
Paragrafen motsvarar delvis 4 kap. 3 § dataskyddslagen (se SFS 2018:2002). Enligt den paragrafen får personuppgifter som behandlas enbart för forskningsändamål användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Övervägandena finns i avsnitt 6.3.
9.2. Förslaget till lag om ändring i lagen (2019:000) om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
3 § Denna lag tillämpas på forskning som utförs av
1. universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434),
2. andra statliga myndigheter,
3. staten i form av aktiebolag, om bolagets verksamhet är reglerad i lag eller någon annan författning eller om staten som ägare eller genom tillskott av statliga anslagsmedel eller genom avtal eller på något annat sätt har ett bestämmande inflytande över verksamheten,
4. staten i form av stiftelse, om stiftelsens verksamhet är reglerad i lag eller någon annan författning eller om stiftelsen är bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,
5. kommuner och regioner,
6. aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande, och
7. enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina.
Regeringen får meddela föreskrifter om undantag från lagens tillämpningsområde för forskningshuvudmän som bedriver forskning inom det försvars- och säkerhetspolitiska området. Regeringen får också besluta om
sådana undantag i enskilda fall.
Paragrafen innehåller bestämmelser om lagens tillämpningsområde. I första stycket har punkt 5 delats upp i två punkter. Innehållet i paragrafen är i sak oförändrat. Ändringarna innebär att ”aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande” förs över från punkt 5 till punkt 6 och att innehållet i den punkten förs över till en ny punkt, punkt 7.
Övervägandena finns i avsnitt 6.7.
Sammanfattning av promemorian Förslag om dataskyddsbestämmelser som komplettering till propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning
I promemorian analyseras förslagen i propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning (prop. 2018/19:58) och vissa förslag på förordningsnivå i betänkandet med samma namn (SOU 2017:10) ur ett dataskyddsperspektiv. Det lämnas även nödvändiga förslag om kompletterande dataskyddsbestämmelser.
I propositionen föreslås att frågor om oredlighet i forskning ska prövas av en särskild nämnd. Vidare föreslås att statliga universitet och högskolor, övriga statliga myndigheter, statliga bolag och stiftelser, kommuner och landsting, kommunala bolag, stiftelser och föreningar samt enskilda utbildningsanordnare ska överlämna misstankar om oredlighet i forskning till nämnden, på begäran lämna upplysningar och handlingar om den aktuella forskningen till nämnden och informera berörda forskningsfinansiärer m.fl. om nämndens beslut. I propositionen föreslås att detta ska regleras i en ny lag om ansvar för god forskningssed och prövning av oredlighet i forskning. Den särskilda nämnden och de ovan nämnda forskningshuvudmännen kommer att behöva behandla personuppgifter i flera olika avseenden med anledning av nämnda lagförslag och kommande förordningar.
I promemorian görs bedömningen att rättsliga grunder i EU:s dataskyddsförordning och bestämmelser i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, i det följande benämnd dataskyddslagen, kan tillämpas på den behandling av personuppgifter som kommer att utföras av den särskilda nämnden och de forskningshuvudmän som omfattas av den föreslagna lagen om ansvar för god forskningssed och prövning av oredlighet i forskning. Detta gäller dock inte fullt ut för sådan behandling av känsliga personuppgifter och uppgifter om lagöverträdelser som utförs av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina eller av andra bolag, stiftelser och föreningar som omfattas av den föreslagna lagen. För dem bedöms det behövas kompletterande reglering. Det föreslås därför att det i lagen om ansvar för god forskningssed och prövning av oredlighet i forskning införs bestämmelser om att de enskilda organ som omfattas av lagen ska få behandla känsliga personuppgifter respektive personuppgifter som rör lagöverträdelser om behandlingen är nödvändig för att fullgöra uppgifter enligt den lagen. Det föreslås vidare att det ska vara förbjudet för dessa forskningshuvudmän att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Något motsvarande sökförbud bedöms inte behövas för personuppgifter som rör lagöverträdelser.
Den särskilda nämnden och de forskningshuvudmän som omfattas av den föreslagna lagen om ansvar för god forskningssed och prövning av oredlighet i forskning bedöms kunna utföra de personuppgiftsbehandlingar som blir nödvändiga med anledning av föreskrifter om arkiv med stöd av dataskyddsförordningen och dataskyddslagen.
Vidare bedöms det inte vara nödvändigt med någon lagstiftningsåtgärd som begränsar tillämpningsområdet för den registrerades rättigheter och de skyldigheter som föreskrivs i artiklarna 5, 12–22 och 34 i dataskyddsförordningen.
Promemorians lagförslag träder i kraft samma dag som lagen om ansvar för god forskningssed och prövning av oredlighet i forskning, dvs. den 1 januari 2020.
