Prop. 2020/21:124

Prop. 2020/21:124 Transportstyrelsens olycksdatabas

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 11 mars 2021

Stefan Löfven

Tomas Eneroth (Infrastrukturdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås att det ska införas en lag som reglerar personuppgiftsbehandlingen i den databas över olyckor och skador i trafiken som förs av Transportstyrelsen. Uppgifterna i databasen används i olika trafiksäkerhetsrelaterade sammanhang. I lagen, som kompletterar EU:s dataskyddsförordning, finns bl.a. bestämmelser om för vilka ändamål personuppgifter får behandlas i databasen, om krav på pseudonymisering av personuppgifter och om direktåtkomst. Därutöver finns bestämmelser om skyldigheter för Polismyndigheten, Kustbevakningen och vissa vårdgivare att lämna uppgifter till databasen. Databasen innehåller i dag huvudsakligen uppgifter om olyckor som uppstått i vägtransportsystemet. Den nya lagen innebär att också uppgifter om olyckor i fritidssjöfart ska rapporteras till databasen.

Den nya lagen föreslås träda i kraft den 1 juli 2021.

1. Förslag till riksdagsbeslut

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om Transportstyrelsens olycksdatabas.

2. Förslag till lag om Transportstyrelsens olycksdatabas

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Transportstyrelsens databas över olyckor och personskador i trafiken. Lagen gäller även vid behandling av uppgifter i databasen som gäller avlidna personer.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uttryck i lagen

4 § Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning, lagen (2001:559) om vägtrafikdefinitioner och förordningen (2001:651) om vägtrafikdefinitioner.

5 § I denna lag avses med en

1. vägtrafikolycka: en plötslig händelse eller serie av händelser som har inträffat helt eller delvis på en väg och involverat ett fordon i rörelse,

2. olycka i trafikmiljö: en plötslig händelse eller serie av händelser som har involverat en trafikant och inträffat

a) helt eller delvis på en väg,

b) helt eller delvis på en gångbana som inte ligger invid en väg,

c) på en buss- eller spårvagnshållplats, eller

d) ombord på en spårvagn,

3. olycka med terrängmotorfordon: en plötslig händelse eller serie av händelser som har involverat ett terrängmotorfordon i rörelse, och

4. olycka med fritidsfartyg: en plötslig händelse eller serie av händelser som har involverat ett sjösatt fritidsfartyg.

Personuppgiftsansvar

6 § Transportstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i databasen.

Ändamål med behandlingen

7 § Personuppgifter får behandlas i databasen om det är nödvändigt för

1. framställning av statistik inom trafiksäkerhetsområdet,

2. forskning som avser trafiksäkerhet, eller

3. planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete.

Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in.

Innehåll

8 § Databasen får innehålla uppgifter med anknytning till en sådan olycka som avses i denna lag och om personer som varit involverade i olyckan.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter enligt första stycket som får behandlas i databasen.

Behandling av särskilda kategorier av personuppgifter

9 § Uppgifter om hälsa som avser personskador får behandlas i databasen och får användas som sökbegrepp. Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas.

För ändamål som avses i 7 § andra stycket får uppgifter om hälsa och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning behandlas endast om det är absolut nödvändigt för syftet med behandlingen.

Uppgifter som ska lämnas till databasen

10 § Vårdgivare som ger akutsjukvård och vars verksamhet innefattar ortopedi eller kirurgi ska till databasen lämna uppgifter som rör samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg.

11 § Polismyndigheten ska till databasen lämna uppgifter om en sådan vägtrafikolycka, olycka med terrängmotorfordon eller olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

12 § Kustbevakningen ska till databasen lämna uppgifter om en sådan olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om uppgiftsskyldigheterna enligt 10–12 §§.

Pseudonymisering av personuppgifter

14 § Databasen får endast innehålla pseudonymiserade personuppgifter.

Trots första stycket får Transportstyrelsen i ett enskilt fall vidta åtgärder för att personuppgifter åter ska bli direkt hänförliga till enskilda registrerade, om det är absolut nödvändigt för

1. att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga,

2. forskning som avser trafiksäkerhet, eller

3. att Transportstyrelsen ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig.

Direktåtkomst

15 § Myndigheten för samhällsskydd och beredskap, Polismyndigheten,

Statens väg- och transportforskningsinstitut, Trafikanalys, Trafikverket, kommunala myndigheter och länsstyrelser får medges direktåtkomst till sådana personuppgifter i databasen som respektive myndighet behöver för de ändamål som anges i 7 § första stycket.

Universitet och högskolor som är myndigheter eller som vid tillämpningen av offentlighets- och sekretesslagen (2009:400) ska jämställas med myndigheter får medges direktåtkomst till personuppgifter i databasen, om uppgifterna behövs för forskning som avser trafiksäkerhet.

16 § Om uppgifterna i databasen ska användas i sådan forskning som omfattas av lagen (2003:460) om etikprövning av forskning som avser människor, får direktåtkomst enligt 15 § medges endast under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts vid etikprövning enligt den lagen.

17 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet vid sådan åtkomst.

18 § Den som har medgetts direktåtkomst enligt 15 § ansvarar för att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

19 § Den som har medgetts direktåtkomst enligt 15 § har vid sådan åtkomst rätt att ta del av de uppgifter i databasen som avses i den paragrafen.

Längsta tid som personuppgifter får behandlas

20 § Personuppgifter i databasen får inte behandlas under längre tid än vad som är nödvändigt för de ändamål som anges i 7 § första stycket.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om den längsta tid som personuppgifter får behandlas och om gallring.

Denna lag träder i kraft den 1 juli 2021.

3. Ärendet och dess beredning

I Näringsdepartementet har promemorian Strada – Transportstyrelsens olycksdatabas (Ds 2016:20) utarbetats. I promemorian föreslås en ny lag om personuppgiftsbehandlingen i databasen. En sammanfattning av promemorian och promemorians lagförslag finns i bilaga 1 och 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3.

Remissvaren och en remissammanställning finns tillgängliga i Infrastrukturdepartementet (dnr I2019/00431). I propositionen behandlas promemorians lagförslag.

Integritetsskyddsmyndigheten, tidigare Datainspektionen, har under hand getts tillfälle att yttra sig över ett utkast till lagrådsremiss. Utkastets lagförslag finns i bilaga 4. Integritetsskyddsmyndigheten har lämnat synpunkter som behandlas i avsnitt 6.1, 6.6., 6.8, 6.10.3, 6.12.1 och 6.14. Yttrandet finns tillgängligt i det ovan angivna ärendet.

Lagrådet

Regeringen beslutade den 28 januari 2021 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga

6. Lagrådets synpunkter behandlas i avsnitt 6.5.1, 6.9, 6.10.2, 6.11 och i författningskommentaren. Regeringen följer i huvudsak Lagrådets förslag.

I förhållande till lagrådsremissen görs därutöver vissa språkliga och redaktionella ändringar.

Hänvisningar till S3

4. Strada – Transportstyrelsens olycksdatabas

4.1. Bakgrunden till Strada

Under andra halvan av 1990-talet påbörjades arbetet med att skapa ett informationssystem med uppgifter om olyckor som uppstått i vägtransportsystemet. Systemet, som kom att få namnet Swedish Traffic Accident Data Acquisition, i det följande Strada, förs i dag av Transportstyrelsen.

Strada utvecklades av Vägverket, som genom ett regeringsbeslut 1996 fick i uppdrag att införa ett nytt informationssystem för skador och olyckor inom hela vägtransportsystemet. Redan tidigare hade uppgifter om vägtrafikolyckor samlats in från polisen. I fråga om personskador rapporterades endast uppgifter om huruvida den olycksdrabbade var död, allvarligt skadad eller lindrigt skadad. För att få ett bättre underlag för trafiksäkerhetsarbetet fanns det emellertid ett behov av att på ett tydligare sätt kunna mäta de hälsoförluster som uppstår till följd av trafikolyckor. Utöver behovet att få bättre kunskap om vilka personskador som uppstår och skadornas svårighetsgrad hade det uppmärksammats att det saknades kunskap om olyckor som drabbade vissa trafikantkategorier, såsom gående och cyklister. Den bristfälliga informationen om det verkliga trafiksäkerhetsläget medförde att trafiksäkerhetsproblemen under-

skattades och att det gjordes felaktiga prioriteringar i trafiksäkerhetsarbetet. För att stödja ett effektivt trafiksäkerhetsarbete ansåg regeringen att skade- och olycksstatistiken skulle förbättras.

Enligt regeringsuppdraget skulle det nya systemet utformas för att stödja trafiksäkerhetsarbetet på central, regional och lokal nivå och för att ge underlag som underlättar valet av trafiksäkerhetsåtgärder. Uppgifterna från polisen skulle kompletteras med uppgifter från sjukvården för att skapa ett mer heltäckande underlag. Målet var att systemet skulle innehålla information om alla olyckor som inträffat i väg- och gaturummet och att kunskapen om vilka skador som följt på en olycka skulle förbättras. Tanken var att uppgifterna skulle komma olika aktörer som arbetar med trafiksäkerhet till godo och att forskning och utveckling på området skulle stödjas. Systemet skulle även tillhandahålla den information som behövdes för att producera den officiella vägtrafikolycksstatistiken. När Vägverket lades ner överfördes huvudmannaskapet för Strada till Transportstyrelsen.

4.2. Nollvisionen och de transportpolitiska målen

I propositionen Nollvisionen och det trafiksäkra samhället (prop. 1996/97:137) och i trafikutskottets betänkande med samma namn (bet. 1997/98:TU4) behandlades en ny inriktning av trafiksäkerhetsarbetet i Sverige, nollvisionen. Nollvisionen är det långsiktiga målet om att ingen ska omkomma eller skadas allvarligt i trafiken och att transportsystemet till sin utformning, funktion och användning ska anpassas efter de krav som följer av detta. Nollvisionen innebar ett skifte i synen på trafiksäkerhetsarbetet. En av tankarna bakom nollvisionen var att trafiksäkerhetsarbetet inte bara skulle bestå i att försöka påverka trafikanternas beteende utan att ett större ansvar skulle läggas på de s.k. systemutformarna. Det innebar att de som utformar infrastrukturen och regelverken fick ett större ansvar för att skapa ett säkert transportsystem.

Det senaste beslutet om ett övergripande transportpolitiskt mål togs 2009. Målet är att säkerställa en samhällsekonomiskt effektiv och långsiktigt hållbar transportförsörjning för medborgarna och näringslivet i hela landet. Det övergripande målet kompletteras av ett funktionsmål och ett hänsynsmål. Det övergripande målet, funktionsmålet och hänsynsmålet är beslutade av riksdagen (prop. 2008/09:93, bet. 2008/09:TU14, rskr. 2008/09:257). Funktionsmålet anger att transportsystemets utformning, funktion och användning ska medverka till att ge alla en grundläggande tillgänglighet med god kvalitet och användbarhet samt bidra till utvecklingskraft i hela landet. Transportsystemet ska vara jämställt, dvs. likvärdigt svara mot kvinnors respektive mäns transportbehov. Hänsynsmålet anger att transportsystemets utformning, funktion och användning ska anpassas till att ingen ska dödas eller skadas allvarligt, bidra till att det övergripande generationsmålet för miljö och miljökvalitetsmålen uppnås samt bidra till ökad hälsa. Regeringen beslutade i februari 2020 att införa ett nytt etappmål för trafiksäkerhet under hänsynsmålet. Enligt det nya målet ska bl.a. antalet omkomna till följd av trafikolyckor inom vägtrafiken respektive sjöfarten halveras till

2030 och antalet allvarligt skadade under samma period minska med minst 25 procent inom respektive trafikslag.

Antalet omkomna och allvarligt skadade i vägtrafiken beror på en rad olika faktorer. När det gäller det systematiska trafiksäkerhetsarbetet kan exempelvis säker infrastruktur, säkra fordon, lagstiftning och annan reglering, användning av skyddsutrustning samt manuell och automatisk trafikövervakning nämnas. Även trafikanternas beteenden har stor inverkan på trafiksäkerheten. En tredjedel av alla dödsolyckor i trafiken är alkohol- eller drogrelaterade. Även hastigheten har stor betydelse för hur allvarliga följder en trafikolycka får. Arbete för att påverka människans beteende i trafiken är därför en viktig faktor i trafiksäkerhetsarbetet. Många aktörer, som myndigheter, näringsliv och ideella organisationer, bidrar till utvecklingen på trafiksäkerhetsområdet.

Sedan nollvisionen etablerats minskade antalet dödade i vägtrafiken kontinuerligt under många år. Under de senaste åren har utvecklingen dock planat ut. I augusti 2016 lanserade regeringen en inriktning för det fortsatta trafiksäkerhetsarbetet under namnet Nystart för nollvisionen. Syftet är att stärka och förtydliga arbetet för en ökad säkerhet inom alla trafikslag. Inriktningen är vägledande för kommande års prioriteringar och satsningar inom trafiksäkerhetsområdet. I stor utsträckning är avsikten att stärka redan etablerade och fungerande åtgärder och satsningar som syftar till att skapa säker trafik. Emellertid identifieras även ett antal nya områden som behöver inkluderas i det fortsatta trafiksäkerhetsarbetet. Tillgången till data av god kvalitet pekas i inriktningen ut som väsentlig för att det ska gå att vidta effektiva åtgärder som höjer säkerheten.

4.3. Strada i praktiken

Rapportering

I Strada sammanförs uppgifter från Polismyndigheten och sjukvården. Polismyndighetens rapportering grundar sig i huvudsak på den uppgiftsskyldighet som finns i kungörelsen (1965:561) om statistiska uppgifter angående vägtrafikolyckor. Rapporteringen från Polismyndigheten avser uppgifter om själva olyckan och dess förlopp och härrör från den information som samlats in av den polisman som kallats till olycksplatsen eller den information som kommit in genom en polisanmälan. Myndigheten lämnar årligen uppgifter om ca 15 000 olyckor och sedan 2003 har över 285 000 olyckor rapporterats. Vid rapporteringen anges även om olyckan medfört att någon avlidit eller blivit svårt eller lindrigt skadad.

Sjukvårdens rapportering grundar sig på avtal som träffats mellan Transportstyrelsen och respektive vårdinrättning eller region. Rapporteringen, som sker med stöd av samtycke från patienten, avser främst uppgifter om de personskador som uppstått till följd av en olycka. Rapporteringen baseras i denna del på uppgifter som hämtas från sjukvårdens journalsystem. Därutöver rapporteras vissa uppgifter om själva olyckan, vilka inhämtas direkt från den patient som söker vård. De sjukvårdsrapporterade uppgifterna fångar även upp sådana olyckor där Polismyndigheten vanligen inte tillkallas, t.ex. fallolyckor bland gående eller singelolyckor med cykel. Antalet sjukhus som rapporterar till Strada

har successivt ökat, och sedan 2015 är samtliga akutsjukhus i Sverige anslutna till systemet. I nuläget lämnar akutsjukhusen uppgifter om ca 40 000 personer om året som skadats i olyckor i trafikmiljö. Sedan 2000 har över 641 000 personer registrerats i Strada efter att de har sökt vård för ett olycksfall i trafikmiljö hos akutsjukvården.

När uppgifterna överförts till Transportstyrelsen matchas uppgifterna i förekommande fall och kompletteras med vissa ytterligare uppgifter, bl.a. från fordons- och körkortsregistret. Vidare ersätts personnummer och, i förekommande fall, fordons registreringsnummer med ett löpnummer och uppgift om kön, ålder och fordonstyp. Först därefter är uppgifterna tillgängliga för användning. I Strada förekommer inga andra uppgifter som direkt kan hänföras till en person, t.ex. namn eller adress. Det innebär att uppgifterna i Strada inte kan knytas till en viss person utan att kompletterande uppgifter används. Transportstyrelsen har dock tillgång till kodnycklar, varigenom personnummer och registreringsnummer åter kan kopplas till uppgifterna i databasen.

Användning

Syftet med Strada är att utgöra dels ett verktyg för trafiksäkerhetsarbetet på lokal, regional och nationell nivå, dels ett underlag för statistik och forskning på trafiksäkerhetsområdet. Det finns ingen enskild myndighet som har det samlade ansvaret för trafiksäkerhetsarbetet. Sådant arbete bedrivs hos Transportstyrelsen men också hos flera andra myndigheter. Även olika organisationer och företag arbetar aktivt med trafiksäkerhet. En av de bärande tankarna bakom Strada är att informationen ska tillhandahållas flera olika aktörer i samhället. Trafiksäkerhetsarbete handlar inte bara om att identifiera var och hur olyckor uppstår för att förhindra att olyckor inträffar utan också att identifiera vilka faktorer som har störst betydelse för att påverka hur allvarliga följderna av en olycka blir. En del av trafiksäkerhetsarbetet består i att höja säkerheten genom åtgärder i infrastrukturen, regelverken och de fordon som används. En annan del är att ringa in och påverka de beteenden hos trafikanterna som har stor inverkan på uppkomsten och utfallet av en olycka, t.ex. hastighetsefterlevnad och nykterhet i trafiken.

Uppgifterna i Strada används i flera olika trafiksäkerhetsrelaterade sammanhang. Uppgifterna används t.ex. för att undersöka vilka vägsträckor som är särskilt olycksdrabbade eller hur trafiksäkerhetsläget ser ut på en viss plats eller inom ett visst område. Vidare kan effekten av olika typer av säkerhetshöjande åtgärder undersökas utifrån ett trafiksäkerhetsperspektiv. Det kan röra sig om utvärdering av byggandet av t.ex. rondeller, planseparerade korsningar eller mitträcken. Det kan också handla om utvärdering av underhållsarbeten, som lagning av vägbana eller snöröjning. Även andra åtgärder som hastighetsbegränsningar och andra anvisningar för trafiken kan utvärderas på liknande sätt. En användarkategori som nyttjar Strada för dessa syften är Trafikverket och kommunerna i egenskap av väghållare. Trafikverket använder även i viss utsträckning Strada för att stämma av uppgifter om en olycka i samband med djupstudier av trafikolyckor där någon avlidit. Länsstyrelserna, som beslutar om lokala trafikföreskrifter, använder Strada som underlag vid

beslut om bl.a. hastighetsbegränsningar. Även Polismyndigheten använder sig av uppgifterna i Strada för att utvärdera sina trafiksäkerhetsinsatser och det trafikövervakningsarbete som har bedrivits för att få kunskap om hur framtida insatser ska utformas. Informationen används vidare av Myndigheten för samhällsskydd och beredskap i dess arbete med att utveckla samhällets förmåga att förebygga och hantera olyckor. Strada används också för att framställa statistik om olyckor i trafiken. Trafikanalys, som är statistikansvarig myndighet inom områdena transporter och kommunikationer, använder uppgifter från Strada för detta ändamål. Myndigheten har även i uppdrag att utvärdera, analysera och redovisa effekter av föreslagna och genomförda åtgärder inom transportområdet.

Ytterligare ett användningsområde för Strada är forskning om trafiksäkerhet. Sådan forskning utförs vid flera universitet och högskolor och vid Statens väg- och transportforskningsinstitut. Trafiksäkerhetsrelaterad forskning utförs dock även av privata forskningsutövare. Inom fordonsindustrin bedrivs forskning och innovation om hur fordon tekniskt bör utformas för att förhindra dödsfall och minska antalet skadade i trafiken. Även hos vissa försäkringsbolag bedrivs forskning på trafiksäkerhetsområdet, bl.a. om utformningen av fordon och skyddsutrustning. Slutligen använder flera olika intresseorganisationer, bl.a. Nationalföreningen för trafiksäkerhetens främjande (NTF), uppgifter från Strada i sitt påverkansarbete och för att sprida kunskap om trafiksäkerhetsutvecklingen.

Utlämnande

De som har behov av uppgifter från Strada kan få tillgång till databasen på olika sätt. Uppgifter tillhandahålls bl.a. genom den s.k. uttagswebben. Den som har ett trafiksäkerhetsrelaterat arbete, forskar eller framställer statistik om trafiksäkerhet kan, efter en utbildning, få behörighet till uttagswebben. I uttagswebben kan användaren själv söka fram och plocka ut de uppgifter i databasen som behövs. I uttagswebben tillhandahålls varken personnummer, registreringsnummer eller andra uppgifter som direkt kan knytas till en person. Uppgifterna är dock försedda med en beteckning (löpnummer) som hos Transportstyrelsen kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. Det går även att få uppgifter från Strada genom en s.k. accessdatabas. För att få ut uppgifter via accessdatabasen ställs samma krav som vid tillgång till uttagswebben. Accessdatabasen används för att få tillgång till en avgränsad mängd data från Strada. Uppgifterna tillhandahålls på elektronisk väg efter begäran, t.ex. genom en säker fil med krypterade uppgifter. Accessdatabasen används framför allt när en stor mängd uppgifter behövs.

Hänvisningar till S4-3

  • Prop. 2020/21:124: Avsnitt 6.1

5. Befintlig reglering

5.1. EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande kallad EU:s dataskyddsförordning, började tillämpas den 25 maj 2018 och utgör den generella regleringen av personuppgiftsbehandling inom EU. Dataskyddsförordningen syftar till att upprätthålla en hög och enhetlig skyddsnivå för personuppgifter utan att hindra flödet av sådana uppgifter inom unionen. Förordningen är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande bestämmelser i nationell rätt.

5.2. Offentlighet och sekretess

Allmänt om offentlighet och sekretess

Offentlighets- och sekretesslagen (2009:400), förkortad OSL, innehåller bestämmelser om myndigheters och vissa andra organs hantering av allmänna handlingar. Lagen innehåller vidare bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. I fråga om lagens tillämpningsområde anges i 2 kap. 1 § OSL att förbud att röja eller utnyttja en uppgift enligt den lagen eller enligt lag eller förordning som OSL hänvisar till gäller för myndigheter. Enligt 2 kap. 4 § OSL ska vissa organ som anges i bilagan till OSL jämställas med myndigheter vid tillämpningen av den lagen. När det gäller enskild verksamhet i övrigt kan det finnas särskilda bestämmelser om tystnadsplikt i andra författningar. Bestämmelser om tystnadsplikt finns t.ex. för anställda inom den privata hälso- och sjukvården.

Sekretess gäller inte bara i förhållande till enskilda utan också mellan myndigheter (8 kap. 1 § OSL). I vissa fall finns det dock behov av att kunna bryta sekretessen, t.ex. om myndigheter behöver utbyta uppgifter för att kunna utföra sina uppdrag. Sekretessregleringen innehåller därför särskilda sekretessbrytande bestämmelser. Enligt 10 kap. 28 § OSL hindrar inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

Sekretess i statistikverksamhet

Enligt 24 kap. 8 § första stycket OSL gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift om en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Med särskild verksamhet som avser framställning av statistik menas statistikframställning utan anknytning till något särskilt ärende. Vidare ska verksamheten vara skild från annan verksamhet hos myndigheten, t.ex. genom att vara organiserad som en

egen enhet eller liknande. Sekretess gäller för uppgifter som avser enskilds personliga eller ekonomiska förhållanden. Härigenom skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn eller personnummer utan även uppgifter som över huvud taget – direkt eller indirekt – kan hänföras till en viss enskild.

Enligt huvudregeln är sekretessen absolut, vilket innebär att uppgifterna ska hemlighållas utan någon prövning av om ett utlämnande medför någon risk för skada eller men. I tredje stycket finns undantag som anger när uppgifter som omfattas av statistiksekretess ändå kan lämnas ut. En uppgift som behövs för forsknings- eller statistikändamål och en uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355).