Promemorians lagförslag
Förslag till lag om ändring i lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning
Härigenom föreskrivs i fråga om lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning
dels att nuvarande 15 § ska betecknas 20 §,
dels att rubriken närmast före 15 § ska sättas närmast före den nya 20 §,
dels att det ska införas fem nya paragrafer, 15–19 §§, och närmast före 15 § en ny rubrik av följande lydelse.
Lydelse enligt propositionen Ny Föreslagen lydelse ordning för att främja god sed och hantera oredlighet i forskning ( prop. 2018/19:58 )
Behandling av personuppgifter
15 §
Bestämmelserna i 18 och 19 §§ tillämpas vid behandling av personuppgifter som utförs med stöd av denna lag hos de forskningshuvudmän som avses i 3 § första stycket 3–6.
16 §
Bestämmelserna i 18 och 19 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
17 §
Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som
har meddelats i anslutning till den lagen.
18 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas om behandlingen är nödvändig för att fullgöra uppgifter enligt denna lag.
När uppgifter behandlas med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För sådana forskningshuvudmän som avses i 3 § första stycket 3–6 och i vars verksamhet bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller, finns det även bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i dataskyddslagen.
19 §
Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas om behandlingen är nödvändig för att fullgöra uppgifter enligt denna lag.
För sådana forskningshuvudmän som avses i 3 § första stycket 3–6 och för vilkas arkiv föreskrifter om arkiv gäller finns det även bestämmelser i dataskyddslagen om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Förteckning över remissinstanserna
Remissvar har lämnats av Arbetsgivarverket, Blekinge tekniska högskola, Brottsförebyggande rådet, Chalmers tekniska högskola AB, Datainspektionen, Domstolsverket, Etikprövningsmyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Försvarshögskolan, Förvaltningsrätten i Stockholm, Gymnastik- och idrottshögskolan, Göteborgs universitet, Högskolan Dalarna, Högskolan i Borås, Högskolan i Gävle, Högskolan i Halmstad, Högskolan i Skövde, Högskolan Kristianstad, Högskolan Väst, Inspektionen för vård och omsorg, Institutet för språk och folkminnen, Justitiekanslern, Jönköpings läns landsting, Kammarrätten i Jönköping, Karlstads universitet, Karolinska institutet, Kungl. Musikhögskolan i Stockholm, Kungl. Tekniska högskolan, Kungl. Vitterhets Historie och Antikvitets Akademien, Linköpings universitet, Linnéuniversitetet, Livsmedelsverket, Luleå kommun, Luleå tekniska universitet, Lunds universitet, Läkemedelsindustriföreningen, Malmö tingsrätt, Malmö universitet, Mittuniversitetet, Naturhistoriska riksmuseet, Naturvårdsverket, Polismyndigheten, Riksantikvarieämbetet, Riksarkivet, RISE Research Institutes of Sweden AB, Rymdstyrelsen, Skåne läns landsting, Socialstyrelsen, Sophiahemmet, Ideell förening, Statens ansvarsnämnd, Statens energimyndighet, Statens veterinärmedicinska anstalt, Statskontoret, Stiftelsen Högskolan i Jönköping, Stockholms kommun, Stockholms läns landsting, Svea hovrätt, Svenska Läkaresällskapet, Svenskt Näringsliv, Sveriges geologiska undersökning, Sveriges Kommuner och Landsting, Sveriges lantbruksuniversitet, Sveriges meteorologiska och hydrologiska institut, Södertörns högskola, Totalförsvarets forskningsinstitut, Trafikverket, Umeå universitet, Universitetskanslersämbetet, Uppsala universitet, Verket för innovationssystem, Vetenskapsrådet, Värmlands läns landsting, Västernorrlands läns landsting, Örebro läns landsting, Örebro universitet, Östergötlands läns landsting, Överklagandenämnden för etikprövning och Överklagandenämnden för högskolan.
Följande remissinstanser har avstått från att lämna synpunkter på förslagen i promemorian eller har inte svarat på remissen: Ericsson Research, Ersta Sköndal högskola AB, Filipstads kommun, Försvarets materielverk, Försvarsmakten, Göteborgs kommun, Handelshögskolan i Stockholm, Institutet för rymdfysik, KK-stiftelsen, Konstfack, Kungl. Ingenjörsvetenskapsakademien, Kungl. Konsthögskolan, Kungl. Skogs- och Lantbruksakademien, Kungl. Vetenskapsakademien, Landsorganisationen i Sverige, Linköpings kommun, Ljungby kommun, Läkemedelsverket, Malmö kommun, Mälardalens högskola, Regelrådet, Riksbanken, Riksdagens ombudsmän, Riksrevisionen, Skövde kommun, Statens beredning för medicinsk och social utvärdering, Statens medicinsk-etiska råd, Statens väg- och transportforskningsinstitut, Stiftelsen för miljöstrategisk forskning, Stiftelsen för strategisk forskning, Stiftelsen Rödakorshemmet, Stockholms konstnärliga högskola, Stockholms universitet, Sundsvalls kommun, Sveriges akademikers centralorganisation, Sveriges universitets- och högskoleförbund, Tjänstemännens Centralorganisation, Uppsala kommun, Uppsala läns landsting, Wallenberg Foundations AB, Västerbottens läns landsting och Västra Götalands läns landsting.