6. En ny lag om Transportstyrelsens olycksdatabas

6.1. En ny lag införs

Regeringens förslag: En ny lag om behandling av personuppgifter i

Transportstyrelsens databas över olyckor och personskador i trafiken ska införas.

Promemorians förslag överensstämmer i sak med regeringens. I promemorian föreslås att bestämmelser om att Transportstyrelsen för trafiksäkerhetsändamål ska föra en databas över olyckor inom transportområdet förs in såväl i den föreslagna lagen som i Transportstyrelsens instruktion.

Remissinstanserna: Remissinstanserna, utom Akademiska sjukhuset, tillstyrker eller har ingen invändning mot förslaget att reglera behandlingen av personuppgifter i databasen genom en ny lag och förslaget att databasen förs av Transportstyrelsen. Akademiska sjukhuset anser att det vore bättre med en samlad bild över samtliga skador genom

Socialstyrelsens försorg. Integritetsskyddsmyndigheten påpekar att en proportionalitetsbedömning måste göras i det fortsatta lagstiftningsarbetet.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, avstyrker förslaget mot bakgrund av bristen på integritetsanalyser och på grund av ofullständig och oklar reglering då behandlingen utgör ett sådant betydande integritetsintrång som avses i 2 kap. 6 § regeringsformen.

Skälen för regeringens förslag

Tidigare utredningar

I Strada samlas uppgifter om trafikolyckor och om de personskador som olyckan har lett till. Den behandling av personuppgifter som utförs i Strada har sedan databasen inrättades skett med stöd av personuppgiftslagen (1998:204) och sedan den 25 maj 2018 av EU:s dataskyddsförordning. Sedan inrättandet har databasen varit föremål för flera utredningar. Framför allt har frågan om en författningsreglering av personuppgiftsbehandlingen i Strada varit aktuell. Denna fråga behandlas i betänkandena Fordonslag m.m. (SOU 2001:29), Transportinspektionen – Ansvarslag för vägtrafiken m.m. (SOU 2008:44) och Olycksregister och djupstudier på transportområdet (SOU 2014:24). Bakgrunden har främst varit att det rättsliga stödet för hanteringen av känsliga personuppgifter i Strada har ansetts oklart. Även frågan om huruvida sjukvårdens rapportering borde säkerställas genom en lagstadgad rapporteringsskyldighet har lyfts fram liksom hur Strada ska göras till ett bättre och mer användbart verktyg i trafiksäkerhetsarbetet. Samtliga utredningar gör bedömningen att Strada bör författningsregleras.

En särskild lag införs

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Beträffande begreppet kartläggning anges följande i förarbetena till bestämmelsen (prop. 2009/10:80 s. 180). En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. Integritetsskyddet enligt 2 kap. 6 § regeringsformen är dock inte absolut utan kan under vissa förutsättningar begränsas genom lag (se 2 kap. 20 § regeringsformen).

Mot bakgrund av att insamling av uppgifter till Strada har skett under förhållandevis lång period och avser ett stort antal olyckor innehåller databasen uppgifter om en betydande del av befolkningen. Strada innehåller uppgifter om själva olyckan och dess händelseförlopp. Vidare finns uppgifter om den som varit inblandad i olyckan, om de personskador som uppstått och, i förekommande fall, om det finns misstanke om påverkan från alkohol eller andra ämnen. Uppgifterna kommer huvudsakligen från Polismyndigheten och från sjukvården.

Frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande. Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen är avsedd att endast omfatta vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär och ändamålet med behandlingen. Därutöver kan mängden uppgifter vara

en betydelsefull faktor i sammanhanget. Även omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse. Det kan också beaktas på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnande uppgifter (jfr prop. 2009/10:80 s. 175 f.).

Uppgifter om de personskador som en trafikolycka lett till är till sin karaktär integritetskänsliga. Också uppgifter om misstänkt alkoholpåverkan kan anses vara integritetskänsliga även om de inte behandlas som konkreta brottsmisstankar. Uppgifterna i Strada används inte bara av Transportstyrelsen utan också av andra myndigheter och privata aktörer som forskare och intresseorganisationer. Uppgifterna lämnas i många fall ut genom direktåtkomst. Uppgifternas karaktär och det omfattande utlämnandet av uppgifterna talar för att behandlingen innebär ett betydande intrång i den personliga integriteten. Det ska dock beaktas att det rör sig om en förhållandevis avgränsad mängd uppgifter om en enskild registrerad, även om antalet registrerade är stort. Det är fråga om uppgifter som hänför sig till en viss isolerad händelse. Endast uppgifter med anknytning till olyckan samlas in. Utifrån uppgifterna går det inte att få någon mer ingående bild av den enskildes personliga förhållanden. Några andra uppgifter om hälsa än den skada som har inträffat till följd av olyckan samlas inte in. Det är alltså inte fråga om någon omfattande samling av känsliga uppgifter som avser en enskild registrerad. Vikt måste även läggas vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Även uppgiftssamlingar som används som underlag för att fatta beslut som direkt rör den enskilde kan uppfattas som mer ingripande. Uppgifterna i Strada används för att följa trafiksäkerhetsutvecklingen och för att bedriva trafiksäkerhetsarbete i syfte att uppnå målsättningen om att ingen ska dödas eller allvarligt skadas i trafiken. Uppgifterna används varken hos Transportstyrelsen eller hos andra aktörer i ärendehandläggning som rör den enskilde eller för att vidta någon åtgärd mot honom eller henne. De uppgifter som finns i Strada pseudonymiseras av Transportstyrelsen, dvs. de behandlas så att uppgifterna inte direkt kan kopplas till en enskild registrerad. Det innebär att de som använder uppgifterna i Strada som huvudregel inte har möjlighet att avgöra vem uppgifterna hänför sig till. Uppgifterna avkodas av Transportstyrelsen endast i vissa undantagsfall, t.ex. om det är nödvändigt för ett visst forskningsprojekt. Mot denna bakgrund anser regeringen vid en sammanvägd bedömning, till skillnad från Integritetsskyddsmyndigheten, att behandlingen visserligen kan sägas utgöra ett intrång i den enskildes personliga integritet, men inte ett så betydande intrång att grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen blir tillämpligt.

I svensk rätt har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå säkerställer att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen, se t.ex. betänkandet Myndighetsdatalag (SOU 2015:39 s. 94). Lagreglering bidrar även till stabilitet och långsiktig förutsebarhet. I tidigare lagstiftningsarbeten finns principiella ställningstaganden om att myndighetsregister med ett stort antal registrerade personer och ett

integritetskänsligt innehåll bör vara reglerade i lag (se t.ex. prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41). Även om regeringen gör bedömningen att behandlingen i Strada sammantaget inte innebär något betydande intrång i den personliga integriteten, innehåller databasen uppgifter av integritetskänslig natur som rör ett stort antal individer. Mot denna bakgrund anser regeringen att behandlingen av personuppgifter i databasen bör regleras i lag. Lagen bör fastställa de rättsliga ramarna för personuppgiftsbehandlingen och innehålla bestämmelser som ger ett grundläggande skydd för den enskildes personliga integritet men bör i övrigt kompletteras med föreskrifter på lägre normgivningsnivå.

För att skapa en sammanhållen reglering som ger överblick över den personuppgiftsbehandling som sker föreslås även att lagen ska innehålla bestämmelser om skyldigheter för andra aktörer att rapportera uppgifter till databasen. Genom att samla bestämmelser om behandling av personuppgifter i databasen och skyldigheten att rapportera in uppgifter till databasen i en lag ökar förutsägbarheten och tydligheten för Transportstyrelsen, de inrapporterande aktörerna och den enskilda registrerade.

Strada ska föras av Transportstyrelsen

I promemorian föreslås att Transportstyrelsen för trafiksäkerhetsändamål ska föra en databas över olyckor inom transportområdet. Som tidigare nämnts har Transportstyrelsen sedan 2009 ansvarat för Stradaverksamheten. Akademiska sjukhuset anser att det vore bättre med en samlad bild över samtliga skador och att ett register med sådant innehåll kunde hållas av Socialstyrelsen. Regeringen konstaterar att de register som förs av Socialstyrelsen varken förs för trafiksäkerhetsändamål eller samlar alla de uppgifter som Strada innehåller, t.ex. i fråga om platsen och händelseförloppet för en olycka, vilka väg- och väderförhållanden som rådde vid tidpunkten för olyckan eller om det funnits skyddsutrustning. Genom Strada har trafiksäkerhetsarbetet effektiviserats, då uppgifter såväl om en olycka som om de personskador som följt på den samlas på ett och samma ställe. Att fortsätta arbetet med att förvalta och utveckla Strada bedöms vara mer kostnadseffektivt än att söka andra lösningar för att få tillgång till motsvarande information. Regeringen anser att Transportstyrelsen även i fortsättningen bör vara huvudman för Strada och ha uppgiften att föra Strada. Detta uppdrag kan dock komma till uttryck på lägre normgivningsnivå än lag, t.ex. i förordningen (2008:1300) med instruktion för Transportstyrelsen.

Rättslig grund för behandlingen av personuppgifter

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning. En sådan grund är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som den personuppgiftsansvarige har (artikel 6.1 c). En annan är att behandlingen behövs för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling.

Enligt artikel 6.3 i EU:s dataskyddsförordning ska en uppgift av allmänt intresse eller en rättslig förpliktelse fastställas i unionsrätten eller den

nationella rätten för att kunna läggas till grund för personuppgiftsbehandlingen. Kravet på att den grund för behandling som avses i artikel 6.1 c och e ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen är enligt regeringen fastställd i enlighet med svensk rätt, om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser (prop. 2017/18:105 s. 48 f.).

När det gäller sådan behandling som avses i artikel 6.1 c, dvs. behandling som är nödvändig för att fullgöra en rättslig förpliktelse, kan förpliktelser regleras direkt i lag, förordningar eller andra föreskrifter eller fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Även en myndighets uppdrag enligt en förordning med myndighetsinstruktion eller ett regleringsbrev kan i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst register. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 f.). I fråga om begreppet uppgift av allmänt intresse kan det rent språkligt antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Vidare är alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra av allmänt intresse, annars skulle myndigheterna inte ha fått i uppgift att utföra dem. Sammanfattningsvis är den rättsliga grunden i artikel 6.1 e den som vanligen tillämpas av myndigheter. Även andra rättsliga grunder kan samtidigt vara tillämpliga i vissa situationer (prop. 2017/18:105 s. 5557).

Strada har tillkommit till följd av ett regeringsbeslut. Enligt beslutet skulle uppgifter om olyckor och skador samlas för att stödja trafiksäkerhetsarbetet på central, regional och lokal nivå. Trafiksäkerhetsarbetet i Sverige syftar, i enlighet med de transportpolitiska målen, till att transportsystemets utformning, funktion och användning ska anpassas till att ingen ska dödas eller skadas allvarligt. Behandling för detta ändamål är enligt regeringens mening en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Uppgiften är genom regeringsbeslutet fastställd i rättsordningen. För att uppgiften att minska antalet dödade och allvarligt skadade ska uppnås krävs att det finns information om var, när och på vilket sätt olyckor med sådan utgång har inträffat, så att åtgärder kan vidtas för att förhindra detta i framtiden. Det kräver i sin tur att uppgifter om olyckan behandlas, inbegripet uppgifter om skadade och dödade personer. Behandlingen är alltså nödvändig för att uppnå målet av allmänt intresse, och kraven i artikel 6.3 i EU:s dataskyddsförordning är därmed uppfyllda. Regeringsbeslutet innebär vidare att Transportstyrelsen har i uppdrag att föra databasen. Transportstyrelsens behandling av personuppgifter i Strada får därmed även anses utgöra en sådan rättslig förpliktelse som avses i artikel 6.1 c i EU:s dataskyddsförordning. Mot bakgrund av att syftet med behandlingen – att stödja trafiksäkerhetsarbetet

på central, regional och lokal nivå – framgår av regeringsbeslutet, är kravet i artikel 6.3 i förordningen uppfyllt även i detta avseende.

Transportstyrelsens uppgifter framgår bl.a. av förordningen (2008:1300) med instruktion för Transportstyrelsen. Enligt förordningen ska myndigheten verka för att de transportpolitiska målen uppnås och verksamheten särskilt inriktas på att bidra till ett internationellt konkurrenskraftigt, miljöanpassat och säkert transportsystem. Vidare framgår att Transportstyrelsen får vidta åtgärder i syfte att nå det transportpolitiska hänsynsmålet om säkerhet. Som framgår ovan avser regeringen också att i författning fastställa uppgiften för Transportstyrelsen att föra Strada. Detta kan t.ex. ske i myndighetens instruktion.

Bland annat uppgifter om hälsa kommer att behandlas i databasen. När det gäller behandling av sådana uppgifter finns ytterligare villkor för s.k. känsliga personuppgifter i artikel 9 i dataskyddsförordningen. Regeringen återkommer i avsnitt 6.9 till frågan om behandling av känsliga personuppgifter.

Regleringen ska stå i proportion till det eftersträvade syftet

När nationell lagstiftning som kompletterar dataskyddsförordningen införs måste en proportionalitetsbedömning göras (artikel 6.3 andra stycket i EU:s dataskyddsförordning). Det finns även ett krav på proportionalitetsbedömning när undantag från förbudet mot behandling av känsliga personuppgifter görs enligt artikel 9.2 g och j. Integritetsskyddsmyndigheten efterfrågar i det fortsatta lagstiftningsarbetet en sådan proportionalitetsbedömning och anser att det behöver förtydligas vilka personuppgifter som behandlas, det intrång det innebär för de enskilda och vilka kompensatoriska åtgärder som vidtas för att minska intrånget.

Inledningsvis kan det konstateras att Transportstyrelsen enligt ett regeringsbeslut har en skyldighet att registrera uppgifter om skador och olyckor inom vägtransportsystemet i syfte att stödja trafiksäkerhetsarbetet på central, regional och lokal nivå. När det gäller vilka uppgifter som behandlas i Strada framgår av avsnitt 4.3 att uppgifterna huvudsakligen erhålls genom rapportering från dels Polismyndigheten, dels vårdgivare. De uppgifter som Polismyndigheten rapporterar till Strada avser i huvudsak uppgifter om själva olyckan. Det rör sig bl.a. om uppgifter om typ av olycka, tid och plats, väglag, ljus- och väderförhållanden, hastighetsbegränsningar och andra trafikregleringar samt fordon och trafikanter som varit inblandade. Vidare finns en beskrivning av själva händelseförloppet vid olyckan och uppgifter om huruvida personskada eller dödsfall har inträffat. Polismyndigheten anger i förekommande fall också om det finns misstanke om påverkan av alkohol eller andra substanser. De sjukvårdsrapporterade uppgifterna innehåller uppgifter om de personskador som har följt på en olycka. Skadorna anges i form av en kod som utvisar vilken typ av skada det rör sig om, var på kroppen skadan finns och allvarlighetsgraden av skadan. Även vissa uppgifter om själva olyckan rapporteras. Dessa uppgifter inhämtas från patienten genom att denne fyller i en s.k. trafikskadejournal. När uppgifterna från Polismyndigheten och vårdgivare inkommit till Transportstyrelsen kompletteras de med vissa uppgifter från körkorts- och fordonsregistret, t.ex. vilken behörighet en förare har och vilken typ av fordon som varit

inblandat i olyckan. Vidare kompletteras uppgifterna med viss information från Trafikverkets vägdatabas och med kartinformation från Lantmäteriet. Sammanfattningsvis innehåller databasen uppgifter som är att betrakta som personuppgifter men också andra uppgifter – t.ex. en beskrivning av platsen för olyckan, uppgifter om väg- och väderleksförhållanden, trafikregler och fordon m.m. – som inte utgör personuppgifter enligt EU:s dataskyddsförordning. Regeringen återkommer i avsnitt 6.8 till frågan om vilka uppgifter som får behandlas i databasen.

Syftet med Strada är utgöra ett kunskapsunderlag om de olyckor som inträffar i transportsystemet och vilka personskador olyckorna medfört. Uppgifterna behövs för att kunna sprida kunskapen till de olika aktörer i samhället som arbetar med trafiksäkerhet och för att förhindra att trafikrelaterad ohälsa uppstår. Användning av uppgifterna sker inte enbart för att förhindra att olyckor över huvud taget uppstår utan också för att uppnå det transportpolitiska hänsynsmålet om säkerhet, dvs. att förhindra att de olyckor som ändå sker leder till att människor dör eller skadas allvarligt. Sedan 2003 används uppgifter från Strada genomgående i trafiksäkerhetsrelaterat planerings- och uppföljningsarbete hos de myndigheter som har uppdrag på området. Enligt den officiella statistiken dödades 524 personer i trafiken i Sverige år 2003 och samma år skadades 4 664 svårt. År 2019 hade detta sjunkit till 221 döda och 1 951 svårt skadade. Även risken för medicinsk invaliditet, dvs. risken att få en permanent hälsoförlust, till följd av en trafikolycka har under perioden minskat väsentligt. Strada har utgjort en mycket viktig kunskapskälla för det arbete som utförts på detta område. De sjukvårdsrapporterade uppgifterna i Strada innebär bl.a. att åtgärder kan sättas in inte bara för att förhindra att människor dödas och skadas till följd av olyckor med motorfordon utan också för att förhindra dödsfall och skador i gruppen oskyddade trafikanter. Mot bakgrund av att uppgifterna på olika sätt används för att bl.a. utforma infrastruktur, regelverk och skyddsutrustning för att förhindra att personskador uppstår i transportsystemet och minska skadornas allvarlighetsgrad finns det ett starkt allmänintresse av att behandla de aktuella uppgifterna i databasen.

Mot den nu beskrivna nyttan ska ställas de risker för intrång i den personliga integriteten som finns med den aktuella behandlingen. Som framgår ovan inhämtas de uppgifter som finns i Strada i stor utsträckning från Polismyndigheten och vårdgivare. Det uppgiftslämnande som sker från vårdgivare baseras i dag på samtycke från patienten. I avsnitt 6.10 föreslås att vårdgivares rapportering i stället ska bygga på en författningsreglerad uppgiftsskyldighet. Det innebär att vårdgivarna inte längre kommer att behöva inhämta samtycke från patienten för att lämna uppgifter vidare till databasen. Regeringen återkommer i avsnitt 6.10.1 och 6.10.2 till vilka överväganden som görs i detta avseende. Uppgifterna används vidare av flera andra aktörer än Transportstyrelsen. Det sagda innebär sammantaget att en relativt omfattande personuppgiftsbehandling sker och att uppgifterna behandlas i flera led. Behandlingen innefattar också känsliga personuppgifter i form av uppgifter om sådana personskador som drabbat en enskild till följd av en olycka. Att uppgifter om en enskild som varit inblandad i en trafikolycka behandlas i en stor krets kan innebära risker för den personliga integriteten. Det innebär bl.a. att ett flertal personer får kännedom om de personskador som den enskilde

drabbas av till följd av olyckan. Det kan heller inte uteslutas att den som varit inblandad i en olycka i vissa fall kan uppfattas som klandervärd. För att begränsa de risker som finns kan det inledningsvis konstateras att den föreslagna regleringen innehåller bestämmelser om för vilka ändamål uppgifterna i Strada får behandlas. De angivna ändamålen är alla trafiksäkerhetsanknutna, vilket anger ramen för vilken behandling som är tillåten. För att uppnå de trafiksäkerhetsrelaterade mål för vilka uppgifter från Strada används krävs i normalfallet inte att den enskilde kan identifieras. Uppgifterna i databasen behandlas därför så att personnummer eller motsvarande identitetsbeteckningar, liksom fordons registreringsnummer, plockas bort och ersätts med ett slumpvis utvalt löpnummer. Inte heller namn eller adressuppgifter som kan identifiera en enskild behandlas i databasen. Enligt vad som föreslås i avsnitt 6.11 får Transportstyrelsen endast i vissa särskilt angivna fall behandla uppgifterna så att de åter kan kopplas till en enskild. Sannolikheten för att en enskild identifieras på grundval av de uppgifter som finns tillgängliga i databasen är därmed låg. När det gäller de hälsouppgifter som behandlas i databasen utgörs dessa av en kod som klassificerar den trafikskada som uppstått till följd av en olycka. Uppgifterna avser alltså inte den registrerades hälsotillstånd i övrigt. De uppgifter som behandlas i databasen har därmed begränsats så att enbart uppgifter som verkligen behövs för ändamålen hanteras. Den föreslagna regleringen innehåller vidare bestämmelser som syftar till att begränsa tillgången till uppgifterna till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Slutligen kan det konstateras att uppgifterna hos Transportstyrelsen eller andra aktörer till vilka myndigheten lämnar ut uppgifterna inte används för att vidta åtgärder som riktar sig mot någon enskild registrerad. Inte heller om uppgifterna skulle spridas till andra bedöms de kunna medföra myndighetsåtgärder eller beslut som är negativa för den enskilda registrerade. Mot bakgrund av att åtgärder som syftar till att skydda den enskildes integritet vidtas får de risker som finns för den enskilde anses som relativt begränsade.

Sammantaget bedöms syftet att minska antalet döda och allvarligt skadade i trafiken tillsammans med de skyddsåtgärder som införs uppväga de nackdelar som kan uppstå för den enskilde genom behandlingen av personuppgifter i databasen. Mot denna bakgrund anser regeringen att den föreslagna regleringen är proportionell mot de mål som eftersträvas.

Hänvisningar till S6-1

6.2. Lagens tillämpningsområde

Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i databasen. Lagen ska även gälla vid behandling av uppgifter i databasen som gäller avlidna personer.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att lagen ska gälla vid behandling av personuppgifter i databasen om behandlingen är helt eller delvis automatiserad.

Remissinstanserna:

Integritetsskyddsmyndigheten påpekar att

dataskyddsförordningen gäller för behandling av personuppgifter som företas på automatisk väg samt på behandling som inte är automatisk, om personuppgifterna ingår i eller kommer att ingå i ett register.

Integritetsskyddsmyndigheten anser att bestämmelsen om den föreslagna lagens tillämpningsområde bör ändras eller tas bort. Övriga remissinstanser lämnar inte några synpunkter på förslaget.

Skälen för regeringens förslag: Den föreslagna lagen ska gälla för behandling av personuppgifter i den databas över olyckor och personskador i trafiken som förs av Transportstyrelsen. Med databasen avses den samling av uppgifter om sådana olyckor i transportsystemet som framgår av avsnitt 6.5.1 och om de personer som varit involverade i sådana olyckor.

EU:s dataskyddsförordning ska enligt artikel 2.1 tillämpas på helt eller delvis automatiserad behandling av personuppgifter och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Förordningen hindrar dock inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen i fråga om vilken typ av behandling som omfattas.

Lagen bör gälla för behandling av personuppgifter i databasen, oavsett på vilket sätt – automatiserat eller manuellt – som behandlingen görs. I linje med Integritetsskyddsmyndighetens synpunkt anser regeringen att det saknas skäl att avgränsa lagens tillämpningsområde till att enbart avse behandling som är helt eller delvis automatiserad.

Strada innehåller även uppgifter om avlidna personer. Av skäl 27 i dataskyddsförordningen framgår att uppgifter om avlidna personer inte omfattas av förordningens bestämmelser. Medlemsstaterna får dock fastställa bestämmelser för behandlingen av personuppgifter som rör avlidna personer. För en anhörig till en avliden person som finns registrerad i Strada kan det upplevas som känsligt utifrån integritetssynpunkt att uppgifter om den avlidne behandlas i databasen. Det finns därför skäl att tillämpa bestämmelserna om personuppgiftsbehandling i den föreslagna lagen även vid behandling av uppgifter om avlidna personer. Däremot blir inte dataskyddsförordningens bestämmelser som sådana tillämpliga på behandlingen av uppgifter om avlidna.