Lagrådsremissens lagförslag
Förslag till lag om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning
Härigenom föreskrivs i fråga om lagen (2019:000) om ansvar för god forskningssed och prövning av oredlighet i forskning
dels att nuvarande 15 § ska betecknas 21 §,
dels att 3 § ska ha följande lydelse,
dels att rubriken närmast före 15 § ska sättas närmast före den nya 21 §,
dels att det ska införas sex nya paragrafer, 15–20 §§, och närmast före 15 § en ny rubrik av följande lydelse.
Lydelse enligt SFS 2019:504 Föreslagen lydelse
3 §
Denna lag tillämpas på forskning som utförs av
1. universitet och högskolor som har staten som huvudman och som omfattas av högskolelagen (1992:1434),
2. andra statliga myndigheter,
3. staten i form av aktiebolag, om bolagets verksamhet är reglerad i lag eller någon annan författning eller om staten som ägare eller genom tillskott av statliga anslagsmedel eller genom avtal eller på något annat sätt har ett bestämmande inflytande över verksamheten,
4. staten i form av stiftelse, om stiftelsens verksamhet är reglerad i lag eller någon annan författning eller om stiftelsen är bildad av eller tillsammans med staten eller förvaltas av en statlig myndighet,
5. kommuner och landsting, eller
5. kommuner och landsting,
av aktiebolag, handelsbolag, eko-
6. aktiebolag, handelsbolag, eko-
nomiska föreningar och stiftelser nomiska föreningar och stiftelser där kommuner eller landsting utö- där kommuner eller landsting utövar ett rättsligt bestämmande infly- var ett rättsligt bestämmande inflytande, och tande, och
6. enskilda utbildningsanordnare
7. enskilda utbildningsanordnare
som har tillstånd att utfärda exami- som har tillstånd att utfärda examina enligt lagen (1993:792) om till- na enligt lagen (1993:792) om tillstånd att utfärda vissa examina. stånd att utfärda vissa examina.
Regeringen får meddela föreskrifter om undantag från lagens tillämpningsområde för forskningshuvudmän som bedriver forskning inom det försvars- och säkerhetspolitiska området. Regeringen får också besluta om sådana undantag i enskilda fall.
Behandling av personuppgifter
15 §
Bestämmelserna i 17–20 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
16 §
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
17 §
Artikel 13.3 i EU:s dataskyddsförordning om informationsskyldighet för den personuppgiftsansvarige gäller inte när en forskningshuvudman som avses i 3 § första stycket behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
18 §
Bestämmelsen i 3 kap. 3 § andra stycket dataskyddslagen om sökförbud i fråga om känsliga personuppgifter gäller inte när nämnden eller en forskningshuvudman som avses i 3 § första stycket 1, 2 och 5 behandlar personuppgifter för att fullgöra uppgifter enligt denna lag.
19 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma
förordning behandlas av de forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 om behandlingen är nödvändig för att fullgöra uppgifter enligt denna lag.
För sådana forskningshuvudmän som avses i 3 § första stycket 3, 4, 6 och 7 och i vars verksamhet bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller, finns det även bestämmelser om behandling av känsliga personuppgifter i dataskyddslagen.
20 §
Personuppgifter som behandlas av nämnden enbart för att fullgöra uppgifter enligt denna lag får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2019-08-27
Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson
Behandling av personuppgifter vid hantering av oredlighet i forskning
Enligt en lagrådsremiss den 18 juli 2019 har regeringen (Utbildningsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning.
Förslaget har inför Lagrådet föredragits av kanslirådet Magnus Granlund, biträdd av ämnesrådet Carolina Östgren.
Lagrådet lämnar förslaget utan erinran.
Utbildningsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 12 september 2019
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Baylan, Hallengren, Andersson, Bolund, Shekarabi, Ygeman, Eriksson, Ekström, Nilsson, Lindhagen, Hallberg, Nordmark
Föredragande: statsrådet Ekström
Regeringen beslutar proposition Behandling av personuppgifter vid hantering av oredlighet i forskning