Hänvisningar till S6-2

6.3. Förhållandet till annan reglering

Regeringens förslag: Lagen ska innehålla en bestämmelse som tydliggör att lagen kompletterar EU:s dataskyddsförordning. Lagen ska vidare ange att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller vid behandling av personuppgifter i databasen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den.

Promemorians förslag överensstämmer delvis med regeringens.

Promemorians förslag har en annan lagteknisk utformning och innehåller inte någon bestämmelse som klargör förhållandet till dataskyddslagen.

Remissinstanserna: Integritetsskyddsmyndigheten anser att det tydligt bör framgå att bestämmelserna kompletterar EU:s dataskyddsförordning och i tillämpliga fall annan nationell lagstiftning.

Skälen för regeringens förslag: EU:s dataskyddsförordning är direkt tillämplig och ska inte genomföras i svensk rätt. Förordningen gäller oavsett om det införs en bestämmelse som hänvisar till förordningen eller inte i den föreslagna lagen. För att undvika att ge bilden av att den huvudsakliga dataskyddsregleringen finns i den föreslagna lagen anser regeringen, liksom Integritetsskyddsmyndigheten, att det i lagen bör införas en bestämmelse som upplyser om att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning.

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Den föreslagna lagen innehåller bestämmelser om att lagen kompletterar EU:s dataskyddsförordning, om att termer och uttryck har samma betydelse som i förordningen och om i vilken utsträckning särskilda kategorier av personuppgifter (känsliga personuppgifter) enligt artikel 9 i förordningen får behandlas i databasen. Hänvisningarna bör enligt regeringens uppfattning vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att den direkt tillämpliga förordningen får omedelbart genomslag.

I lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, i det följande kallad dataskyddslagen, och i förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning finns bestämmelser som på generell nivå kompletterar EU:s dataskyddsförordning. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Dataskyddslagen är alltså subsidiär och dess bestämmelser kommer att gälla för personuppgiftsbehandlingen i databasen om inte den föreslagna lagen anger något annat. En bestämmelse som tydliggör att den föreslagna lagen inte utgör en uttömmande nationell reglering under EU:s dataskyddsförordning har ett pedagogiskt värde och en sådan bestämmelse bör därför föras in i lagen.

Hänvisningar till S6-3

6.4. Strada utökas till att även innehålla uppgifter om olyckor i fritidssjöfart

Regeringens bedömning: Uppgifter om olyckor inom fritidssjöfarten bör rapporteras till databasen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De remissinstanser som yttrar sig i denna del, bl.a.

Polismyndigheten, Statens väg- och transportforskningsinstitut, Myndigheten för samhällsskydd och beredskap, Sveriges Kommuner och Regioner (SKR, tidigare Sveriges Kommuner och Landsting), Trafikanalys och Motorförarnas Helnykterhetsförbund ställer sig positiva till bedömningen.

Skälen för regeringens bedömning

Det finns brister i det tillgängliga underlaget avseende skadade i fritidssjöfart

Det regeringsbeslut som fattades 1996 om att inrätta ett nytt informationssystem omfattade sådana skador och olyckor som uppstått i vägtransportsystemet. Det är därmed i huvudsak sådana uppgifter som i dag rapporteras till Strada. Numera gäller nollvisionen och de trafikpolitiska målen för alla transportslag. Även sjöfartsområdet omfattas alltså av dessa målsättningar. Inom yrkessjöfarten är antalet omkomna få – dödsolyckor inom sjöfarten förekommer främst inom fritidsbåtstrafiken. Mellan 80 och 90 procent av antalet dödsfall på sjöfartsområdet inträffar inom fritidssjöfarten.

I fråga om antalet omkomna inom fritidssjöfarten finns i dag bra underlag för statistiken. Däremot saknas tillförlitlig statistik över antalet allvarligt skadade. Denna brist har uppmärksammats under flera år. Redan i samband med att nuvarande etappmål för sjötransportområdet beslutades konstaterade regeringen det fanns brister i statistiken avseende fritidsbåtolyckorna och att det för att nå målet med att minska antalet omkomna och allvarligt skadade var av avgörande betydelse att förbättra statistiken på området (prop. 2008/09:93 s. 48).

Uppgifter om olyckor med fritidsfartyg bör rapporteras till Strada

Polismyndigheten, Tullverket och Kustbevakningen har en skyldighet att underrätta Transportstyrelsen om olyckor med fritidsfartyg enligt 21 § andra och tredje styckena förordningen (1990:717) om undersökning av olyckor. Det saknas dock en fastställd ordning för hur denna rapportering ska gå till.

Transportstyrelsen har sedan 2011 drivit ett pilotprojekt i Västra Götalands län och Stockholms län om insamling av data om bl.a. fritidsbåtolyckor. Insamlingen sker från akutsjukhus på samma sätt som gäller vid rapporteringen av olyckor i vägtransportsystemet. Verksamheten har enligt Transportstyrelsen fallit väl ut och uppgifterna om dessa olyckor har lett till nya insikter om vilken typ av olyckor som är vanligast, var de inträffar och vilka skador som blir följderna.

Regeringen anser att det även inom området för fritidssjöfart är angeläget att kunna få uppgifter om de olyckor och skador som uppstår, i syfte att uppnå målet med att minska antalet döda och allvarligt skadade på området. Regeringen ser positivt på det pilotprojekt som har bedrivits när det gäller insamling av uppgifter och på att säkerhetshöjande insatser kunnat vidtas baserat på informationen. En begränsad rapportering ger dock inte det underlag som behövs för att nå de transportpolitiska målen. De uppgifter som i dag samlas in når heller inte upp till de krav som förutsätts för att de ska kunna användas till officiell statistik. Regeringen anser därför att det bör säkerställas att det sker en kvalitativ, kontinuerlig och riksomfattande datainsamling avseende olyckor som uppstår i fritidssjöfarten och att denna insamling även bör omfatta uppgifter om vilka typer av skador som uppstår och deras allvarlighetsgrad. Ett antal remissinstanser delar också uppfattningen att datainsamling till Strada bör utökas till att även gälla sådana uppgifter. Mot denna bakgrund bör de uppgiftsskyldigheter som föreslås i avsnitt 6.10 även omfatta olyckor i fritidssjöfart.

Hänvisningar till S6-4

  • Prop. 2020/21:124: Avsnitt 6.10.2

6.5. Uttryck i lagen

6.5.1. Olyckor som ska rapporteras till Strada

Regeringens förslag: I lagen avses med

vägtrafikolycka: en plötslig händelse eller serie av händelser som har inträffat helt eller delvis på en väg och involverat ett fordon i rörelse,

olycka i trafikmiljö: en plötslig händelse eller serie av händelser som har involverat en trafikant och inträffat

– helt eller delvis på en väg, – helt eller delvis på en gångbana som inte ligger invid en väg, – på en buss- eller spårvagnshållplats, eller – ombord på en spårvagn, olycka med terrängmotorfordon: en plötslig händelse eller serie av händelser som har involverat ett terrängmotorfordon i rörelse, och

olycka med fritidsfartyg: en plötslig händelse eller serie av händelser som har involverat ett sjösatt fritidsfartyg.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorians förslag har olyckor avgränsats till oavsiktliga händelser.

Remissinstanserna:Flera remissinstanser, bl.a. Transportstyrelsen,

Myndigheten för samhällsskydd och beredskap, Linköpings tingsrätt, Chalmers tekniska högskola AB (SAFER) och Svensk Trafikmedicinsk Förening framför synpunkter när det gäller begränsningen till oavsiktliga händelser eftersom det finns behov av att samla uppgifter även om avsiktliga händelser och då det kan vara svårt att avgöra om en olycka är oavsiktlig eller inte. Svensk Trafikmedicinsk Förening anser vidare att uttrycket skadehändelse bör användas i stället för olycka, att inte bara händelser på allmän väg ska omfattas och att händelser med alla typer av fordon i terräng bör omfattas. Lunds tekniska högskola anser att även fotgängares singelolyckor ska omfattas av definitionen av vägtrafikolycka och att olycka i trafikmiljö även bör omfatta olyckor som inträffar på en cykelbana. När det gäller definitionen av olycka i trafikmiljö anser Kammarrätten i Göteborg att det kan uppstå tillämpningssvårigheter när det gäller att avgöra vilka gångbanor som inte ligger invid en väg.

Skälen för regeringens förslag

Dagens rapportering

Polismyndigheten lämnar i dag uppgifter om vägtrafikolyckor där personskada eller dödsfall har inträffat. Även olyckor i terräng med terrängskoter rapporteras in om de involverat ett fordon i rörelse och medfört en personskada eller ett dödsfall. De uppgifter som rapporteras från sjukvården avser personer som sökt vård för en skada som uppstått i vägtrafikmiljö eller till följd av en olycka med terrängmotorfordon. Det innebär att vårdgivares rapportering till Strada är vidare än den som gäller för Polismyndigheten. Därutöver rapporteras olyckor inom fritidssjöfarten.

I avsnitt 6.10 föreslås att bestämmelser om skyldighet att rapportera uppgifter till Strada förs in i lagen. För att tydliggöra vilka olyckor som

omfattas av uppgiftsskyldigheten bör vissa uttryck som används i lagen definieras.

Allmänt om definitionerna av olyckor

Samtliga definitioner av olyckor som föreslås i promemorian avser en oavsiktlig plötslig händelse eller serier av händelser. Flera remissinstanser har invändningar mot att avgränsa rapporteringen på detta sätt. Regeringen konstaterar att självmord och andra avsiktliga händelser från och med 2010 visserligen inte längre omfattas av det som i den officiella statistiken anges om omkomna i vägtrafikolyckor. Som Svensk Trafikmedicinsk Förening påpekar kan det dock vara svårt att avgöra intentionen bakom en olyckshändelse. Såväl Myndigheten för samhällsskydd och beredskap som

Transportstyrelsen anför vidare att det finns flera skäl att alltjämt inkludera avsiktliga händelser i rapporteringen till Strada, bl.a. då sådana uppgifter kan användas vid suicidpreventivt arbete. I likhet med remissinstanserna anser regeringen att avgränsningen till oavsiktliga händelser i definitionen riskerar att leda till gränsdragningsproblem och till ett försämrat underlag i databasen. I dagsläget görs heller inte någon sådan avgränsning i fråga om vilka olyckor som rapporteras till Strada.

Händelser som efter en särskild kontroll bedöms vara avsiktliga sorteras i stället bort i samband med framställningen av den officiella statistiken. Ordet oavsiktlig bör därför enligt regeringens uppfattning utgå ur definitionerna av olyckor.

När det gäller den övriga utformningen av definitionerna föreslår Myndigheten för samhällsskydd och beredskap att uttrycket ”som medfört personskada” bör läggas till för att exkludera olyckor som enbart medfört materiella skador. Även Svensk Trafikmedicinsk Förening har en liknande synpunkt. Definitionerna av olyckor bör emellertid enligt regeringens uppfattning ange vilka typer av olyckor som uppgiftsskyldigheten ska omfatta. Att den rapportering som ska ske till Strada ska avse olyckor på vilka det följt en personskada eller ett dödsfall eller där personen sökt vård till följd av olyckan framgår av de bestämmelser om uppgiftsskyldighet som föreslås i avsnitt 6.10. Till skillnad från Svensk Trafikmedicinsk Förening anser regeringen vidare att ordet ”olycka” är lämpligt för att beskriva den händelse som ska omfattas av rapporteringsskyldighet. I detta avseende kan det också påpekas att det är den inträffade olyckan som ska rapporteras, även om den bakomliggande orsaken till olyckan kan vara ett långsamt eller ständigt pågående skeende, t.ex. en jorderosion. Mot den bakgrunden bör ordet plötslig kvarstå i definitionerna.

Några remissinstanser framför att även vissa andra typer av olyckor bör omfattas av rapporteringsskyldigheten. Regeringen ser dock inte i dagsläget skäl att utvidga rapporteringen till att omfatta ytterligare olyckstyper.

Vägtrafikolycka

Enligt den kungörelse som ligger till grund för Polismyndighetens rapportering ska Polismyndigheten rapportera vägtrafikolyckor som myndigheten har fått kännedom om och som lett till personskada eller dödsfall. Av kungörelsen framgår emellertid inte närmare vad som avses med vägtrafikolycka. Enligt bestämmelserna får Transportstyrelsen meddela de ytterligare föreskrifter som behövs för rapporteringen. Några

föreskrifter med stöd av bemyndigandet har inte utfärdats men Transportstyrelsen har utarbetat en handledning att användas av Polismyndigheten vid rapporteringen. Enligt handledningen avses med vägtrafikolycka att händelsen – utöver att den lett till att en person omkommit eller skadats – har inträffat i trafik på väg och att minst ett fordon har varit i rörelse. Handledningen anger vidare att med väg avses sådan väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon eller led som är anordnad för cykeltrafik samt gång- och ridbana invid väg. Detta överensstämmer med definitionen av väg i 2 § förordningen (2001:651) om vägtrafikdefinitioner.

Utgångspunkten bör vara att Polismyndigheten alltjämt bör rapportera vägtrafikolyckor, på det sätt som begreppet förstås i dag vid rapporteringen. I promemorian föreslås en vägtrafikolycka definieras som en oavsiktlig, plötslig händelse, eller serie av händelser, som har inträffat i trafik på en väg vari deltagit minst ett fordon i rörelse. Enligt vad som framgår ovan bör ordet oavsiktlig inte ingå i definitionen. Mot bakgrund av att händelsen ska ha inträffat på en väg och involverat minst ett fordon i rörelse bör även ”i trafik” kunna utgå. Med anledning av synpunkten från Svensk Trafikmedicinsk Förening kan det framhållas att definitionen av väg i förordningen om vägtrafikdefinitioner omfattar såväl allmän som enskild väg. Till skillnad från Lunds tekniska högskola anser regeringen inte att fotgängares singelolyckor ska omfattas av definitionen, eftersom Polismyndigheten sällan får kännedom om denna olyckstyp. Sådana olyckor fångas i stället upp av sjukvårdens rapportering. Sammanfattningsvis bör vägtrafikolycka definieras som en plötslig händelse, eller serie av händelser, som har inträffat helt eller delvis på en väg och involverat ett fordon i rörelse.

Olycka i trafikmiljö

Definitionen av vägtrafikolycka innebär bl.a. att ett fordon ska ha varit involverat. Avsikten med att inhämta uppgifter från sjukvården är att även fånga upp andra typer av olyckor och skador som uppstår i trafiken, t.ex. fallolyckor bland gångtrafikanter. För detta ändamål behövs en definition som är vidare än den som gäller för Polismyndighetens rapportering. I promemorian föreslås att uttrycket olycka i trafikmiljö används för det ändamålet. Enligt den föreslagna definitionen ska en sådan olycka avse dels en vägtrafikolycka, dels en oavsiktlig plötslig händelse, eller rad av händelser, som har involverat en trafikant om olyckan har inträffat på väg, på en gångbana, på en buss- eller spårvagnshållplats eller ombord på en spårvagn. Som framgår ovan bör ordet oavsiktlig utgå ur definitionen.

En olycka i trafikmiljö kräver alltså, till skillnad från en vägtrafikolycka, inte nödvändigtvis att ett fordon i rörelse varit inblandat. Händelsen ska i stället ha involverat en trafikant. Enligt 2 § förordningen om vägtrafikdefinitioner är en trafikant den som färdas eller annars uppehåller sig på en väg, i ett fordon på en väg eller i terräng samt den som färdas i terräng. Händelsen kan också ha inträffat på andra platser än en väg. Som anges ovan avses med väg sådan väg, gata, torg och annan led eller plats som allmänt används för trafik med motorfordon eller led som är anordnad för cykeltrafik samt gång- och ridbana invid väg. För att även inkludera gångbanor som inte ligger invid en väg anges detta uttryckligen i bestämmelsen. Kammarrätten i Göteborg menar att en sådan reglering kan

medföra tillämpningssvårigheter. Mot bakgrund av att både olyckor som inträffar på gångbanor som ligger intill en väg och olyckor som inträffar på andra gångbanor enligt den föreslagna definitionen ska rapporteras ser dock inte regeringen att det skulle uppstå några tillämpningsproblem. Något tillägg av cykelbana till definitionen, som Lunds tekniska högskola föreslår, är enligt regeringens bedömning inte nödvändigt, eftersom begreppet väg innefattar såväl en led som allmänt används för trafik med motorfordon som en led som är anordnad för cykeltrafik. Eftersom olyckor på en buss- eller spårvagnshållplats ingår i dagens rapportering från vårdgivarna, bör även dessa olyckor inkluderas i begreppet olycka i trafikmiljö.

Olycka med terrängmotorfordon

Med ett terrängmotorfordon avses enligt lagen (2001:559) om vägtrafikdefinitioner ett motordrivet fordon som inte är ett motorfordon och som är inrättat huvudsakligen för att självständigt användas till person- eller godsbefordran i terräng. Terrängmotorfordonen delas in i terrängvagnar och terrängskotrar. En terrängvagn är ett terrängmotorfordon med en tjänstevikt över 450 kg. En terrängskoter har en tjänstevikt om högst 450 kg och delas in i snöskotrar och terränghjulingar, som är en annan typ av terrängskoter än en snöskoter. I dagsläget rapporterar Polismyndigheten olyckor med terrängskoter. Det saknas anledning att exkludera olyckor med terrängvagnar från rapporteringsskyldigheten, varför även sådana olyckor bör rapporteras till Strada. Regeringen föreslår därför att olycka med terrängmotorfordon definieras och att med sådan olycka avses en plötslig händelse, eller serie av händelser, som har inträffat med ett terrängmotorfordon i rörelse. Det saknar betydelse var olyckan inträffat. Den kan med andra ord ha inträffat på väg eller i terräng.

Olycka med fritidsfartyg

I promemorian föreslås att med olycka med fritidsfartyg avses en oavsiktlig, plötslig händelse eller rad av händelser som har inträffat med ett fritidsfartyg. I enlighet med vad som anförs på sidan 26 bör ordet oavsiktlig utgå. I lagrådsremissen anges att ett fritidsfartyg i hamn eller i drift ska ha involverats. Som Lagrådet påpekar är avsikten att olyckor som involverat ett sjösatt fritidsfartyg ska omfattas, oavsett om fartyget anses ha varit i drift eller inte. Händelser som inträffat när fartyget ligger i vatten ska alltså omfattas, vilket innebär att såväl händelser som inträffar när fartyget ligger i hamn som händelser som inträffar när det lämnat hamnen ska rapporteras. Händelser som inträffat med ett fartyg som är uppställt på land ska däremot inte rapporteras. En olycka med fritidsfartyg bör därför definieras som en plötslig händelse eller serie av händelser om har involverat ett sjösatt fritidsfartyg. Beteckningen fritidsfartyg förekommer i ett antal författningar men är inte definierad i dem. Enligt vad som framgår av 1 kap. 2 § sjölagen (1994:1009) omfattar begreppet fartyg såväl skepp som båt. Regeringen instämmer mot denna bakgrund i Lagrådets slutsats att begreppet fritidsfartyg inte kan anses ha en entydig innebörd. I den nu aktuella lagen framstår det dock inte som nödvändigt att genom en definition avgränsa begreppets närmare innebörd. Mer ändamålsenligt för den rapporteringsskyldighet som är i fråga torde vara

att ta fasta på fartygets användningsområde vid olyckstillfället. Med fritidsfartyg bör därför i detta sammanhang avses ett fartyg (skepp eller båt) som används för fritidsändamål. Ett fartyg som används i affärsmässig verksamhet är inte ett fritidsfartyg.

Hänvisningar till S6-5-1

6.5.2. Övriga termer och uttryck som används i lagen

Regeringens förslag: Andra termer och uttryck i lagen ska ha samma betydelse som i EU:s dataskyddsförordning, lagen om vägtrafikdefinitioner och förordningen om vägtrafikdefinitioner.

Promemorians förslag överensstämmer delvis med regeringens.

Promemorians förslag innehåller inte någon uttrycklig hänvisning till dataskyddsförordningen i denna del.

Remissinstanserna lämnar inga synpunkter. Skälen för regeringens förslag: I lagen (2001:559) om vägtrafikdefinitioner finns definitioner av grundläggande fordonsbeteckningar på vägtrafikområdet. Fordon och terrängmotorfordon definieras i lagen om vägtrafikdefinitioner och bör ha samma betydelse i den föreslagna lagen.

I förordningen (2001:651) om vägtrafikdefinitioner finns ytterligare definitioner av termer på vägtrafikområdet. Orden väg och trafikant bör i lagen ges samma betydelse som i förordningen om vägtrafikdefinitioner.

De centrala termer och uttryck som används för behandling av personuppgifter enligt EU:s dataskyddsförordning definieras i artikel 4 i förordningen. Där anges vad som i förordningen avses med personuppgifter och behandling av sådana uppgifter, personuppgiftsansvarig, pseudonymisering och uppgifter om hälsa. Eftersom den föreslagna lagen kompletterar dataskyddsförordningen, bör termer och uttryck som används i lagen ha samma betydelse som i förordningen.

Hänvisningar till S6-5-2

6.6. Personuppgiftsansvar

Regeringens förslag: Transportstyrelsen ska vara personuppgiftsansvarig för behandlingen av personuppgifter i databasen.

Promemorians förslag överensstämmer delvis med regeringens förslag. Enligt promemorians förslag ska Transportstyrelsen vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Remissinstanserna lämnar inga synpunkter.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, ställer sig frågande till hur Transportstyrelsens personuppgiftsansvar förhåller sig till bestämmelsen om att den som medgetts direktåtkomst ska begränsa tillgången till uppgifterna.

Skälen för regeringens förslag: I artikel 4.7 i EU:s dataskyddsförordning definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgifts-

ansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och de faktiska omständigheterna i varje enskilt fall. Enligt artikel 4.7 i dataskyddsförordningen kan dock medlemsstaterna i den nationella rätten ange vem som är personuppgiftsansvarig om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt.

Enligt förslagen i avsnitt 5.10 kommer vårdgivare, Polismyndigheten och Kustbevakningen att lämna uppgifter till Strada. Som huvudregel bör gälla att den som utför själva behandlingen av personuppgifter också ska ha personuppgiftsansvaret. Det är dock Transportstyrelsen som är tekniskt ansvarig för databasen, inklusive de applikationer som används vid inrapportering och utlämnande av uppgifter. Transportstyrelsen kan också komma att bemyndigas att meddela föreskrifter om rapporteringen (se avsnitt 6.10.5). För den enskilde underlättar det om ansvaret för den personuppgiftsbehandling som sker i databasen är samlat hos en myndighet. Enligt regeringens uppfattning bör därför Transportstyrelsen vara personuppgiftsansvarig för behandlingen i databasen. En bestämmelse om detta bör införas i den föreslagna lagen. Med anledning av Integritetsskyddsmyndighetens synpunkt kan det konstateras att Transportstyrelsen kommer att ansvara för frågor om direktåtkomst till uppgifterna i Strada (se avsnitt 6.12.1). Detta motsägs inte av att den som medges direktåtkomst ska ansvara för att tillgången till de personuppgifter som mottagaren får del av genom sådan åtkomst begränsas hos denne. Den som rapporterar uppgifter till Strada eller medges direktåtkomst till databasen är själv personuppgiftsansvarig för den behandling som sker inom ramen för den egna verksamheten.

Hänvisningar till S6-6

6.7. Tillåtna ändamål

Regeringens förslag: Personuppgifter ska få behandlas i databasen om det är nödvändigt för

– framställning av statistik inom trafiksäkerhetsområdet, – forskning som avser trafiksäkerhet, eller – planering, uppföljning, utvärdering och kvalitetssäkring av trafiksäkerhetsarbete.

Personuppgifter som behandlas enligt dessa ändamål ska få behandlas även för andra ändamål, under förutsättning att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in.

Promemorians förslag överensstämmer i huvudsak med regeringens. I förhållande till promemorian har ändamålen förtydligats och regleringen av finalitetsprincipen fått en något annorlunda utformning.

Remissinstanserna: Integritetsskyddsmyndigheten anser inte att forskning ska anges som ett tillåtet ändamål eftersom Transportstyrelsen inte bedriver någon forskning, och menar att personuppgifter inte får samlas in på den grunden att de kan komma att behövas i ett framtida forskningsprojekt.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, menar att de uppräknade trafiksäkerhets-

relaterade ändamålen bör utgöra den yttersta ramen för personuppgiftsbehandlingen och att behandling för andra ändamål inte ska vara tillåten.

Skälen för regeringens förslag

Allmänt om ändamålsbestämmelser

Förutom att minst en rättslig grund måste vara tillämplig för att behandling av personuppgifter ska vara laglig, finns det ett antal principer som ska tillämpas vid all personuppgiftsbehandling. Principerna anges i artikel 5 i dataskyddsförordningen. Enligt artikel 5.1 får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. EU:s dataskyddsförordning ställer inga krav på att ändamålen ska vara fastställda i författning, men det finns inte heller någonting som hindrar att detta görs. Ändamålsbestämmelser är en sådan typ av specifika bestämmelser som i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen anpassar tillämpningen av förordningen. Syftet med sådana bestämmelser är att ange ramen för vilken behandling som är tillåten. Genom att reglera för vilka ändamål som personuppgifter får behandlas kan intresset av att behandla uppgifterna balanseras mot det intrång i den personliga integriteten som behandlingen kan innebära.

Övergripande om ändamålen i Strada

Genom att ange bestämda ändamål definieras för vilka syften uppgifter får samlas in och behandlas. Regeringen delar promemorians bedömning att det bör föras in en bestämmelse i lagen som anger för vilka ändamål personuppgifter i databasen får behandlas och att ändamålen ska vara trafiksäkerhetsrelaterade.

Transportstyrelsens verksamhet på trafiksäkerhetsområdet kan sägas bestå i att följa och analysera förhållanden som väsentligen kan påverka transportsystemets utformning och funktion, att påverka aktörer för att hindra svåra trafikolyckor och att samverka med andra aktörer i syfte att öka trafiksäkerheten samt att bedriva forskning och utveckling på området. Regeringen föreslår nedan att personuppgifter i databasen ska få behandlas om det är nödvändigt för ett antal ändamål med anknytning till trafiksäkerhet. Uppgifterna används av Transportstyrelsen för samtliga dessa ändamål. Ett av syftena med databasen är dock att utgöra kunskaps- och planeringsunderlag för trafiksäkerhetsarbetet även hos andra aktörer. De ändamål för vilka uppgifterna behandlas hos andra överlappar dock med de ändamål för vilka Transportstyrelsen använder uppgifterna. Någon uppdelning i primära och sekundära ändamål görs därför inte. Det kan noteras att det följer av definitionen av behandling i artikel 4.2 i EU:s dataskyddsförordning att insamling och utlämning av uppgifter omfattas utöver organisering, lagring och bearbetning av uppgifter. Begreppet behandling täcker alltså olika typer av åtgärder som kan förekomma i databasen, som att samla in och tillhandahålla uppgifter.

Framställning av statistik

Transportstyrelsen använder uppgifter från Strada i samband med att myndigheten redovisar statistik över olyckor och tillbud. Transportstyrelsen publicerar trafiksäkerhetsrapporter för olika trafikslag vid olika

tillfällen under året. Myndigheten framställer även trafikslagsövergripande rapporter över trafiksäkerhetsutvecklingen baserade på statistiken för de olika trafikslagen. Transportstyrelsen biträder också Trafikanalys vid framtagandet av såväl officiell som annan statistik om olyckor inom transportområdet, varvid uppgifterna i Strada används. Mot denna bakgrund anser regeringen att ett av de tillåtna ändamålen bör vara behandling av personuppgifter för framställning av statistik inom trafiksäkerhetsområdet.

Forskning

Strada utgör även en viktig kunskapskälla vid forskning på trafiksäkerhetsområdet. Integritetsskyddsmyndigheten anser att om syftet är att uppgifter ska få lämnas ut för forskningsändamål så är det detta som ska regleras och att uppgifter då inte får samlas in för att användas för framtida forskningsändamål. Regeringen konstaterar att en viktig utgångspunkt vid inrättandet av Strada var att forskning är en viktig del av trafiksäkerhetsarbetet. Ett av huvudsyftena med att samla uppgifter om olyckor och skador är alltså att kunna använda dessa i forskning som avser trafiksäkerhet. När det gäller Transportstyrelsens verksamhet ska myndigheten enligt förordningen (2008:1300) med instruktion för Transportstyrelsen dels verka för att de transportpolitiska målen uppnås och verksamheten särskilt inriktas på att bidra till ett internationellt konkurrenskraftigt, miljöanpassat och säkert transportsystem, dels svara för forskning och innovation som motiveras av myndighetens uppgifter. Transportstyrelsen har alltså ett forskningsuppdrag och bedriver forskning inom bl.a. trafiksäkerhetsområdet. Regeringen anser därför att det inte finns några hinder mot att som ändamål ange att personuppgifter i databasen får behandlas för forskningsändamål. Genom att begränsa ändamålet till sådan forskning som avser just trafiksäkerhet klargörs det inom vilket forskningsområde uppgifterna kan komma att behandlas. Mot denna bakgrund anser regeringen att ändamålet för personuppgiftsbehandlingen är tillräckligt preciserat för att kunna godtas. Regeringen föreslår alltså att även forskning som avser trafiksäkerhet ska vara ett tillåtet ändamål för personuppgiftsbehandlingen i Strada. Forskning på detta område bedrivs även hos andra aktörer, t.ex. vid Statens väg- och transportforskningsinstitut och universitet och högskolor.

Planering, uppföljning, utvärdering eller kvalitetssäkring

Transportstyrelsen har ett övergripande ansvar att verka för att de transportpolitiska målen uppnås och ska bl.a. inrikta verksamheten på att uppnå säkerhet i transportsystemet. Transportstyrelsen gör inte utvärderingar av enskilda insatser, men uppgifter i Strada används av myndigheten i samband med framtagandet av samhällsekonomiska uppföljningar och utvärderingar av trafiksäkerheten. Nollvisionen utgår ifrån att ansvaret för en ökad trafiksäkerhet delas mellan flera olika aktörer som har trafiksäkerhetsrelaterade uppdrag. Uppgifterna i Strada används av flera andra myndigheter för att på olika sätt följa upp och utvärdera vilka trafiksäkerhetsinsatser som har visat sig vara effektiva för att utifrån detta planera trafiksäkerhetsåtgärder i syfte att nå målet om att ingen ska dödas eller skadas allvarligt i trafiken. Det kan t.ex. vara undersökningar av vilka

vägsträckor som är särskilt olycksdrabbade eller vilken effekt olika typer av åtgärder, som trafikföreskrifter (t.ex. hastighetsbegränsningar), trafikövervakningsarbete, säkerhetshöjande åtgärder (t.ex. byggandet av rondeller, planseparerade korsningar och mitträcken) eller underhållsarbeten (t.ex. lagning av vägbana och snöröjning) har haft utifrån ett trafiksäkerhetsperspektiv. Sådana uppföljningar kan sedan användas som beslutsunderlag för åtgärder som bör vidtas i framtiden. Trafikverket och kommunerna har i egenskap av väghållare behov av att få en tydlig bild över var, när och hur olyckor inträffar för att kunna planera och vidta åtgärder så att infrastrukturen blir säker. Vidare använder den kommunala räddningstjänsten uppgifter från Strada i syfte att följa upp sina insatser vid olyckor. Även Polismyndigheten har behov av tillgång till Strada för planering och uppföljning av bl.a. myndighetens trafikövervakande insatser. Flera myndigheter, bl.a. infrastrukturhållare, länsstyrelser och Polismyndigheten, har dessutom befogenheter att besluta om trafikföreskrifter. Sådana trafikföreskrifter kan avse bl.a. hastighetsgränser. Myndigheten för samhällsskydd och beredskap har bl.a. i uppdrag att stödja samhället i arbetet med att förebygga och förhindra olyckor och utarbetar bl.a. rutiner i syfte att förebygga olyckor. Myndigheten använder Strada i sitt arbete med metodutveckling av räddningsinsatser men också för att framställa trafikolycksstatistik. Trafikanalys har bl.a. till uppgift att, med utgångspunkt i de transportpolitiska målen, utvärdera och analysera samt redovisa effekter av föreslagna och genomförda åtgärder inom transportområdet. Sammanfattningsvis används uppgifter från Strada för att på olika sätt undersöka och följa upp vilken effekt redan vidtagna åtgärder har haft och som kunskaps- och planeringsunderlag för framtida åtgärder. De syften som uppgifterna används för i dessa avseenden kan lämpligen sammanfattas som planering, uppföljning, utvärdering och kvalitetssäkring av trafiksäkerhetsarbete. Personuppgifter i databasen bör därför få behandlas för dessa ändamål.

Behandlingen ska vara nödvändig

Av artikel 6 i EU:s dataskyddsförordning framgår att behandling av personuppgifter med stöd av punkterna b – f i artikeln är tillåten endast om behandlingen är nödvändig i förhållande till den rättsliga grunden. Kravet på att behandlingen ska vara nödvändig innebär inte att behandlingsåtgärden ska vara oundgänglig. Nödvändighetskravet innebär dock en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).

Finalitetsprincipen

Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Principen om att personuppgifter inte senare behandlas för något annat

ändamål som är oförenligt med insamlingsändamålen brukar kallas finalitetsprincipen.

Enligt vad som föreslås ovan får personuppgifter i databasen behandlas för vissa särskilt angivna ändamål. Som anges ovan medger EU:s dataskyddsförordning att personuppgifter som samlats in för vissa ändamål får behandlas för andra ändamål, om den behandlingen inte är oförenlig med insamlingsändamålen. Integritetsskyddsmyndigheten anser dock att de angivna trafiksäkerhetsrelaterade ändamålen i sig är vida och menar att dessa bör utgöra den yttersta ramen för vilken behandling som är tillåten. Skulle ytterligare behandling tillåtas utgör bestämmelsen enligt Integritetsskyddsmyndighetens uppfattning inte någon sådan ändamålsbegränsning som kan ses som en skyddsåtgärd enligt EU:s dataskyddsförordning. Mot bakgrund av att finalitetsprincipen är en princip som utmynnar direkt ur EU:s dataskyddsförordning och att det inte kan uteslutas att uppgifterna kan behöva behandlas för andra ändamål, som inte är oförenliga med insamlingsändamålen, anser regeringen att ytterligare behandling inte bör förbjudas. Till skillnad från Integritetsskyddsmyndigheten anser regeringen därför att finalitetsprincipen bör gälla vid behandling av personuppgifter i Strada. Mot bakgrund av att databasen bl.a. innehåller känsliga personuppgifter finns det dock anledning att begränsa möjligheterna till vidarebehandling av sådana uppgifter för att värna om den personliga integriteten. Regeringen återkommer till denna fråga i avsnitt 6.9.

Hänvisningar till S6-7

6.8. Innehåll

Regeringens förslag: Databasen får innehålla uppgifter med anknytning till de olyckor som avses i lagen och om personer som varit involverade i olyckan.

En upplysningsbestämmelse ska införas om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om vilka personuppgifter som får behandlas i databasen.

Promemorian innehåller inte förslag om databasens innehåll. Remissinstanserna lämnar inga synpunkter.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, anser att det måste specificeras exakt vilka personuppgifter som får behandlas i databasen.

Skälen för regeringens förslag: Som föreslås i avsnitt 6.7 är de ändamål för vilka personuppgifter behandlas i Strada begränsade till att avse sådana som är nödvändiga för olika trafiksäkerhetsrelaterade ändamål. Integritetsskyddsmyndigheten menar att det i strid med uppgiftsminimeringsprincipen finns risk för att fler och mer omfattande uppgifter samlas in än vad som är nödvändigt och att det bör regleras exakt vilka personuppgifter som får behandlas i databasen. De uppgifter som samlas in och behandlas i Strada avser en rad omständigheter hänförliga till själva olyckan, dess uppkomst och de personskador som olyckan medfört. I fråga om personuppgifter måste insamlingen och behandlingen av dessa prövas i förhållande till de ändamål för vilka uppgifterna får behandlas i databasen. Endast personuppgifter som behövs för de närmare

specificerade trafiksäkerhetsändamålen får alltså behandlas av Transportstyrelsen. Som framgår av artikel 5.1 c i EU:s dataskyddsförordning måste de personuppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Vilka uppgifter som behöver samlas i databasen kan i viss utsträckning komma att förändras över tid med hänsyn till utvecklingen av trafiksäkerhetsarbetet. Någon exakt reglering i lagen av vilka uppgifter som får behandlas i databasen är därför inte lämplig. Lagen bör däremot innehålla en bestämmelse som anger ramarna för vilket innehåll databasen får ha. Det föreslås därför att det i lagen införs en bestämmelse om att databasen får innehålla uppgifter med anknytning till sådana olyckor som avses i lagen och om personer som varit involverade i olyckan. Regeringen har möjlighet att i förordning ange närmare vilka kategorier av uppgifter som får behandlas. En upplysningsbestämmelse om att regeringen kan meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen bör därför införas.

Hänvisningar till S6-8

6.9. Behandling av särskilda kategorier av personuppgifter

Regeringens förslag: Uppgifter om hälsa som avser personskador ska få behandlas i databasen och ska få användas som sökbegrepp. Inga andra känsliga personuppgifter ska få behandlas.

Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser ska vara tillåten vid vidarebehandling i enlighet med finalitetsprincipen endast om det är absolut nödvändigt för syftet med behandlingen.

Promemorians förslag överensstämmer delvis med regeringens.

Promemorian innehåller inte någon precisering i fråga om vilka hälsouppgifter som får behandlas eller någon uttrycklig bestämmelse om att sådana uppgifter får användas som sökbegrepp. Promemorian innehåller inte heller något förslag om att begränsa vidarebehandling av uppgifter.

Remissinstanserna: Integritetsskyddsmyndigheten framhåller att det måste prövas om behandlingen av uppgifterna kan anses uppfylla ett viktigt allmänt intresse och att en proportionalitetsbedömning ska göras.

Svensk Trafikmedicinsk Förening anser att det är värdefullt att uppgifter om hälsa får behandlas utan samtycke. Chalmers tekniska högskola AB (SAFER) och AB Volvo uppger att de stöder bedömningen att sökbegrepp inte ska begränsas. Övriga remissinstanser kommenterar inte förslaget särskilt.

Skälen för regeringens förslag

EU:s dataskyddsförordning tillåter bara behandling av känsliga personuppgifter i vissa fall

I artikel 9.1 i dataskyddsförordningen finns ett förbud mot att behandla vissa särskilda kategorier av personuppgifter, t.ex. uppgifter som avslöjar

ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Begreppet känsliga personuppgifter används i dataskyddslagen som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen (prop. 2017/18:105 s. 75).

I artikel 9.2 i dataskyddsförordningen finns ett antal undantag från förbudet mot att behandla känsliga personuppgifter. Undantagen är direkt tillämpliga men i vissa fall krävs stöd i rättsordningen, utöver det som dataskyddsförordningen ger. Detta gäller t.ex. undantaget i artikel 9.2 g, som anger att behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Unionsrätten eller den nationella rätten ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Även undantaget i artikel 9.2 j, som gäller behandling som är nödvändig för arkiveringsändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, innehåller sådana krav.

Kraven i artikel 9.2 g och j på att behandlingen ska ske på grundval av unionsrätten eller medlemsstatens nationella rätt innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av dem som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen (prop. 2017/18:105 s. 84). Som utvecklas i avsnitt 6.1 utgör dessa artiklar den rättsliga grunden för den personuppgiftsbehandling som sker i databasen. När det gäller kravet på att det rättsliga stödet ska vara förenligt med det väsentliga innehållet i rätten till dataskydd kan det konstateras att det är svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6 i dataskyddsförordningen men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd. Det kan därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 (prop. 2017/18:105 s. 84). I artikel 9.2 g och j tillkommer de ytterligare kraven att det ska göras en proportionalitetsbedömning och att det ska finnas bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Det finns kompletterande bestämmelser om känsliga personuppgifter i dataskyddslagen

I 3 kap. dataskyddslagen finns bestämmelser om behandling av vissa kategorier av personuppgifter, som bl.a. kompletterar EU:s dataskyddsförordning i fråga om behandling av känsliga personuppgifter. För behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse får en myndighet eller ett annat organ som omfattas av offentlighetsprincipen enligt 3 kap. 3 § dataskyddslagen behandla känsliga personuppgifter i vissa fall. Sådana uppgifter får behandlas om uppgifterna har lämnats till den personuppgiftsansvarige och behandlingen krävs enligt lag, om det är

nödvändigt för handläggningen av ett ärende eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vidare får känsliga personuppgifter enligt 3 kap. 7 § dataskyddslagen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Det finns ett behov av en särskild reglering av behandlingen av känsliga personuppgifter i Strada

I Strada registreras uppgifter om vilka skador en person drabbats av till följd av en trafikolycka. De sjukvårdsrapporterade uppgifterna består av en sifferkod som innehåller information om skadan. Genom koden anges var på kroppen skadan finns, vilken typ av skada det handlar om och vilken allvarlighetsgrad som skadan har. Dessa uppgifter omfattas av begreppet uppgifter om hälsa enligt artikel 4.15 i EU:s dataskyddsförordning. De uppgifter som rapporterats av Polismyndigheten består av en mer allmän angivelse av skadegraden, nämligen uppgift om huruvida en person är allvarligt eller lindrigt skadad. Uppgifterna behövs för att få kunskap om under vilka förhållanden skadorna uppstått i syfte att framöver kunna vidta åtgärder för att förhindra att sådana skador uppstår eller i vart fall minska skadornas allvarlighetsgrad. Databasen utgör ett viktigt verktyg för att uppnå det transportpolitiska hänsynsmålet om säkerhet och nollvisionens mål om att ingen ska dödas eller skadas allvarligt i trafiken. Behandlingen i Strada sker därmed för ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Uppgifterna i Strada används även för att framställa statistik och för att utgöra underlag i forskningsprojekt. Behandlingen i Strada sker i det avseendet även för forskningsändamål och statistiska ändamål enligt artikel 9.2 j.

Mot bakgrund av den generella reglering om behandling av känsliga personuppgifter som finns i dataskyddslagen, uppstår frågan om huruvida det finns ett behov av särskilda bestämmelser om hur känsliga personuppgifter får behandlas i Strada. Inledningsvis kan det konstateras att bestämmelserna i dataskyddslagen tar sikte på alla typer av känsliga personuppgifter enligt EU:s dataskyddsförordning. I Strada saknas behov av att behandla andra känsliga personuppgifter än uppgifter om hälsa. Av integritetsskäl är det därför att föredra att den föreslagna lagen innehåller en bestämmelse som närmare preciserar vilka känsliga personuppgifter som får behandlas i databasen.

Även av andra skäl finns behov av att ha en särreglering i förhållande till dataskyddslagen bestämmelser. I fråga om Strada skulle 3 kap. 3 § första stycket 3 i dataskyddslagen kunna aktualiseras, dvs. behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är avsedd att tillämpas i myndigheters faktiska verksamhet, dvs. i sådan verksamhet som inte utgör handläggning av ärenden. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i myndighetens löpande verksamhet utan att annat författningsstöd finns. Vid tillämpningen av bestämmelsen ska myndigheten göra en proportionalitets-

bedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Vid en sådan bedömning ska vikt bl.a. läggas vid uppgifternas känslighet, behandlingens karaktär, den inställning den registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet (prop. 2017/18:105 s. 194 f.). En liknande bedömning ska göras vid behandling enligt 3 kap. 7 § dataskyddslagen. Behandling av känsliga personuppgifter i Strada är dock något som äger rum kontinuerligt och till följd av att regeringen gett Transportstyrelsen i uppdrag att föra databasen. Det är därför inte lämpligt att Transportstyrelsen i varje enskilt fall ska göra en sådan prövning av om behandlingen är proportionerlig som krävs enligt den aktuella bestämmelsen i dataskyddslagen. Den bedömningen bör i stället göras generellt, genom att det i lagen regleras vilka känsliga personuppgifter som får behandlas och under vilka förutsättningar det får ske. För detta talar också att den nu föreslagna lagen är avsedd att utgöra en sammanhängande reglering av den personuppgiftsbehandling som sker i Strada. Regeringen gör i avsnitt 6.1 bedömningen att den personuppgiftsbehandling som sker i Strada, bl.a. av uppgifter om hälsa, är proportionerlig så länge den sker i enlighet med bestämmelser som säkerställer skyddet för den enskildes personliga integritet. Mot denna bakgrund anser regeringen att det bör införas en särskild reglering av behandlingen av känsliga personuppgifter i Strada.

Behandlingen i Strada omgärdas av skyddsåtgärder

För att känsliga personuppgifter ska få behandlas krävs enligt EU:s dataskyddsförordning att det finns lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Den personuppgiftsbehandling som sker i Strada kommer att omgärdas av flera sådana skyddsåtgärder. I avsnitt 6.7 föreslås att det införs ändamålsbestämmelser som anger ramarna för den personuppgiftsbehandling som får utföras. De ändamål för vilka personuppgifter får behandlas i Strada har alla trafiksäkerhetsanknytning. Att personuppgifter får behandlas för trafiksäkerhetsrelaterade ändamål innebär en begränsning av vilken behandling som är tillåten. Därutöver föreslås att de personuppgifter som behandlas i databasen ska vara pseudonymiserade, vilket innebär att de inte kan kopplas till en enskild registrerad utan att kompletterande uppgifter används (se avsnitt 6.11). Vidare får personuppgifter i databasen inte behandlas under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen, vilket innebär att uppgifterna därefter ska avskiljas (se avsnitt 6.14). Det ska dessutom framhållas att det även i annan reglering finns bestämmelser som får anses utgöra skyddsåtgärder, t.ex. sekretessbestämmelser. Uppgifterna i Strada omfattas av statistiksekretess enligt 24 kap. 8 § OSL, vilket är en skyddsåtgärd som är relevant i sammanhanget. Enligt förslaget ges Transportstyrelsen möjlighet att medge vissa aktörer med trafiksäkerhetsrelaterade uppdrag direktåtkomst till uppgifter i Strada. Som utvecklas i avsnitt 6.12.1 kommer uppgifterna att omfattas av ett motsvarande sekretesskydd även hos dem som tar del av uppgifterna genom sådan åtkomst. Vidare kan det framhållas att EU:s dataskyddsförordning bl.a. kräver att den personuppgiftsansvarige ska säkerställa

lämplig säkerhetsnivå för behandlingen. I lagen föreslås också att den som ges direktåtkomst till personuppgifter i Strada ansvarar för att tillgången till personuppgifter begränsas till vad var och en behöver (se avsnitt 6.12.1). I den utsträckning uppgifterna ska användas till forskning gäller därutöver att om forskningen innefattar behandling av känsliga personuppgifter, såsom uppgifter om hälsa, krävs ett godkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen bedömer sammantaget att regelverket uppfyller kraven i artikel 9.2 g och j i EU:s dataskyddsförordning på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. För den proportionalitetsbedömning som enligt de aktuella bestämmelserna i förordningen också krävs och som Integritetsskyddsmyndigheten efterlyser hänvisas till avsnitt 6.1.

Uppgifter om hälsa bör kunna användas som sökbegrepp

De uppgifter om vilka skador som följt på en trafikolycka som ingår i Strada utgör i stor utsträckning skälet för databasens existens. Strada används i olika avseenden bl.a. för att bedöma trafikolyckors hälsopåverkan och vilka trafiksäkerhetsåtgärder som kan väntas medföra att såväl antalet personskador som skadornas allvarlighetsgrad minskar. De myndigheter och andra organ som har trafiksäkerhetsrelaterade uppdrag har därmed behov av att utföra sökningar på de aktuella uppgifterna för att t.ex. ta reda på i vilka typer av situationer en viss typ av skada uppstår och hur allvarlig skadan är. Ett förbud mot att utföra sökningar i syfte att få fram ett urval av sådana uppgifter skulle kraftigt begränsa nyttan av databasen. För att uppgifterna i Strada ska kunna användas för de avsedda ändamålen bör det därför inte finnas några begränsningar i vilka sökbegrepp som kan användas. Även av detta skäl finns det anledning att särskilt reglera hur känsliga personuppgifter får behandlas i Strada. Av 3 kap. 3 § tredje stycket dataskyddslagen framgår nämligen att om behandlingen sker med stöd av den bestämmelsen, är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet utgör en sådan skyddsåtgärd som avses i artikel 9.2 g i EU:s dataskyddsförordning. Att inte inskränka möjligheten att använda uppgifter om hälsa som sökbegrepp i Strada får dock anses motiverat av att kunna utnyttja databasen för trafiksäkerhetsändamål på ett effektivt sätt. En sådan ordning bedöms vara acceptabel med hänsyn till de andra åtgärder som ska vidtas för att skydda den personliga integriteten.

En bestämmelse om behandling av känsliga personuppgifter i Strada införs

Mot ovanstående bakgrund anser regeringen att behandlingen av känsliga personuppgifter i Strada bör regleras särskilt. En bestämmelse bör därför införas om att uppgifter om hälsa får behandlas i databasen och att dessa får användas som sökbegrepp. De hälsouppgifter som behandlas i databasen är uppgifter om skador som har följt på en trafikolycka, dvs. personskador. Regeringen bedömer att en sådan reglering uppfyller de särskilda krav som ställs i artikel 9.2 g och j för att få behandla uppgifter

om hälsa i databasen. Några andra känsliga personuppgifter än sådana som avser hälsa bör dock inte få behandlas i databasen.

Vidarebehandling av vissa uppgifter begränsas

Som anförs i avsnitt 6.7 anser regeringen att finalitetsprincipen bör utgöra den yttersta ramen för personuppgiftsbehandlingen i Strada. Integritetsskyddsmyndigheten har i sitt uttrande över utkastet till lagrådsremiss anfört att tillämpningen av finalitetsprincipen innebär att den ändamålsbestämmelse som föreslås inte utgör en sådan ändamålsbegränsning som kan ses som en skyddsåtgärd enligt EU:s dataskyddsförordning. Finalitetsprincipen innebär att personuppgifter bara får vidarebehandlas om behandlingen inte kan anses oförenlig med det ändamål för vilket uppgifterna samlades in. Mot bakgrund av Integritetsskyddsmyndighetens synpunkt finns det dock anledning att överväga om det bör införas någon ytterligare begränsning i rätten till vidarebehandling för att så långt som möjligt värna om den personliga integriteten. De personuppgifter som främst innebär en risk för den personliga integriteten utgörs av de uppgifter om hälsa som finns i databasen. I vissa fall finns även uppgift om misstänkt påverkan av alkohol eller andra ämnen. Även sådana uppgifter är integritetskänsliga. Regeringen bedömer därför att det är vidarebehandling av dessa uppgifter som i första hand kan anses utgöra en risk för att den enskildes integritet kränks. En begränsning av när dessa uppgifter får vidarebehandlas bör därför införas. I fråga om utformningen av en sådan begränsning kan det konstateras att det sedan den 1 juli 2020 i studiestödsdatalagen (2009:287) finns en bestämmelse som begränsar vidarebehandlingen av vissa uppgifter. Enligt 6 § tredje stycket i den lagen är vidarebehandling i enlighet med finalitetsprincipen av känsliga personuppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning tillåten endast om den är absolut nödvändigt för syftet med behandlingen. Artikel 10 i EU:s dataskyddsförordning innehåller en bestämmelse om att personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott endast får behandlas under vissa förutsättningar. Uppgifter om trafikolyckor och uppgifter om misstänkt påverkan av alkohol eller andra substanser skulle under vissa förhållanden kunna utgöra sådana uppgifter som omfattas av artikel 10 i EU:s dataskyddsförordning, dvs. uppgifter om lagöverträdelser som innefattar brott. Mot den bakgrunden bör den bestämmelse som nu föreslås om begränsning av vidarebehandling ha samma utformning som den aktuella bestämmelsen i studiestödsdatalagen. Formuleringen att behandlingen ska vara absolut nödvändig innebär inte att uppgifterna endast får behandlas i undantagsfall. Det innebär dock en markering att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda fallet (se prop. 2019/20:113 s. 29 och förarbetsuttalanden som det hänvisas till där). Förslaget utgör en begräsning av vilken ytterligare behandling som är tillåten, vilket får anses utgöra en sådan skyddsåtgärd som avses i EU:s dataskyddsförordning.

Hänvisningar till S6-9

6.10. Skyldighet att lämna uppgifter till Strada

Hänvisningar till S6-10

6.10.1. Vårdgivares rapportering bör göras obligatorisk

Regeringens bedömning: Vårdgivares rapportering bör göras obligatorisk.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna, däribland

Myndigheten för samhällsskydd och beredskap, Socialstyrelsen, Trafikanalys, Trafikverket, Transportstyrelsen, Statens väg- och transportforskningsinstitut, Chalmers tekniska högskola AB (SAFER), Nationalföreningen för trafiksäkerhetens främjande, Svensk Trafikmedicinsk Förening, Motorförarnas Helnykterhetsförbund, Sveriges Motorcyklister samt Göteborgs, Linköpings och Sollentuna kommuner ställer sig positiva till att vårdgivares rapportering till Strada görs obligatorisk. Sveriges Kommuner och Regioner (SKR) avstyrker förslaget och påpekar att en obligatorisk rapportering inte utgör någon garanti för kvalitetsförbättringar av innehållet i databasen. Även Region Norrbotten avstyrker förslaget med en obligatorisk rapportering eftersom det riskerar att bli administrativt betungande för en redan belastad akutsjukvård. Akademiska sjukhuset ser en risk med att göra rapporteringen till Strada obligatorisk, eftersom det kan medföra att Transportstyrelsen får monopol på vårdens skaderegistrering och därmed på vilka typer av skador som ska uppmärksammas och förebyggas.

Skälen för regeringens bedömning

Problem med dagens ordning

Till skillnad från vad som gäller för Polismyndigheten finns ingen författningsreglerad skyldighet för vårdinrättningar att rapportera uppgifter om olyckor. Rapporteringen bygger på överenskommelser mellan Transportstyrelsen och varje sjukhus, eller i vissa fall regionen, och att samtycke från patienten inhämtas.

Nyttan av de sjukhusrapporterade uppgifterna i Strada är omvittnat stor. Genom att sammanföra information från Polismyndigheten och sjukvården går det att få en mer komplett bild av de trafikanter som varit involverade i olyckor och bättre uppgifter om de skador som drabbar de inblandade. Detta resulterar i en mer korrekt information om de faktiska trafiksäkerhetsproblemen, vilket underlättar planering och prioritering för trafiksäkerhetsåtgärder. Genom att inkludera information från sjukvården har kvaliteten på uppgifterna och användbarheten av Strada ökat avsevärt. Det finns emellertid vissa problem med sjukvårdsrapporteringen enligt den nu gällande ordningen.

Systemet med individuella avtal som träffas mellan Transportstyrelsen och vårdinrättningarna innebär en tidskrävande administration, framför allt för Transportstyrelsen men även för respektive vårdinrättning. Den frivilliga grunden innebär också att avtal kan sägas upp, eller inte förlängas, vilket medför en osäkerhet om huruvida uppgiftsinsamlingen kan upprätthållas över tid. Ett annat problem är att antalet rapporter från sjukhusen varierar över året utan att detta synes ha sin grund i att antalet

olyckor varierar. Dessa förhållanden leder till att de sjukvårdsrapporterade uppgifterna inte håller tillräckligt hög kvalitet för att användas i vissa sammanhang. Här kan det särskilt framhållas att officiell statistik ska uppfylla vissa kvalitetskriterier enligt vad som anges i lagen (2001:99) om den officiella statistiken. På grund av de ovan påpekade bristerna är lagens krav på noggrannhet och jämförbarhet i uppgifterna från sjukvården inte uppfyllda. Vid framställningen av den officiella statistiken används därför enbart de uppgifter som rapporteras från Polismyndigheten, vilket bl.a. innebär att underlag för den officiella statistiken saknas för vissa trafikantkategorier.

Vårdgivares rapportering bör göras obligatorisk

Ett stort antal remissinstanser tillstyrker förslaget att det ska införas en skyldighet för vårdinrättningar att lämna uppgifter mot bakgrund av det stora mervärde som de sjukvårdsrapporterade uppgifterna tillför. Om rapporteringen från såväl Polismyndigheten som sjukvården vilar på obligatorisk grund, förbättras förutsättningarna för att uppnå en hög kvalitet på uppgifterna i Strada. En skyldighet att lämna uppgifter bör leda till att statistik kan skapas i tidsserier och att olycksutvecklingen över tid kan utvärderas på ett mer tillförlitligt sätt. Det faktum att Trafikanalys inte kan använda de sjukvårdsrapporterade uppgifterna som underlag för den officiella statistiken på transportområdet understryker enligt regeringens mening att grunden för rapporteringen behöver stärkas för att nyttan och användbarheten med databasen ska öka. En obligatorisk rapportering bedöms i förlängningen även gagna regionernas verksamhet, eftersom den förbättrar möjligheterna att förhindra olycksrelaterad ohälsa. Regeringen delar inte Akademiska sjukhusets farhåga att en rapporteringsskyldighet medför en monopolisering av vårdens skaderegistrering, eftersom medicinska data avseende patienter även behandlas hos vårdgivaren själv och i olika kvalitetsregister på sjukvårdsområdet.

Några remissinstanser, däribland Sveriges Kommuner och Regioner och

Region Norrbotten, avstyrker förslaget att göra rapporteringen obligatorisk. Ett av argumenten mot att införa en skyldighet att lämna uppgifter är att rapporteringen tar tid i anspråk från sjukhuspersonalen och att en sådan skyldighet därmed blir betungande för sjukvården. Regeringen konstaterar att de vårdinrättningar som rapporterar till Strada får ersättning från Transportstyrelsen för detta. Kompensationen bör uppväga för den arbetsbörda som en rapporteringsskyldighet medför. Ett par remissinstanser påpekar vidare att ett obligatorium inte med automatik löser alla brister vad gäller kvalitet och omfattning i rapporteringen. Enligt regeringens uppfattning bör dock en författningsreglerad skyldighet för vårdgivare att rapportera till Strada överlag bidra till en jämnare och mer fullständig rapportering. Regeringen är medveten om att en sådan skyldighet bör kompletteras med andra stödjande åtgärder för att förbättra underlaget i Strada. Regeringen ser därför positivt på det projekt om kvalitetsförbättrande åtgärder i rapporteringen som Transportstyrelsen driver och där berörda aktörer deltar.

Mot bakgrund av det ovanstående väger skälen för att införa en skyldighet för sjukvården att rapportera till Strada tyngre än de olägenheter som en sådan skyldighet kan medföra för de rapporterande enheterna.

Sjukvårdens rapportering bör därför göras obligatorisk. I följande avsnitt behandlas de rättsliga förutsättningarna för detta.

Hänvisningar till S6-10-1

6.10.2. Vårdgivares uppgiftsskyldighet

Regeringens förslag: Vårdgivare som ger akutsjukvård och vars verksamhet innefattar ortopedi eller kirurgi ska till databasen lämna uppgifter som rör samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Justitiekanslern lyfter frågan om konsekvenserna för den personliga integriteten av förslaget att ta bort kravet på samtycke men finner inte anledning att invända mot förslaget. Integritetsskyddsmyndigheten ifrågasätter att införandet av en uppgiftsskyldighet skapar ett rättsligt stöd för vårdgivaren att behandla personuppgifter som ska rapporteras till Strada och anmärker att det inte framgår hur vårdgivaren ska kunna utföra insamlingen av vissa uppgifter utan patientens medverkan. Även Transportstyrelsen efterfrågar ytterligare analys av uppgiftsskyldighetens förenlighet med dataskyddsregleringen i övrigt. Transportstyrelsen anser vidare att myndigheten bör ges möjlighet att vid vite förelägga vårdgivare och Polismyndigheten att rapportera uppgifter.

Skälen för regeringens förslag

Tillämpliga sekretessbestämmelser och möjligheten att bryta sekretess

Uppgifter inom hälso- och sjukvården som rör en enskilds hälsotillstånd eller andra personliga förhållanden är sekretessreglerade. När det gäller offentligt bedriven verksamhet finns bestämmelser om sekretess till skydd för enskilds personliga eller ekonomiska förhållanden i 21–43 kap. OSL. I 21 kap. OSL finns bestämmelser om sekretess som utgör ett minimiskydd för en enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. I 25 kap. OSL finns bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård m.m. Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Bestämmelsen har ett omvänt skaderekvisit, dvs. det råder en presumtion för sekretess.

Enligt 8 kap. 1 § OSL får uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Det förekommer situationer när andra myndigheters eller enskildas intresse av att ta del av

en sekretessbelagd uppgift väger tyngre än det intresse som sekretessen ska skydda. I OSL finns därför särskilda sekretessbrytande bestämmelser, som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar. Den enskilde har bl.a. vissa möjligheter att förfoga över sekretessreglerade uppgifter om sig själv. Av 10 kap. 1 § och 12 kap. 2 § OSL framgår nämligen att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det. Några sekretessbrytande bestämmelser i OSL som är tillämpliga för vårdgivare vid en obligatorisk rapportering till Strada finns därmed inte. För att möjliggöra att sekretessbelagda uppgifter ska kunna lämnas ut oberoende av samtycke behöver därför en sekretessbrytande bestämmelse införas. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Det är alltså möjligt att i den nu föreslagna lagen införa en uppgiftsskyldighet för vårdgivare som innebär att sekretessen bryts.

Regleringen i OSL gäller inte för enskild hälso- och sjukvård. Bestämmelser om tystnadsplikt för personal inom enskild hälso- och sjukvård finns i 6 kap. patientsäkerhetslagen (2010:659). Enligt 6 kap. 12 § patientsäkerhetslagen får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Samma bestämmelse anger dock att det inte anses som obehörigt röjande om sådan uppgiftsskyldighet som följer av lag eller förordning fullgörs. En författningsreglerad uppgiftsskyldighet innebär alltså att tystnadsplikten inte hindrar ett utlämnande av uppgifter från de enskilda vårdgivarna till Strada.

Intresseavvägning vid införande av en sekretessbrytande uppgiftsskyldighet

En skyldighet för vårdgivare att rapportera till Strada innebär att rapportering ska ske oavsett om patienten har samtyckt eller inte. Innan en uppgiftsskyldighet införs måste emellertid en intresseavvägning göras mellan behovet av att utbyta uppgifter och det intresse som sekretessbestämmelserna avser att skydda. De nu aktuella bestämmelserna om sekretess för uppgift som rör en enskilds hälsa eller sexualliv och för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden inom hälso- och sjukvårdssekretess respektive tystnadsplikt för personalen inom den enskilda hälso- och sjukvården är ämnade att skydda den enskildes integritet. En rapporteringsskyldighet bör därför införas först om det bedöms att det intrång i den personliga integriteten som detta innebär uppvägs av behovet av att samla de aktuella personuppgifterna i databasen.

Som framgår ovan är nyttan med de sjukvårdsrapporterade uppgifterna stor och det finns ett stort samhälleligt intresse av att sådana uppgifter rapporteras till databasen. Uppgifterna i Strada används inom en rad trafiksäkerhetsrelaterade områden. Uppgifterna används dock inte för att fatta beslut riktade mot den enskilde. I anslutning till att uppgifterna kommer in till Transportstyrelsen pseudonymiseras de. Detta innebär i sig ett starkt skydd för den personliga integriteten. Även det sekretesskydd

som uppgifterna kommer att få hos mottagaren är av betydelse. Som redogörs för i avsnitt 6.12 omfattas uppgifterna i Strada av statistiksekretess enligt 24 kap. 8 § OSL. Sekretessregleringen innebär alltså att uppgifterna hos Transportstyrelsen omfattas av ett starkt sekretesskydd. I den mån uppgifter som är hänförliga till en enskild lämnas ut från Strada till andra myndigheter omfattas de av sekretess även hos mottagarna. Även andra skyddsmekanismer kommer att omgärda behandlingen av de aktuella uppgifterna (se bl.a. avsnitt 6.9 för en sammanfattning av dessa).

Regeringen finner vid en samlad bedömning att allmänintresset av att säkerställa ett kunskapsunderlag med hög kvalitet ägnat att förbättra trafiksäkerheten väger tyngre än det intrång i den personliga integriteten som en obligatorisk rapportering innebär. En sekretessbrytande skyldighet för vårdgivare att lämna uppgifter till Strada bör därför införas i den föreslagna lagen.

Utformningen av uppgiftsskyldigheten

När det gäller vem som ska vara skyldig att lämna informationen är det enligt den nuvarande ordningen vissa offentliga och privata vårdinrättningar som rapporterar till Strada. I många författningar används uttrycket vårdgivare. Samma uttryck bör användas i den nu föreslagna lagen. Gemensamt för de vårdgivare som rapporterar till Strada är att de tar emot patienter akut och har ortopedi eller kirurgi i sin verksamhet. För att få till stånd ett än mer heltäckande underlag anför Polismyndigheten i sitt remissyttrande att även andra vårdgivare inom ortopedi eller kirurgi bör rapportera till Strada. Vidare anser Polismyndigheten, i likhet med

Myndigheten för samhällsskydd och beredskap, att databasen bör kompletteras med uppgifter även från annat håll, t.ex. från den kommunala räddningstjänsten. Regeringen delar uppfattningen att flera aktörer kan behöva involveras för att lämna uppgifter till databasen. I detta lagstiftningsärende saknas emellertid beredningsunderlag för att utöka kretsen av uppgiftslämnare. Det kan finnas skäl att återkomma till denna fråga men i nuläget är regeringens utgångspunkt att samma krets av aktörer som i dag rapporterar ska omfattas av den uppgiftsskyldighet som föreslås i lagen. Det sagda innebär att uppgiftsskyldigheten bör omfatta de vårdgivare som ger akutsjukvård och som har ortopedi eller kirurgi i sin verksamhet. För den offentliga vården ska skyldigheten fullgöras av den region eller den kommun som ansvarar för att erbjuda hälso- och sjukvård.

För den privata vården är det den enskilda vårdgivaren som blir uppgiftsskyldig.

I fråga om vilka uppgifter som ska omfattas av uppgiftsskyldigheten kan det konstateras att vårdgivarna i dag lämnar uppgifter om personer som söker vård till följd av en olycka som uppstått i vägtrafiken eller med ett terrängmotorfordon. Avsikten är att sjukvårdens rapportering alltjämt ska avse sådana olyckor. I avsnitt 6.4 gör regeringen bedömningen att databasen även bör innehålla uppgift om olyckor och skador som uppstått inom fritidssjöfarten. Vårdgivares uppgiftsskyldighet bör därmed även omfatta uppgifter om personer som söker vård till följd av en sådan olycka. Till skillnad från Transportstyrelsen anser regeringen inte att det finns skäl att införa en möjlighet för Transportstyrelsen att vid vite kunna förelägga uppgiftslämnarna att rapportera in uppgifter. Regler om ersättning från

Transportstyrelsen till vårdgivarna för deras rapportering bör föreskrivas på lägre normgivningsnivå än lag.

Integritetsskyddsmyndigheten menar att det i lag eller förordning måste anges exakt vilka personuppgifter som får samlas in. I avsnitt 6.8 förslås att det i lagen införs en bestämmelse om vilka uppgifter databasen får innehålla, nämligen uppgifter med anknytning till de olyckor som avses i lagen och om personer som varit involverade i olyckan. Regeringen avser också att i förordning ange vilka närmare kategorier av uppgifter som får behandlas. En reglering i förordning av vilka kategorier av uppgifter som får behandlas i databasen utgör också en begränsning av vilka uppgifter som får samlas in. Någon ytterligare reglering i det avseendet är därför inte nödvändig.

Det rättsliga stödet för vårdgivares insamling av personuppgifter Integritetsskyddsmyndigheten ifrågasätter om en uppgiftsskyldighet skapar ett rättsligt stöd för vårdgivaren att behandla personuppgifter som ska rapporteras till Strada. När det gäller vårdgivares behandling av personuppgifter i allmänhet redogörs det i propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning för de rättsliga grunder som kan finnas för personuppgiftsbehandlingen i berörda verksamheter (prop. 2017/18:171 s. 76 f.). Patientdatalagen (2008:355) gäller vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Såväl offentliga som enskilda vårdgivares personuppgiftsbehandling omfattas av lagen. Lagen har anpassats till EU:s dataskyddsförordning och kompletterar den förordningen och dataskyddslagen.

De uppgifter om skador som vårdgivare rapporterar till Strada baseras på patientjournalen. Vårdgivare har stöd för att samla in sådana uppgifter. Därutöver rapporteras vissa uppgifter om själva olyckan, vilka inhämtas direkt från den patient som söker vård. Det rör sig om uppgifter om bl.a. var och när olyckan inträffade, på vilken typ av väg eller plats olyckan skett, vilka vägomständigheter som rådde och vilken typ av trafikant patienten var vid olyckan. När det gäller sådana uppgifter ifrågasätter Integritetsskyddsmyndigheten om det finns stöd för insamling av uppgifterna mot bakgrund av att dessa normalt sett inte behövs i vårdgivarnas egen verksamhet. Regeringen konstaterar att det av 2 kap. 4 § 3 patientdatalagen framgår att personuppgifter får behandlas inte bara för att fullfölja skyldigheten att föra patientjournal och för att upprätta annan dokumentation som behövs i och för vården av patienten utan också för att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Av förarbetena till patientdatalagen framgår att bestämmelsen tar sikte på situationer där vårdgivaren behöver utforma dokumentationen utifrån hur en författningsreglerad uppgiftsskyldighet ska fullgöras och där man inte kan tala om en ren ”återanvändning” av för andra ändamål redan insamlade personuppgifter. Denna bestämmelse reglerar alltså andra situationer än sådana där det är fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Utlämnande av sådana uppgifter regleras nämligen i 2 kap. 5 § patientdatalagen (se prop. 2007/08:126 s. 57 och 228 f.). En författningsreglerad skyldighet för vårdgivare att rapportera uppgifter till databasen innebär därmed att det finns rättslig grund för den behandling som vårdgivare utför vid insam-

lingen av sådana uppgifter, även om uppgifterna inte behövs i vårdgivarens egen verksamhet. Någon ytterligare reglering i detta avseende bedöms därför inte som nödvändig. Det kan tilläggas att det saknas möjlighet att framtvinga uppgifter från patienten men att det enligt promemorian endast är ett fåtal patienter som inte medverkar till att lämna sådana uppgifter genom att fylla i en trafikskadejournal. Patienten kommer även i fortsättningen att frivilligt behöva medverka till att lämna de nu aktuella uppgifterna. Enligt Lagrådet bör vårdgivaren ha en skyldighet att upplysa patienten om att de uppgifter om olyckan som han eller hon lämnar till vårdgivaren, men som alltså inte behövs i vårdgivarens verksamhet, kommer att lämnas vidare till databasen. Regeringen instämmer i att det är rimligt att patienten upplyses om att de uppgifter som lämnas i trafikskadejournalen behövs för trafiksäkerhetsändamål och kommer att behandlas i en databas för detta syfte. I dag får patienten upplysningar om detta bl.a. genom information i den trafikskadejournal som patienten fyller i. Materialet är utformat av Transportstyrelsen. Någon särskild reglering i detta avseende bedöms därför i nuläget inte vara nödvändig.

Vårdgivares rapportering av personuppgifter till Strada

När det gäller den personuppgiftsbehandling som sker när vårdgivare rapporterar till databasen är en författningsreglerad rapporteringsskyldighet en sådan rättslig förpliktelse som enligt artikel 6.1 c och 6.3 i EU:s dataskyddsförordning är fastställd i rättsordningen. I fråga om känsliga personuppgifter gör regeringen i avsnitt 6.9 bedömningen att behandlingen av uppgifter om hälsa i Strada är nödvändig av hänsyn till ett viktigt allmänt intresse. Mot bakgrund av vad som anförs i avsnitt 6.10.1 om behovet av att få sådana uppgifter från vårdgivarna för att databasen ska kunna utgöra ett sådant kunskapsunderlag som behövs för att öka trafiksäkerheten gör regeringen bedömningen att även den behandling av hälsouppgifter som ett uppgiftslämnande till databasen innebär får anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen.

För att behandlingen av känsliga personuppgifter ska stå i överensstämmelse med dataskyddsförordningen krävs även att regleringen står i proportion till det eftersträvade syftet och innehåller bestämmelser om skyddsåtgärder. Regeringen har i avsnitt 6.1 redogjort för sina överväganden när det gäller om den föreslagna regleringen är proportionerlig. Mot bakgrund av den nytta som Strada medför och med beaktande av de skyddsåtgärder som kommer att gälla är regeringens uppfattning att personuppgiftsbehandlingen i databasen sammantaget är proportionerlig. Detta gäller även den behandling som sker när vårdgivare till databasen lämnar uppgifter om de skador som har följt på en trafikolycka. Sammantaget bedöms att en bestämmelse om en skyldighet för vårdgivare att rapportera uppgifter om olyckor och trafikrelaterade skador till databasen uppfyller kraven i EU:s dataskyddsförordning.

Hänvisningar till S6-10-2

6.10.3. Polismyndighetens uppgiftsskyldighet

Regeringens förslag: Polismyndigheten ska till databasen lämna uppgifter om en sådan vägtrafikolycka, olycka med terrängmotorfordon och olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås uppgiftsskyldigheten vara begränsad till olyckor som medfört svår kroppsskada eller dödsfall när det gäller olyckor med fritidsfartyg.

Remissinstanserna: Justitiekanslern anser att ytterligare analys krävs av bedömningen att polisdatalagen möjliggör den behandling av känsliga personuppgifter som Polismyndighetens rapportering till Strada innebär.

Integritetsskyddsmyndigheten ifrågasätter slutsatsen att en uppgiftsskyldighet skapar rättsligt stöd för Polismyndigheten att behandla personuppgifter som ska rapporteras till Strada, då en uppgiftsskyldighet enbart innebär att uppgifter som redan behandlas i verksamheten ska lämnas ut. Polismyndigheten har synpunkter på de tidsfrister för rapportering som föreslås i promemorians lagförslag.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, anser att 3 kap. 3 § dataskyddslagen inte är tillämplig på Polismyndighetens behandling av personuppgifter för Strada och menar att stödet för Polismyndighetens insamling behöver klargöras.

Skälen för regeringens förslag

Polismyndighetens nuvarande rapportering

Polismyndighetens skyldighet att rapportera vägtrafikolyckor till Transportstyrelsen framgår av kungörelsen (1965:561) om statistiska uppgifter angående vägtrafikolyckor. Även olyckor i terräng med terrängskoter rapporteras in om de involverat ett fordon i rörelse och medfört en personskada eller ett dödsfall. Denna rapportering sker enligt ett avtal mellan Transportstyrelsen och Polismyndigheten. När det gäller olyckor med fritidsfartyg finns en skyldighet att underrätta Transportstyrelsen om olyckan enligt 21 § andra stycket förordningen (1990:717) om undersökning av olyckor.

Polismyndighetens rapportering innefattar uppgifter om själva olyckan och dess förlopp och härrör från den information som samlats in av den polisman som kallats till olycksplatsen eller den information som kommit in genom en polisanmälan.

Polismyndighetens nuvarande uppgiftsskyldigheter förs över till den nya lagen

Polismyndighetens skyldighet att rapportera uppgifter om olyckor bör i enlighet med den bedömning som görs i avsnitt 6.1 fortsättningsvis placeras i den föreslagna lagen.

De uppgifter som rapporteras kan i vissa fall omfattas av sekretess hos Polismyndigheten. De ovan nämnda befintliga bestämmelserna om skyldighet för Polismyndigheten att lämna uppgifter om vägtrafikolyckor respektive olyckor med fritidssjöfart utgör emellertid sådana bestäm-

melser om uppgiftsskyldighet som enligt 10 kap. 28 § OSL bryter sekretess. Något hinder mot att dessa uppgifter lämnas ut finns därför inte. Detsamma kommer att gälla sedan förordningsbestämmelserna förts över till den nya lagen.

En ny uppgiftsskyldighet avseende olyckor med terrängmotorfordon

I promemorian föreslås även en skyldighet för Polismyndigheten att lämna uppgifter om olyckor med terrängmotorfordon. Detta går utöver den befintliga författningsreglerade uppgiftsskyldigheten.

De uppgifter som samlas in av Polismyndigheten vid en olycka är i första hand en beskrivning av händelseförloppet och uppgifter om tid och plats för själva olyckan, vilka fordon och trafikanter som varit inblandade och om personskada eller dödsfall har inträffat. Flera sekretessbestämmelser kan bli tillämpliga på de aktuella uppgifterna. När det gäller uppgift som hänför sig till förundersökning i brottmål gäller sekretess enligt 18 kap. 1 § OSL, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. När det gäller uppgift om enskilds personliga förhållanden gäller sekretess enligt 21 kap. 1 § OSL för uppgift som rör en enskilds hälsa om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Av 35 kap. 1 § framgår även att sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden och som förekommer bl.a. i förundersökning i brottmål, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men.

Den rapportering av uppgifter som sker till Strada bedöms inte innebära att sådan skada som avses i 18 kap. 1 § OSL kan uppkomma. Däremot omfattas uppgifter om hälsa av sekretesskyddet i 21 kap. 1 § OSL. Likaså bör uppgifterna som regel omfattas av sekretess enligt 35 kap. 1 § OSL. I likhet med vad som gäller för de uppgifter som hanteras av sjukvården är dessa sekretessbestämmelser ämnade att skydda den enskildes integritet. Frågan är då om den utvidgning av Polismyndighetens uppgiftsskyldighet som en rapportering av olyckor med terrängmotorfordon innebär är motiverad med hänsyn till den avvägning som ska göras mellan behovet av att utbyta uppgifter och den enskildes personliga integritet. Regeringen redogör i avsnitt 6.10.1 och 6.10.2 för sina överväganden i fråga om uppgiftsskyldigheten för vårdgivare. Motsvarande resonemang gör sig gällande i fråga om en utvidgning av Polismyndighetens uppgiftsskyldighet. Sammantaget finner regeringen att allmänintresset av att säkerställa ett kunskapsunderlag ägnat att förbättra trafiksäkerheten för trafik med terrängmotorfordon väger tyngre än det intrång i den personliga integriteten som en sådan underrättelseskyldighet innebär. En sekretessbrytande skyldighet för Polismyndigheten att lämna uppgifter även om sådana olyckor bör därför införas i den föreslagna lagen.

Utformningen av uppgiftsskyldigheten

I promemorian föreslås Polismyndighetens uppgiftsskyldighet regleras genom tre olika bestämmelser som – med tillägg för skyldigheten att även rapportera olyckor med terrängmotorfordon – i princip oförändrade har förts över från de befintliga förordningarna. Som Justitiekanslern påpekar

är bestämmelserna som gäller Polismyndighetens rapportering utformade på olika sätt såväl sinsemellan som i förhållande till bestämmelsen om vårdgivarnas rapportering. Även Polismyndigheten anmärker att bestämmelsernas utformning bör justeras när det gäller de tidsgränser som anges för rapporteringen.

De tidsfrister som ska gälla för rapporteringen kan anges på lägre föreskriftsnivå än lag. Regeringen instämmer i Justitiekanslerns synpunkt att de olika bestämmelserna bör utformas på ett så enhetligt sätt som möjligt. Det kan konstateras att uppgiftsskyldigheten i fråga om olyckor med fritidsfartyg i promemorians förslag begränsats till sådana olyckor som medfört svår kroppsskada eller dödsfall. När det gäller vägtrafikolyckor och olyckor med terrängmotorfordon föreslås dock att rapportering ska ske om olyckan medfört personskada eller dödsfall. Regeringen ser inte att det är motiverat med en sådan skillnad. Sammanfattningsvis bör det i lagen föras in en skyldighet för Polismyndigheten att till databasen lämna uppgifter om sådana vägtrafikolyckor, olyckor med terrängmotorfordon och olyckor med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

Polismyndighetens insamling av personuppgifter i samband med olyckor

Några remissinstanser för fram betänkligheter kring hur Polismyndighetens rapportering förhåller sig till den dataskyddsreglering som gäller för myndigheten. EU:s dataskyddsreform omfattar förutom EU:s dataskyddsförordning även Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet). Dataskyddsförordningen ska inte tillämpas på personuppgiftsbehandling som utförs av behöriga myndigheter för att bl.a. utreda eller lagföra brott. På detta område gäller i stället det nämnda direktivet. Direktivet har genomförts i huvudsak genom brottsdatalagen (2018:1177). Avgörande för om brottsdatalagen är tillämplig på viss personuppgiftsbehandling är dels för vilket syfte behandlingen utförs, dels om det är en behörig myndighet som utför behandlingen. Om en behörig myndighet behandlar personuppgifter för de syften som anges i brottsdatalagen är lagen tillämplig, oavsett om behandlingen endast utförs i ringa omfattning eller under kort tid. Om behandling av personuppgifter därefter utförs i ett annat syfte, dvs. ett syfte som inte omfattas av brottsdatalagens tillämpningsområde, ska lagen inte längre tillämpas (se prop. 2017/18:232 s. 92 och 113).

Brottsdatalagen är subsidiär i förhållande till annan lag eller förordning som innehåller bestämmelser som avviker från brottsdatalagen. För flera av de myndigheter som ska tillämpa brottsdatalagen finns registerförfattningar som kompletterar brottsdatalagens bestämmelser. För Polismyndigheten gäller lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag).

Enligt 1 kap 1 § polisens brottsdatalag gäller lagen om personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla

allmän ordning och säkerhet. Enligt 2 kap. 1 § samma lag får Polismyndigheten behandla personuppgifter om det är nödvändigt bl.a. för att myndigheten ska kunna utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.

När en trafikolycka inträffat samlar polisen in uppgifter om själva olyckan och om de personer som varit inblandade i olyckan. Även uppgifter om huruvida det finns misstanke om påverkan av alkohol eller annat ämne samt uppgift om huruvida någon avlidit eller drabbats av en allvarlig eller lindrig skada antecknas. Enligt 2 kap. 11 § första stycket brottsdatalagen får känsliga personuppgifter inte behandlas. Av paragrafens andra stycke framgår dock att om uppgifter om en person behandlas får de kompletteras med t.ex. uppgifter om hälsa om det är absolut nödvändigt för ändamålet med behandlingen. De uppgifter som samlas in i samband med en trafikolycka får anses vara absolut nödvändiga för ändamålet att utreda och lagföra brott, eftersom sådana uppgifter kan vara avgörande bl.a. för att bedöma ett brotts allvarlighetsgrad.

Den insamling av personuppgifter som görs av polisen vid en olycka får ofta anses ske i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. I dessa fall är brottsdatalagen och polisens brottsdatalag tillämpliga och insamlingen sker då med stöd av denna reglering.

Integritetsskyddsmyndigheten ifrågasätter om de uppgifter som

Polismyndigheten samlar in och behandlar till följd av en trafikolycka alltid utförs i brottsutredande syfte. Det skulle möjligen kunna finnas tillfällen då Polismyndighetens närvaro vid en trafikolycksplats och insamling av personuppgifter inte har till syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Det skulle t.ex. kunna handla om vissa fall av rent hjälpande verksamhet, jfr 2 § 4 polislagen (1984:387). I sådana fall är inte brottsdatalagen eller polisens brottsdatalag tillämpliga, vilket innebär att den behandling av personuppgifter som då sker måste ha stöd i EU:s dataskyddsförordning. I den utsträckning Polismyndigheten i dessa fall samlar in personuppgifter bör stöd för behandlingen kunna sökas i artikel 6.1 e i EU:s dataskyddsförordning, dvs. att behandlingen är nödvändig för att fullgöra de uppgifter av allmänt intresse som följer av t.ex. 2 § 4 polislagen. När det gäller känsliga personuppgifter kan insamling ske om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. I avsaknad av sektorsspecifik reglering avseende behandling av känsliga personuppgifter kan stöd för sådan behandling sökas i 3 kap. 3 § dataskyddslagen. Enligt den bestämmelsen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen bl.a. om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. De uppgifter som rapporteras till Strada är sådana som Polismyndigheten samlar in för egna ändamål. Den föreslagna regleringen innebär ingen skyldighet för Polismyndigheten att inhämta uppgifter enbart för att rapportera dessa till Strada. I den utsträckning det behövs för Polismyndighetens arbete bör dock sådana allmänna uppgifter om huruvida en trafikant har skadats allvarligt eller lindrigt kunna behandlas med stöd av denna bestämmelse.

Sammanfattningsvis anser regeringen, till skillnad från Integritetsskyddsmyndigheten, att det inte behövs någon ytterligare reglering av Polismyndighetens insamling av uppgifter.

Polismyndighetens rapportering av personuppgifter till Strada

När Polismyndigheten behandlar personuppgifter genom att lämna sådana uppgifter till Strada faller ändamålet med den behandlingen utanför brottsdatalagens tillämpningsområde. Behandling av personuppgifter för nya ändamål utanför brottsdatalagens tillämpningsområde regleras i 2 kap. 22 § brottsdatalagen. Enligt första stycket i paragrafen ska det innan personuppgifter som behandlas med stöd av brottsdatalagen behandlas för ett ändamål utanför lagens tillämpningsområde säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Av andra stycket framgår dock att i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning enligt första stycket inte göras. Enligt vad som beskrivs ovan har Polismyndigheten i dag förordningsreglerade skyldigheter att rapportera uppgifter om vägtrafikolyckor och olyckor med fritidsfartyg. Enligt förslaget i promemorian ska dessa skyldigheter föras över till den nya lagen och kompletteras med en skyldighet att även rapportera olyckor med terrängmotorfordon. En sådan reglering innebär alltså att Polismyndigheten inte ska göra någon prövning av om den behandling som rapporteringen till Strada innebär är nödvändig och proportionerlig. Regeringen har i avsnitt 6.1 gjort bedömningen att personuppgiftsbehandlingen i databasen är nödvändig och proportionerlig. Bedömningen inbegriper den behandling som sker när Polismyndigheten rapporterar uppgifter till Strada.

Att dataskyddsförordningen ska tillämpas när Polismyndigheten rapporterar till Strada innebär att det ska finnas en rättslig grund för den behandlingen enligt artikel 6.1 i EU:s dataskyddsförordning. En i författning fastslagen skyldighet att lämna uppgifter innebär att det finns en sådan rättslig förpliktelse som är fastställd i rättsordningen enligt artikel 6.1 c och 6.3 i dataskyddsförordningen. Polismyndighetens rapportering innebär även viss behandling av känsliga personuppgifter. I likhet med vårdgivares rapportering får Polismyndighetens rapportering i detta avseende anses nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning. När det gäller de övriga krav som ska vara uppfyllda hänvisas till den bedömning som görs i avsnitt 6.10.2 i fråga om förenligheten av den där föreslagna uppgiftsskyldigheten med dataskyddsförordningen. Regeringen bedömer också att den aktuella behandlingen är proportionerlig. En sådan rapporteringsskyldighet för Polismyndigheten som nu är aktuell uppfyller därmed kraven enligt artikel 6.1 c, 6.3 och 9.2 g i dataskyddsförordningen.

Hänvisningar till S6-10-3

6.10.4. Kustbevakningens uppgiftsskyldighet

Regeringens förslag: Kustbevakningen ska till databasen lämna uppgifter om en sådan olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att även Tullverket ska rapportera olyckor med fritidsfartyg till databasen. I promemorian föreslås uppgiftsskyldigheten vidare vara begränsad till olyckor som medfört svår kroppsskada eller dödsfall.

Remissinstanserna: Kustbevakningen har inget att invända mot förslaget men noterar att promemorian inte innehåller någon redovisning av hur inrapporteringen ska gå till i praktiken. Tullverket ifrågasätter om verket bör omfattas av skyldigheten att rapportera olyckor till Strada.

Skälen för regeringens förslag

Kustbevakningens och Tullverkets nuvarande uppgiftsskyldighet

Kustbevakningen och Tullverket har i dag skyldighet att underrätta Transportstyrelsen om olyckor med fritidsfartyg enligt 21 § andra och tredje styckena förordningen om undersökning av olyckor. Myndigheterna ska enligt förordningen underrätta Transportstyrelsen om sådana olyckor med ett fritidsfartyg som de fått kännedom om och där olyckan har medfört att någon har avlidit eller drabbats av svår kroppsskada. I promemorian föreslås att bägge myndigheterna ska rapportera olyckor med fritidsfartyg till Strada.

Kustbevakningens uppgiftsskyldighet förs över till den nya lagen Tullverket ifrågasätter om verket bör omfattas av skyldigheten att rapportera till Strada, bl.a. med hänsyn till att antalet olyckor som

Tullverket kan väntas få kännedom om torde vara litet och att verket vid sådana händelser ändå kontaktar Polismyndigheten och Kustbevakningen. Regeringen instämmer i att Polismyndigheten och Kustbevakningen har uppdrag som närmare ansluter till uppgiften att rapportera olyckor och att de olyckor som inträffar med fritidsfartyg därmed fångas upp av dessa myndigheter. Något behov av att även Tullverket ska rapportera sådana uppgifter till Strada finns inte.

De uppgifter som samlas in av Kustbevakningen i samband med en olycka kan i vissa fall omfattas av sekretess. Den befintliga bestämmelsen i förordningen om undersökning av olyckor om skyldighet för Kustbevakningen att underrätta Transportstyrelsen om en olycka med fritidsfartyg utgör dock en sådan bestämmelse om uppgiftsskyldighet som enligt 10 kap. 28 § OSL bryter sekretess. Denna uppgiftsskyldighet bör i enlighet med den bedömning som görs i avsnitt 6.1 lyftas över till den nya lagen. Bestämmelsen bör utformas på samma sätt som den som föreslås gälla för Polismyndigheten. Det bör alltså föras in en bestämmelse i den nya lagen om att Kustbevakningen till databasen ska lämna uppgifter om sådana olyckor med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall. Med anledning av Kustbevakningens remissynpunkt om rapporteringen kan det nämnas att de

föreskrifter som enligt avsnitt 6.10.5 kan meddelas i fråga om uppgiftsskyldigheten bl.a. kan behandla hur rapporteringen praktiskt ska ombesörjas.

Kustbevakningens insamling av personuppgifter

Av vad som framgår av förordningen (2019:84) med instruktion för Kustbevakningen har myndigheten till uppgift att bedriva sjöövervakning och utföra räddningstjänst till sjöss. Inom ramen för sjöövervakningen har myndigheten bl.a. till uppgift att självständigt ansvara för eller biträda en annan myndighet med brottsbekämpning och ordningshållning samt att utöva tillsyn över och kontroll av sjötrafiken. De uppgifter som samlas in av Kustbevakningen i samband med en sjötrafikolycka motsvarar i princip de uppgifter som Polismyndigheten samlar in enligt vad som beskrivs i avsnitt 6.10.3. När det gäller Kustbevakningens personuppgiftsbehandling gäller, i likhet med Polismyndighetens behandling, olika regelverk beroende på i vilket syfte behandlingen utförs. Det innebär att brottsdatalagen är tillämplig när Kustbevakningen behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Vid sådan behandling gäller även lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Kustbevakningens brottsdatalag har, för den behandling av personuppgifter som nu är aktuell, bestämmelser som motsvarar polisens brottsdatalag. Regeringen gör samma bedömning som den som redovisas i avsnitt 6.10.3 i fråga om Polismyndigheten när det gäller tillåtligheten av Kustbevakningens personuppgiftsbehandling vid insamling av uppgifter som rör olyckor med fritidsfartyg, i den utsträckning sådan behandling sker i brottsutredande syfte.

När Kustbevakningen behandlar personuppgifter för andra syften än brottsbekämpning är EU:s dataskyddsförordning tillämplig. Särskilda bestämmelser om sådan personuppgiftsbehandling som omfattas av dataskyddsförordningens tillämpningsområde finns i kustbevakningsdatalagen (2019:429). Lagen gäller bl.a. vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör sjöövervakning och räddningstjänst, när behandlingen inte omfattas av Kustbevakningens brottsdatalag. Enligt 7 § kustbevakningsdatalagen får personuppgifter behandlas om det är nödvändigt för att bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra eller om det är nödvändigt för att bedriva räddningstjänst. Den insamling av personuppgifter som Kustbevakningen utför i samband med en olycka med fritidsfartyg sker många gånger för dessa ändamål. Enligt 12 § kustbevakningsdatalagen får, om uppgifter om en person behandlas, uppgiften kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen. I likhet med vad som gäller vid Polismyndighetens insamling av uppgifter kan sådana grundläggande uppgifter om huruvida olyckan lett till en allvarlig eller lindrig kroppsskada anses vara absolut nödvändig för de syften Kustbevakningen behandlar personuppgifterna för. Någon ytterligare reglering gällande

Kustbevakningens personuppgiftsbehandling vid insamling av uppgifter bedöms inte vara nödvändig.

Kustbevakningens rapportering av personuppgifter till Strada

När det gäller Kustbevakningens rapportering av uppgifter till Strada gör regeringen i övrigt samma bedömning i fråga om förenligheten med dataskyddsregleringen som den som görs i fråga om Polismyndighetens (se avsnitt 6.10.3).

Hänvisningar till S6-10-4

6.10.5. Föreskrifter om uppgiftsskyldighet

Regeringens förslag: En upplysningsbestämmelse ska införas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om uppgiftsskyldigheterna.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Akademiska sjukhuset ifrågasätter om andra myndigheter än Socialstyrelsen ska kunna utfärda föreskrifter som rör sjukvården och anser att Transportstyrelsen inte bör ges denna möjlighet.

Skälen för regeringens förslag: Närmare bestämmelser om vårdgivares, Polismyndighetens och Kustbevakningens uppgiftsskyldigheter kan behöva meddelas. Sådana föreskrifter kan avse när och hur uppgiftslämnande ska ske. Föreskrifterna kan meddelas i form av verkställighetsföreskrifter. En bestämmelse som upplyser om detta bör tas in i lagen.

Vilken myndighet som eventuellt ska kunna meddela föreskrifter av detta slag kan regleras i förordning.

Hänvisningar till S6-10-5

6.11. Personuppgifter ska pseudonymiseras

Regeringens förslag: Personuppgifter i databasen ska vara pseudonymiserade. Transportstyrelsen ska dock i ett enskilt fall få vidta åtgärder för att personuppgifter åter ska bli direkt hänförliga till enskilda registrerade, om det är absolut nödvändigt för

att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga,

forskning som avser trafiksäkerhet, eller att Transportstyrelsen ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås inte att åtgärder för att personuppgifter ska kunna tillskrivas enskilda registrerade ska få vidtas för att säkerställa riktigheten i underlag till officiell statistik.

Remissinstanserna: Integritetsskyddsmyndigheten anser att det utifrån vad som anges i promemorian inte är möjligt att bedöma om de åtgärder som beskrivs innebär att personuppgifterna är pseudonymiserade i enlighet med dataskyddsförordningens definition. Integritetsskyddsmyndigheten anser vidare att om begreppet införs i nationell rätt måste det

noggrant analyseras vilka krav som uppställs enligt förordningen för att personuppgifter ska anses vara pseudonymiserade. Transportstyrelsen ställer frågan om bestämmelsen i stället bör ange när personnummer eller samordningsnummer får behandlas i databasen och framhåller att så även är fallet i samband med att myndigheten ska tillhandahålla uppgifter till den officiella statistiken.

Skälen för regeringens förslag: I EU:s dataskyddsförordning framhålls att det i vissa fall bör eller ska finnas skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Förordningen lyfter i flera bestämmelser fram pseudonymisering som en sådan skyddsåtgärd.

Enligt skäl 28 kan tillämpningen av pseudonymisering av personuppgifter minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Med pseudonymisering avses enligt artikel 4.5 behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Pseudonymiserade uppgifter är inte nödvändigtvis detsamma som det som i EU:s dataskyddsförordning benämns anonym information. Anonym information är sådan information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller uppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Sådana uppgifter anses inte vara personuppgifter och omfattas inte av dataskyddsförordningens tillämpningsområde (jfr skäl 26 i EU:s dataskyddsförordning). Pseudonymiserade uppgifter kan däremot alltjämt innehålla information som indirekt kan hänföras till en person. Uppgifterna är då fortfarande personuppgifter, och dataskyddsbestämmelserna ska tillämpas vid behandling av dessa.

EU:s dataskyddsförordning anger inte hur pseudonymisering ska uppnås. Ett kodnyckelförfarande är ett sätt. Förfarandet leder till att det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel.

I samband med att uppgifterna inkommer till Transportstyrelsen tas personnummer och, i förekommande fall, registreringsnummer bort. I stället förses uppgifterna med en beteckning som skapats genom kodnyckelförfarandet. Några andra uppgifter som direkt kan hänföras till den enskilde, såsom namn eller adress, förekommer inte i Strada. Det är därför inte möjligt att endast med de uppgifter som finns i Strada identifiera en fysisk person. Med stöd av den beteckning som uppgifterna försetts med kan dessa, med bruk av kodnyckeln, åter kopplas till en viss person. Enbart Transportstyrelsen har tillgång till kodnyckeln, som förvaras separat från databasen och hanteras av behörig personal. Personuppgifterna i databasen får därmed anses vara pseudonymiserade i den bemärkelse som avses i EU:s dataskyddsförordning. Mot bakgrund av att den föreslagna lagen ska komplettera dataskyddsförordningen bör

bestämmelserna i lagen använda sig av samma terminologi som den i dataskyddsförordningen. Det bör därför införas en bestämmelse i lagen om att personuppgifterna i databasen ska vara pseudonymiserade. I linje med vad Integritetsskyddsmyndigheten framhåller innebär detta att Transportstyrelsen i egenskap av personuppgiftsansvarig måste säkerställa att inga uppgifter som direkt kan tillskrivas en specifik registrerad behandlas i databasen.

Vid användning av uppgifter från Strada krävs oftast inte att den registrerade kan identifieras. I stor utsträckning är de pseudonymiserade uppgifterna tillräckliga för att kunna användas i det trafiksäkerhetsarbete som databasen syftar till att stödja. För att uppgifterna ska kunna användas som avsett finns det dock i vissa fall behov av att kunna identifiera den som finns registrerad i Strada. Sådant behov finns vid viss forskning, t.ex. sådan forskning som utförs med stöd av samtycke från eller medverkan av en enskild. För att möjliggöra en kontakt med personen i fråga behöver Transportstyrelsen genom användning av kodnyckeln ta fram personnummer för de registrerade som ska tillfrågas. Även vid forskning som har godkänts vid en etikprövning kan det finnas behov av att avkoda de pseudonymiserade uppgifterna i Strada. Uppgifter från Strada används även i forskning som inte avser fysiska personer utan t.ex. säkerhetsutrustning och teknisk utrustning i fordonet. I dessa fall kan fordonets registreringsnummer behövas. Transportstyrelsen framhåller i sitt remissvar att det även finns behov av att identifiera registrerade i samband med att myndigheten tillhandahåller uppgifter till officiell statistik. Som tidigare påpekats används uppgifterna i Strada som underlag för framställning av officiell statistik. Enligt lagen om officiell statistik ska vissa kvalitetskriterier tillämpas vid framställning av sådan statistik. För att uppnå kraven finns bl.a. behov av att säkerställa riktigheten i de uppgifter om antalet avlidna som rapporterats till Strada. Som framgår av promemorian sker detta genom att de aktuella uppgifterna i Strada kontrolleras mot uppgifter i andra register. Även för detta ändamål finns alltså behov för Transportstyrelsen att ta fram personnummer. Enligt bilagan till förordningen (2001:100) om den officiella statistiken är Trafikanalys statistikansvarig myndighet på området transporter. Det innebär att uppgifter från Strada, efter kvalitetskontroll, lämnas till Trafikanalys. Mot denna bakgrund delar regeringen uppfattningen att det bör finnas möjlighet för Transportstyrelsen att även för detta ändamål kunna vidta åtgärder för att åter kunna identifiera den som registrerats i Strada. Slutligen finns sådant behov även för att Transportstyrelsen ska kunna fullgöra sina skyldigheter enligt dataskyddsförordningen i fråga om den registrerades rättigheter (se avsnitt 6.13). I detta avseende kan det nämnas att artikel 11 innehåller bestämmelser om behandling som inte kräver identifiering. Enligt punkt 1 i artikeln finns ingen skyldighet för en personuppgiftsansvarig att bevara, förvärva eller annars behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen, om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras. Som framgår ovan finns dock ett behov av att i vissa fall åter kunna identifiera den registrerade, vilket innebär att Transportstyrelsen måsta ha kvar den kodnyckel som gör detta möjligt. Bestämmelsen gäller således inte för Transportstyrelsens Strada-

verksamhet. Det innebär i sin tur att Transportstyrelsen alltjämt ska följa de skyldigheter som myndigheten har i förhållande till den som är registrerad i Strada, t.ex. i fråga om dennes rätt att få registerutdrag eller få sina uppgifter rättade. För att detta ska vara möjligt behöver Transportstyrelsen använda kodnyckeln för att hitta den registrerades uppgifter. Av tydlighetsskäl bör det av lagtexten framgå att Transportstyrelsen även i sådant fall får vidta åtgärder för att kunna hänföra uppgifter i Strada till en viss person.

Mot denna bakgrund bör det införas en bestämmelse i lagen som medger att Transportstyrelsen i vissa fall får vidta åtgärder för att personuppgifter i databasen åter ska kunna hänföras till enskilda registrerade. Som

Lagrådet påpekar bör sådana åtgärder vidtas med restriktivitet och behovet av behandlingen bör prövas noga i det enskilda fallet. Det bör därför preciseras att Transportstyrelsen i ett enskilt fall får vidta sådana åtgärder endast om det är absolut nödvändigt för att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga, för forskning inom trafiksäkerhet eller för att myndigheten ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig. Transportstyrelsen får därmed, trots kravet på att personuppgifter ska vara pseudonymiserade, under de angiva förutsättningarna behandla personnummer eller liknande identitetsbeteckningar.

Uppgifterna i Strada omfattas av statistiksekretess enligt 24 kap 8 § OSL, vilket som huvudregel innebär absolut sekretess. Direktidentifierande personuppgifter får lämnas ut enbart om de behövs för forsknings- eller statistikändamål och endast om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Om uppgifterna ska användas för forskning som innefattar känsliga personuppgifter, krävs vidare att forskningen har godkänts vid en etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor. Även när åtgärder har vidtagits för att uppgifterna åter direkt ska kunna hänföras till enskilda registrerade i dessa avseenden finns alltså sådana skyddsåtgärder som avses i EU:s dataskyddsförordning.

Hänvisningar till S6-11

6.12. Utlämnande av uppgifter

Uppgifterna i Strada skyddas av statistiksekretess

Uppgifterna i Strada samlas in av Transportstyrelsen för att bilda generell information om olyckor och skador. Insamlingen av data sker t.ex. inte för ett speciellt ärende eller för att utöva tillsyn över uppgiftslämnarna. Stradaverksamheten finns på en särskild sektion inom Transportstyrelsen som är skild från myndighetens tillstånds- och tillsynsverksamhet. Uppgifterna används för framställning av statistik, i Transportstyrelsens egen verksamhet och genom att Transportstyrelsen biträder Trafikanalys med insamling av uppgifter för den officiella statistiken. Uppgifter i Strada som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde omfattas därmed av statistiksekretess enligt 24 kap. 8 § OSL.

Sekretessen enligt 24 kap. 8 § OSL gäller för uppgifter som direkt eller indirekt kan hänföras till en enskild. Med andra ord skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn eller

personnummer utan även uppgifter som över huvud taget kan hänföras till en viss enskild (prop. 1979/80:2 Del A s. 263). Begreppet enskild omfattar också avlidna. Enligt huvudregeln i första stycket är sekretessen absolut, dvs. uppgifterna ska hemlighållas utan någon prövning av om ett utlämnande medför någon risk för skada eller men. I paragrafens tredje stycke finns angivet vissa undantag när utlämnande ändå kan ske. När det gäller utlämnanden från Strada kan undantagen aktualiseras i tre fall. Utlämnande kan ske om uppgifterna behövs för forskningsändamål, om uppgifterna behövs för statistikändamål eller om uppgifterna inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till en enskild. Med liknande förhållande avses bilnummer, telefonnummer, anställningsnummer, fastighetsbeteckning osv. För att utlämnande ska kunna ske enligt dessa undantag krävs emellertid att det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Uppgifterna i Strada är alltså sekretessreglerade. Bestämmelsen i 24 kap. 8 § tredje stycket OSL innebär att uppgifter i vissa fall kan lämnas ut, om det i varje enskilt fall har gjorts en prövning som utmynnar i bedömningen att utlämnandet inte leder till att den enskilde eller någon närstående lider skada eller men. Om uppgifter ska kunna lämnas ut utan att det föregås av en prövning i det enskilda fallet, såsom vid direktåtkomst, krävs dock en reglering med sekretessbrytande verkan.

Hänvisningar till S6-12

  • Prop. 2020/21:124: Avsnitt 6.10.2

6.12.1. Direktåtkomst

Regeringens förslag: Myndigheten för samhällsskydd och beredskap,

Polismyndigheten, Statens väg- och transportforskningsinstitut, Trafikanalys, Trafikverket, kommunala myndigheter och länsstyrelser ska få medges direktåtkomst till personuppgifter i databasen som respektive myndighet behöver för trafiksäkerhetsändamål.

Universitet och högskolor som är myndigheter eller som vid tillämpningen av offentlighets- och sekretesslagen ska jämställas med myndigheter ska få medges direktåtkomst till personuppgifter i databasen, om uppgifterna behövs för forskning som avser trafiksäkerhet.

Om uppgifterna i databasen ska användas i sådan forskning som omfattas av lagen om etikprövning av forskning som avser människor, ska direktåtkomst få medges endast under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts vid sådan etikprövning.

Det ska införas en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

Den som har medgetts direktåtkomst ska utan hinder av sekretess ha rätt att ta del av personuppgifter i databasen vid sådan åtkomst.

Den som har medgetts direktåtkomst ska ansvara för att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Promemorians förslag överensstämmer delvis med regeringens.

Promemorians förslag om möjligheterna att medge direktåtkomst är mindre preciserat och den sekretessbrytande bestämmelsen har en annan utformning. Promemorian innehåller inte någon bestämmelse om att mottagaren ska begränsa tillgången till personuppgifter eller att det för att direktåtkomst för forskning ska få medges krävs ett etikgodkännande.

Remissinstanserna: När det gäller myndigheters möjlighet till direktåtkomst anser

Integritetsskyddsmyndigheten att relevanta

integritetsanslyser saknas och påpekar att det inte framgår för vilka ändamål och i vilken omfattning som myndigheterna kan få direktåtkomst. Integritetsskyddsmyndigheten menar vidare att det saknas analys av vilket rättsligt stöd dessa myndigheter har eller kommer att ha för att behandla de aktuella personuppgifterna och att det av lagen bör framgå att ett godkännande från en etikprövningsnämnd krävs innan direktåtkomst medges. Integritetsskyddsmyndigheten anser också att föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet ska meddelas av regeringen och att subdelegation av föreskriftsrätten inte ska vara möjlig. Transportstyrelsen saknar en analys om hur förslaget förhåller sig till den sekretess som gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsregleringen. Region Norrbotten, Region Västernorrland och

Akademiska sjukhuset ifrågasätter om inte regioner bör medges direktåtkomst.

Flera remissinstanser påpekar behovet av att tillåta direktåtkomst för andra än de myndigheter som namnges i promemorians författningsförslag. I denna del uttalar Trafikverket, Lunds tekniska högskola och

Chalmers tekniska högskola AB (SAFER) att forskare, bl.a. vid universitet och högskolor, bör få direktåtkomst till Strada eftersom denna forskning ger viktiga bidrag till trafiksäkerhetsarbetet. Nationalföreningen för trafiksäkerhetens främjande (NTF), Riksförbundet M Sverige (tidigare Motormännens riksförbund), Svensk Trafikmedicinsk Förening och Motorförarnas Helnykterhetsförbund betonar vikten av att även intresseorganisationer som arbetar med trafiksäkerhet medges direktåtkomst, då sådana organisationer har behov av uppgifter från databasen i sitt arbete med att uppnå nollvisionen. AB Volvo, Volvo Cars och Nevs AB framhåller att en begränsning av direktåtkomsten för industrin innebär ett kraftigt bakslag för trafiksäkerhetsarbetet och att tillgången till uppgifter från databasen är vital vid utvecklingen av säkra fordon och självkörande system. Integritetsskyddsmyndigheten avstyrker å sin sida förslaget om att andra än de angivna myndigheterna ska få medges direktåtkomst och anser att det måste utredas under vilka förutsättningar sådan möjlighet kan ges utan att riskera att registrerade identifieras med hjälp av uppgifter som finns utanför databasen. Justitiekanslern menar att det i det fortsatta lagstiftningsarbetet bör göras en tydligare avvägning mellan å ena sidan intresset av att skydda den personliga integriteten och å andra sidan behovet av direktåtkomst för andra än de aktuella myndigheterna och att de förutsättningar som ska vara uppfyllda för att kunna bevilja direktåtkomst för andra bör komma till uttryck direkt i den föreslagna lagen.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, bör kravet på etikgodkännande för att möjliggöra direktåtkomst i vissa fall framgå direkt av lagen. Integritetsskydds-

myndigheten avstyrker vidare förslaget om att medge direktåtkomst till uppgifter som inte kan hänföras till en enskild.

Skälen för regeringens förslag

Uppgifterna i Strada behövs hos andra än Transportstyrelsen

Nollvisionen utgår från tanken att ansvaret för trafiksäkerheten delas mellan dem som utformar och dem som använder transportsystemet. Ansvaret för systemutformningen är dock inte en enskild myndighets uppgift. Ansvaret för att utforma infrastrukturen, regelverken och andra åtgärder på transportområdet ligger hos flera olika myndigheter. Trafikverket svarar bl.a. för den långsiktiga infrastrukturplaneringen samt för byggande, drift och underhåll av statliga vägar och ska verka för att de transportpolitiska målen uppnås. Myndigheten ska vidare inhämta och sprida kunskap och information om bl.a. säkerhet inom sitt ansvarsområde. Trafikverket svarar dessutom för forskning och innovation som motiveras av myndighetens uppgifter. Trafikanalys ska, med utgångspunkt i de transportpolitiska målen, utvärdera och analysera samt redovisa effekter av föreslagna och genomförda åtgärder inom transportområdet. Vidare ska myndigheten ansvara för att samla in, sammanställa och sprida statistik på transportområdet. Statens väg- och transportforskningsinstitut har till huvuduppgift att bedriva forskning och utveckling som avser infrastruktur, trafik och transporter. Institutet ska vidare verka för att de transportpolitiska målen uppnås genom att bidra till att kunskapen om transportsektorn kontinuerligt förbättras. Myndigheten för samhällsskydd och beredskap har bl.a. ansvar för frågor om skydd mot olyckor och ska arbeta med och verka för samordning mellan berörda samhällsaktörer för att förebygga och hantera olyckor. Kommuner ansvarar för byggande, drift och underhåll av kommunala vägar. Trafikföreskrifter meddelas av Trafikverket, kommuner och länsstyrelser. Polismyndigheten ansvarar för åtgärder avseende trafikövervakning. För att utföra sina uppdrag på området har myndigheterna behov av tillgång till uppgifterna i Strada. Som bl.a. Trafikverket, Chalmers tekniska högskola AB (SAFER) och

Lunds tekniska högskola framhåller bedrivs viktig forskning på trafiksäkerhetsområdet inte bara hos de ovan nämnda myndigheterna som har forskningsuppdrag utan t.ex. även hos universitet och högskolor. Även dessa har behov av att använda uppgifter från Strada.

Behovet av direktåtkomst

Mot bakgrund av att de myndigheter som på olika sätt arbetar med trafiksäkerhet frekvent och regelmässigt använder uppgifter från Strada i sin verksamhet har de behov av att på ett enkelt och kostnadseffektivt sätt kunna ta del av uppgifterna. De har också behov av att genom olika sökningar på egen hand leta fram relevanta uppgifter i databasen. I likhet med promemorian bedömer regeringen att de ovan nämnda myndigheterna har behov av direktåtkomst till databasen. Även för Transportstyrelsen innebär detta fördelar, eftersom myndigheten då inte behöver involveras i varje enskilt utlämnande.

I promemorian föreslås att Transportstyrelsen, efter det att ändamåls- och sekretessfrågor beaktats, i ett enskilt fall ska få medge även en annan

fysisk eller juridisk person direktåtkomst till Strada. Såväl Integritetsskyddsmyndigheten som Justitiekanslern anser dock att förutsättningarna för direktåtkomst i dessa fall behöver klargöras. Av promemorian framgår att det är universitet och högskolor som kan komma i fråga för en sådan åtkomst. Regeringen delar också synpunkten från flera remissinstanser att de universitet och högskolor som utför forskning på trafiksäkerhetsområdet bör kunna medges direktåtkomst till sekretessreglerade uppgifter. Regeringen ser däremot inte att det finns ett behov hos regionerna att få direktåtkomst till Strada.

Direktåtkomst och sekretess

Möjligheterna att utnyttja direktåtkomst vid informationsutbyte mellan två aktörer kan begränsas av sekretesslagens bestämmelser. När uppgifter lämnas ut genom direktåtkomst kan det av tekniska skäl inte göras en sekretessprövning av uppgifter i ett enskilt ärende innan dessa lämnas ut. En myndighet kan därför inte tillåta någon annan att få direktåtkomst till uppgifter i en databas om uppgifterna omfattas av sekretess som innebär att mottagaren vid en prövning enligt OSL inte med säkerhet skulle ha rätt att ta del av uppgifterna. De uppgifter som mottagaren har direktåtkomst till är således i normalfallet att anse som utlämnade i och med att direktåtkomsten finns. En förutsättning för direktåtkomst är därför att åtkomsten endast avser uppgifter för vilka det inte gäller sekretess, dvs. offentliga uppgifter, eller uppgifter som visserligen omfattas av sekretess, men som också omfattas av en sekretessbrytande bestämmelse till förmån för den mottagare som får ha direktåtkomst till de aktuella uppgifterna (prop. 2007/08:160 s. 73). I vissa fall finns möjlighet att med stöd av generalklausulen i 10 kap. 27 § OSL rutinmässigt lämna ut uppgifter till den som har direktåtkomst. Bestämmelsen gäller dock inte i fråga om sekretess enligt 24 kap. 8 § OSL.

Är ett sekretessgenombrott motiverat?

Uppgifterna i Strada är sekretessreglerade enligt 24 kap. 8 § OSL. Regleringen innebär att det i varje enskilt fall måste göras en prövning av om uppgifterna kan lämnas ut utan att den enskilde eller någon närstående lider skada eller men. Någon sekretessbrytande bestämmelse som gör det möjligt att lämna ut uppgifterna genom direktåtkomst till de aktuella aktörerna finns inte. Innan en sekretessbrytande regel införs måste en analys av om det över huvud taget är lämpligt med ett sekretessgenombrott göras (jfr avsnitt 6.10.2). I detta ligger att en intresseavvägning måste göras mellan mottagarnas behov av att få uppgifter från Strada och det intresse som den aktuella sekretessen avser att skydda, dvs. i detta fall skyddet för den enskildes integritet.

Uppgifterna i Strada innehåller information om de personskador som har följt på en olycka och i vissa fall även uppgift om misstänkt påverkan av alkohol eller andra substanser. Uppgifterna är av integritetskänsligt slag. De uppgifter som lämnas ut genom direktåtkomst är dock inte sådana som direkt kan hänföras till en enskild. Mot bakgrund av att uppgifterna innehåller information om den registrerades ålder och kön samt tiden och platsen för olyckan kan uppgifterna dock i vissa fall, i kombination med andra uppgifter, leda till att en enskild trots allt kan identifieras (s.k.

bakvägsidentifiering). Risken för att uppgifterna från Strada leder till att en enskild registrerads identitet kan utrönas bedöms dock i normalfallet vara begränsad. De aktörer som ovan bedöms ha behov av uppgifter från databasen använder inte uppgifterna i ärendehandläggning som avser en enskild. Uppgifterna används alltså inte hos mottagarna för att vidta åtgärder mot den enskilde eller fatta beslut som direkt rör denne. De aktuella aktörerna har därmed inte heller något intresse av att ta reda på vilken individ som uppgifterna hänför sig till. Användningen av uppgifterna tar i stället sikte på att bedöma den trafiksäkerhetshöjande effekten av olika åtgärder som har vidtagits i fråga om t.ex. infrastrukturens utformning, aktuella regelverk och förekomsten av skyddsutrustning, för att ta reda på vilka insatser som ger störst resultat i fråga om att minska antalet döda och allvarligt skadade i trafiken. Regeringen bedömer att det integritetsintrång som de aktuella aktörernas användning av uppgifterna medför därmed är begränsat.

Utlämnande genom direktåtkomst förknippas med särskilda risker för den personliga integriteten. En sådan risk är att uppgifterna sprids som en följd av att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos mottagaren. Direktåtkomst innebär också typiskt sett att uppgifter blir tillgängliga för fler personer hos mottagarna och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Ju fler personer som har omedelbar tillgång till uppgifterna, desto mer påtagliga är integritetsriskerna. Det är därför av vikt att beakta vilket sekretesskydd som kommer att gälla för uppgifterna hos den mottagande aktören. När det gäller uppgifter som myndigheter tar del av genom direktåtkomst finns en särskild bestämmelse i OSL om överföring av sekretess. Av 11 kap. 4 § OSL framgår nämligen att om en myndighet har direktåtkomst till sekretessreglerade uppgifter hos en annan myndighet blir den sekretessbestämmelse som är tillämplig hos den utlämnande myndigheten tillämplig även hos den mottagande myndigheten. Enligt 11 kap. 8 § OSL har dock som huvudregel primär sekretess företräde framför överförd sekretess, om sekretessen gäller till skydd för samma intresse. Statistiksekretess gäller i Trafikanalys verksamhet avseende framställning av statistik. När det gäller övriga myndigheter kommer statistiksekretessen enligt 11 kap. 4 § OSL att föras över till följd av att de beviljas direktåtkomst.

Regeringen gör ovan bedömningen att de universitet och högskolor som utför forskning på trafiksäkerhetsområdet bör kunna medges direktåtkomst. Det finns både universitet och högskolor som har statligt huvudmannaskap och sådana som anordnas enskilt. Till följd av att direktåtkomst bara bör medges om uppgifterna omfattas av sekretess hos mottagarna bör enbart universitet och högskolor som är myndigheter och som vid tillämpningen av OSL ska jämställas med myndigheter beviljas direktåtkomst. Även till sådana aktörer kommer statistiksekretessen att föras över (jfr 11 kap. 3 och 4 §§ samt 2 kap. 4 § OSL). Uppgifter från Strada som erhålls genom direktåtkomst kommer alltså hos samtliga mottagare att skyddas av samma sekretess som hos Transportstyrelsen. Som framgår nedan anser regeringen även att den som har medgetts direktåtkomst ska ansvara för att tillgången till uppgifterna begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Vid en sammanvägd bedömning anser regeringen att ett sekretessgenombrott för att tillgodose de aktuella myndigheternas, universitetens och högskolornas behov av att få direktåtkomst till uppgifterna i Strada är motiverat. En bestämmelse som bryter sekretessen ska därför införas i den föreslagna lagen för att möjliggöra sådan åtkomst för de aktuella aktörerna.

En sekretessbrytande uppgiftsskyldighet införs

I 10 kap. OSL finns ett antal sekretessbrytande bestämmelser som innebär att sekretess inte hindrar att uppgifter lämnas ut i vissa fall. Enligt 10 kap. 28 § OSL hindrar inte heller sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Det är därför möjligt att i den föreslagna lagen införa en sådan uppgiftsskyldighet i syfte att möjliggöra myndigheters direktåtkomst till uppgifter i Strada. En sådan uppgiftsskyldighet kan införas till förmån även för sådana enskilda organ som vid tillämpningen av OSL ska jämställas med myndigheter. Regeringen föreslår därför en sekretessbrytande regel i form av uppgiftsskyldighet i förhållande till de aktuella aktörerna. Bestämmelsen bör formuleras som en rätt för dessa att vid direktåtkomst ta del av de uppgifter som omfattas av åtkomsten. Som framgår nedan föreslår regeringen att de uppgifter som de ska ha rätt att ta del av genom direktåtkomst är sådana som de har behov av för olika trafiksäkerhetsrelaterade ändamål.

En bestämmelse som reglerar direktåtkomsten

Utlämnande genom direktåtkomst förknippas som ovan framgått med särskilda risker för den personliga integriteten. För att säkerställa skyddet för den enskildes integritet bör direktåtkomst endast få medges i den utsträckning det är nödvändigt. I vilken omfattning direktåtkomst ska få medges måste alltså bedömas genom en avvägning mellan de skäl som talar för en sådan åtkomst och integritetsskäl som talar mot denna. Regeringen har i avsnitt 6.1 redogjort för sina överväganden i fråga om proportionaliteten i den föreslagna regleringen. Sammanfattningsvis konstateras där att Strada utgör en viktig kunskapskälla för det trafiksäkerhetsarbete som syftar till att förhindra att människor dör och skadas allvarligt i trafiken och att regleringen, mot bakgrund av syftet med behandlingen och de skyddsåtgärder som kommer att omgärda denna, sammantaget är proportionell mot de mål som eftersträvas. Regeringen har också, med beaktande av vilka integritetsrisker detta innebär, ovan gjort bedömningen att ett sekretessgenombrott för att möjliggöra direktåtkomst är motiverat. Dessa resonemang är tillämpliga även i fråga om riskerna för den personliga integriteten ur ett dataskyddsperspektiv. De aktuella aktörernas behov av direktåtkomst till uppgifter i Strada för de ändamål som anges i lagen bedöms alltså i sig väga tungt i förhållande till de risker i integritetshänseende som en sådan åtkomst innebär. För att förena behovet att genom direktåtkomst lämna ut uppgifter med integritetsintresset måste det dock beaktas vilka åtgärder som kan vidtas för att skydda den personliga integriteten i detta sammanhang.

Ett sätt att skydda den personliga integriteten vid direktåtkomst är att begränsa vilka typer av uppgifter eller för vilka ändamål uppgifter får

lämnas ut. Det är inte lämpligt att i lagen föreskriva exakt vilka personuppgifter som varje mottagare ska få tillgång till, eftersom detta kan skilja sig åt beroende på mottagare och i vilket syfte uppgifterna ska användas hos mottagarna. Den bedömningen bör i stället, som framgår nedan, göras av Transportstyrelsen vid beslut om direktåtkomst i ett enskilt fall. För att säkerställa att personuppgifter inte lämnas ut i en omfattning som går utöver behoven bör det dock i förhållande till promemorians förslag förtydligas för vilka ändamål direktåtkomst ska få medges. Uppgifterna i Strada används för trafiksäkerhetsrelaterade ändamål. De ovan nämnda myndigheterna använder dock uppgifterna i delvis olika typer av trafiksäkerhetsarbeten. Myndigheterna har många gånger behov av uppgifterna för flera av de ändamål för vilka uppgifter får behandlas i Strada. De uppdrag som respektive myndighet har inom trafiksäkerhetsområdet kan vidare komma att variera över tid. En reglering i den föreslagna lagen bör därför föreskriva de ramar som ska gälla för direktåtkomsten. Lagen bör därmed ange att direktåtkomst får medges till de uppgifter som respektive myndighet behöver för de olika trafiksäkerhetsrelaterade ändamål för vilka behandling i databasen är tillåten. Direktåtkomst får alltså inte medges för andra ändamål, även om dessa inte skulle anses vara oförenliga med de trafiksäkerhetsändamål för vilka uppgifterna samlades in. Regeringen gör ovan bedömningen att även universitet och högskolor har behov av direktåtkomst. Dessa aktörer använder uppgifterna i Strada för forskning. Direktåtkomsten för dessa bör därför vara begränsad till uppgifter som behövs för ändamålet forskning som avser trafiksäkerhet.

Som anförts ovan använder inte mottagarna uppgifterna i ärendehandläggning som avser en enskild eller som underlag för beslut som påverkar den enskilda registrerade i någon mer direkt mening. Att flera aktörer får tillgång till uppgifter om en enskild som varit inblandad i en trafikolycka kan dock, som påpekas i avsnitt 6.1, ändå innebära risker för den personliga integriteten. Bara det faktum att känsliga personuppgifter sprids till en större krets kan naturligtvis innebära ett integritetsintrång. Det kan heller inte uteslutas att den som varit inblandad i en olycka i vissa fall kan uppfattas som klandervärd. En direkt kränkning av den enskildes integritet uppstår dock bara om den registrerade kan identifieras med hjälp av uppgifterna. Även om det finns viss risk för bakvägsidentifiering ska denna risk inte överdrivas. Mot bakgrund av de ändamål för och det sätt på vilka uppgifterna används hos mottagarna ser regeringen, till skillnad från Integritetsskyddsmyndigheten, inte att mottagarnas användning av uppgifterna skulle medföra stora risker för de registrerades fri- och rättigheter. Vid bedömningen beaktas även att uppgifterna omfattas av sekretess hos samtliga mottagare.

Integritetsskyddsmyndigheten har ifrågasatt om en trafiknämnd hos en viss kommun behöver tillgång till samtliga känsliga och integritetskänsliga personuppgifter i Strada som rör olyckor som inträffat i hela landet för att utveckla det lokala trafiksäkerhetsarbetet. I de fall kommunen ska undersöka på vilka vägar eller platser i kommunen som olyckor förekommer och vilka följder dessa får bör det naturligtvis vara tillräckligt att endast undersöka uppgifter om olyckor i den egna kommunen. Trafiksäkerhetsarbete innebär dock inte bara att identifiera var och hur olyckor skett utan också att identifiera och analysera vilka faktorer

som har störst betydelse för att förhindra en olycka eller påverka hur allvarliga följder en olycka får i en viss situation. För att få sådan kunskap krävs information som ger en bättre bild än de ibland enstaka uppgifter om olyckor som inträffat i den egna kommunen. När det gäller att undersöka vilka åtgärder som är effektiva för att uppnå ökad trafiksäkerhet kan det alltså finnas behov av att få tillgång till ett större informationsunderlag, inte minst i mindre kommuner där det finns begränsade data om olyckor. Regeringen anser därför inte att kommuners möjligheter att få tillgång till uppgifter om olyckor som inträffat på annat håll i landet uttryckligen bör begränsas. Som nämns ovan får direktåtkomst dock bara medges till uppgifter som mottagaren behöver för de i lagen angivna ändamålen.

Som anges ovan är det enligt regeringens uppfattning inte lämpligt att i lagen närmare precisera omfattningen av direktåtkomsten. I den utsträckning närmare föreskrifter om omfattningen av direktåtkomsten behöver meddelas kan detta ske på lägre föreskriftsnivå. Mot bakgrund av att sådana säkerhetsåtgärder som avses i EU:s dataskyddsförordning föreslås införas i lagen (se bl.a. avsnitt 6.7 och 6.11) finner regeringen, till skillnad från Integritetsskyddsmyndigheten, att sådana föreskrifter i och för sig kan meddelas av en myndighet under regeringen. En upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om omfattningen av direktåtkomsten, och även om behörighet och säkerhet vid sådan åtkomst, föreslås därför.

Direktåtkomst medges endast till pseudonymiserade uppgifter

Uppgifterna i Strada ska, enligt vad som föreslås i avsnitt 6.11, vara pseudonymiserade. Det innebär att de uppgifter som finns tillgängliga i databasen inte innehåller direktidentifierande uppgifter, t.ex. namn eller personnummer. Transportstyrelsen ska under vissa förhållanden få vidta åtgärder för att personuppgifterna i databasen åter ska kunna bli direkt hänförliga till enskilda registrerade. En sådan åtgärd får dock endast vidtas i ett enskilt fall och om det är absolut nödvändigt, vilket innebär att så inte får ske för de uppgifter som tillhandahålls genom direktåtkomst. Den som får del av uppgifter i databasen genom direktåtkomst kommer därför inte att ha tillgång till uppgifter som direkt kan hänföras till den enskilde.

Tillgången till uppgifterna hos mottagarna ska begränsas

Ett sätt att skydda den enskildes integritet är att begränsa hur uppgifterna sprids och används hos mottagaren. Om kretsen av personer som har tillgång till uppgifterna begränsas, är risken för integritetsintrång generellt sett mindre. Tillgången till personuppgifter bör därför begränsas så mycket som möjligt, med hänsyn taget till den aktuella verksamheten och känsligheten hos personuppgifterna. En sådan skyldighet kan sägas följa redan av artikel 5 i dataskyddsförordningen. Mot bakgrund av att Strada innehåller integritetskänsliga uppgifter bör det i den föreslagna lagen införas en uttrycklig bestämmelse som förtydligar att den som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad var och en behöver. Mottagaren är alltså skyldig att se till att endast den eller de personer som behöver en uppgift för att fullgöra sina arbetsuppgifter tar del av uppgiften. En liknande bestämmelse finns t.ex. i 3 kap. 5 § vägtrafikdatalagen (2019:369).

Det rättsliga stödet hos mottagande myndigheter att behandla personuppgifter från Strada

Det förhållandet att en myndighet får tillgång till uppgifter genom direktåtkomst ger inte mottagaren rätt att behandla personuppgifterna. Som Integritetsskyddsmyndigheten påpekar krävs enligt dataskyddsförordningen att det finns en rättslig grund för all behandling av personuppgifter. Vilken eller vilka av de rättsliga grunderna som mottagarna stöder sin behandling på varierar beroende på vem mottagaren är och för vilket ändamål uppgifterna behandlas. I vissa fall kan mottagaren stödja sin behandling på artikel 6.1 c i EU:s dataskyddsförordning, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse. Så är t.ex. fallet när Trafikverket enligt 2 § 6 förordningen (2010:185) med instruktion för Trafikverket genomför djupstudier av samtliga vägtrafikolyckor som har medfört att någon har avlidit. I stor utsträckning kommer dock användare av Strada att stödja sin behandling på artikel 6.1 e, dvs. att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Arbetsuppgiften av allmänt intresse ska ha stöd i någon av de rättskällor som tillsammans bildar rättsordningen. Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse (se vidare prop. 2017/18:105 s. 57). De aktuella myndigheternas verksamheter på trafiksäkerhetsområdet regleras bl.a. genom ett stort antal författningar. Uppgifter till dessa kan även ges genom t.ex. regeringsbeslut eller beslut i kommunfullmäktige. Det finns rättslig grund för sådan behandling av uppgifter från Strada som är nödvändig hos de aktuella myndigheterna för att de ska kunna utföra sin verksamhet.

När det gäller behandling av uppgifter från databasen hos universitet och högskolor utvecklar regeringen i propositionen Behandling av personuppgifter för forskningsändamål när forskning kan anses utgöra en uppgift av allmänt intresse som är fastställd i rättsordningen. För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd genom bestämmelser i högskolelagen (1992:1434). När det gäller privata aktörer är uppgiften att forska fastställd och de har möjlighet att stödja behandling för forskningsändamål på artikel 6.1 e i dataskyddsförordningen om forskningen de avser att bedriva kräver tillstånd av en eller flera myndigheter, t.ex. enligt lagen (2003:460) om etikprövning av forskning som avser människor, och de har fått de tillstånd som krävs för forskningsprojektet. I propositionen klargörs också att forskningsverksamheten hos Chalmers tekniska högskola och Högskolan i Jönköping, som har enskild huvudman och enligt avtal med staten ska bedriva utbildning och forskning, utgör en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt (se vidare prop. 2017/18:298). I övrigt är privata aktörers uppgift att forska inte fastställd i svensk rätt.

Vid behandling av känsliga personuppgifter ska det därutöver finnas stöd för sådan behandling. Enligt EU:s dataskyddsförordning finns möjligheter att behandla känsliga personuppgifter bl.a. om det är nödvändigt av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g) eller om det är nödvändigt för vetenskapliga forskningsändamål eller statistiska ändamål (artikel 9.2 j). För att kunna tillämpa undantagen i artikel 9.2 g och j krävs dock att det ska finnas lämpliga och särskilda åtgärder för att säkerställa

den registrerades grundläggande rättigheter och intressen. Regeringen redogör ovan för befintliga och föreslagna bestämmelser som är ämnade att skydda den enskildes integritet vid direktåtkomst. Mot bakgrund av att dessa skyddsåtgärder kommer att omgärda även den behandling som sker hos de mottagande myndigheterna, är mottagarnas behandling av känsliga personuppgifter förenlig med dataskyddsförordningen (se t.ex. prop. 2017/18:105 s. 91). I viss lagstiftning kan det dock finnas särskilda bestämmelser som reglerar i vilken utsträckning känsliga personuppgifter får behandlas. Detta är t.ex. fallet i fråga om forskning som innefattar behandling av bl.a. känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott. Att sådan forskning får utföras bara om den har godkänts vid en etikprövning framgår av lagen om etikprövning av forskning som avser människor. Transportstyrelsen beaktar redan i dag huruvida sådant godkännande finns i samband med att styrelsen får en begäran om utlämnande av uppgifter för forskningsändamål. Regeringen instämmer dock i Integritetsskyddsmyndighetens synpunkt att det av den föreslagna lagen uttryckligen bör framgå att direktåtkomst i förekommande fall bara ska få medges om det finns ett godkännande från Etikprövningsmyndigheten. En bestämmelse om detta bör därför införas.

Tillgång till uppgifter som inte omfattas av sekretess

Flera remissinstanser menar att även andra än de ovan nämnda myndigheterna, universiteten och högskolorna bör kunna medges direktåtkomst. Sekretessregleringen medger inte att uppgifter som kan hänföras direkt eller indirekt till någon enskild lämnas ut genom direktåtkomst utan stöd av en sekretessbrytande bestämmelse. Även de pseudonymiserade uppgifterna i Strada utgörs av uppgifter om enskilda individer och går att hänföra till den enskilde. Någon möjlighet att införa en sekretessbrytande bestämmelse för att kunna medge direktåtkomst till sådana uppgifter för aktörer inom vilkas verksamhet uppgifterna inte skulle skyddas av sekretess eller tystnadsplikt finns inte. Uppgifter som inte kan hänföras till en enskild är dock inte sekretessbelagda enligt 24 kap. 8 § OSL. Om uppgifterna i Strada behandlas så att uppgifterna inte längre kan hänföras – direkt eller indirekt – till en enskild omfattas de därför inte av den sekretessbestämmelsen. Om tillräckligt många uppgifter slås samman (aggregeras) så att de inte rimligen går att hänföra till en enskild bör sådana aggregerade data kunna lämnas ut. Även uppgifter som har behandlats på annat sätt (t.ex. genom att plocka bort vissa data) som innebär att den registrerade inte längre är identifierbar bör kunna lämnas ut.

Strada innehåller inte bara uppgifter som är att hänföra till en enskild individ utan det finns även andra typer av data som inte är att anse som personuppgifter, t.ex. uppgifter om fordon och väglag. Även sådana uppgifter, som alltså inte avser enskilds personliga eller ekonomiska förhållanden, bör kunna lämnas ut.

Till skillnad från Integritetsskyddsmyndigheten anser regeringen att det inte finns några hinder mot att lämna ut den typen av uppgifter som nu är i fråga även till andra än de ovan aktuella myndigheterna, universiteten och högskolorna. Enskilda, som t.ex. intresseorganisationer och företag, bör alltså kunna få sådana uppgifter. Sådant utlämnande skulle kunna ske

genom direktåtkomst men utlämnande bör även kunna ske genom andra typer av tekniska system. Innan utlämnande sker ska Transportstyrelsen säkerställa att uppgifterna inte avser enskilds förhållanden eller utgör personuppgifter Någon uttrycklig bestämmelse i lagen om utlämnande av sådana uppgifter är dock inte nödvändig.

Regeringen återkommer på sidan 71 till frågan om utlämnande av uppgifter från Strada på annat sätt än genom direktåtkomst till andra än myndigheter.

6.12.2. Annat elektroniskt utlämnande

Regeringens bedömning: Det saknas behov av att införa några särskilda regler om annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst.

Promemorians förslag överensstämmer i sak med regeringens bedömning. I promemorian föreslås en uttrycklig bestämmelse om att utlämnande får ske på medium för automatiserad behandling.

Remissinstanserna yttrar sig inte särskilt i frågan om utlämnade på medium för automatiserad behandling. Statens haverikommission påpekar att myndigheten kan ha behov av uppgifter från Strada i samband med utredningar av olyckor och efterlyser en analys av möjligheterna att få uppgifter för detta ändamål.

Skälen för regeringens bedömning

Uppgifter från Strada får lämnas ut elektroniskt på annat sätt än genom direktåtkomst

Elektroniskt utlämnande som inte sker genom direktåtkomst benämns ibland utlämnande på medium för automatiserad behandling. Vad som avses är t.ex. utlämnande av uppgifter per e-post eller på usb-minne eller genom elektronisk direktöverföring från ett datorsystem till ett annat. Den tekniska utvecklingen går fort och olika elektroniska utlämnandesätt är numera möjliga. Elektroniskt utlämnande på annat sätt än genom direktåtkomst innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter får lämnas ut och vilka uppgifter som ska lämnas ut. En sekretessprövning kan därmed göras i samband med utlämnandet i det enskilda fallet.

EU:s dataskyddsförordning saknar särskilda bestämmelser om elektroniskt utlämnande av personuppgifter. Mot bakgrund av att utlämnande på elektronisk väg kan innebära vissa ökade risker för den personliga integriteten finns det dock i viss registerlagstiftning bestämmelser som begränsar möjligheten att lämna ut uppgifter elektroniskt. Från ett effektivitetsperspektiv är det viktigt att utlämnande från databasen ska kunna ske elektroniskt även på annat sätt än genom direktåtkomst. I likhet med promemorian anser regeringen att det inte bör införas några särskilda begränsningar i detta avseende. Något behov av att införa en uttrycklig bestämmelse om annat elektroniskt utlämnande än direktåtkomst finns därför inte.

Sekretesskyddet hos vissa myndigheter bör kompletteras för att underlätta utlämnande på annat sätt än genom direktåtkomst

Regeringen föreslår ovan att vissa myndigheter ska få medges direktåtkomst till pseudonymiserade personuppgifter i Strada. I vissa fall finns behov av att lämna ut uppgifter från Strada på annat sätt än genom direktåtkomst. Det tekniska systemet för direktåtkomst medger nämligen inte att en större mängd data hämtas ut vid ett tillfälle. I vissa fall behöver aktörer som nämns ovan tillgång till en stor mängd data som sträcker sig över flera år. Så är många gånger fallet om uppgifterna ska användas för forskningsändamål men sådant behov kan även finnas i annat fall, t.ex. när uppgifterna används för planering, uppföljning, utvärdering och kvalitetssäkring. Mot bakgrund av de tekniska begränsningar som finns i systemet för direktåtkomst behöver uppgifter i sådant fall lämnas ut elektroniskt på annat sätt, t.ex. på cd-skiva eller usb-sticka eller genom s.k. fjärranslutning.

För att Transportstyrelsen ska kunna lämna ut uppgifter från Strada krävs att något av undantagen i 24 kap. 8 § tredje stycket OSL är tillämpligt, såvida det inte finns någon sekretessbrytande bestämmelse som medger att uppgifterna kan lämnas ut. Enligt undantagen kan uppgifter efter en skadeprövning bl.a. lämnas ut för forsknings- eller statistikändamål. För dessa ändamål finns enligt bestämmelsen möjlighet att lämna ut uppgifter som direkt identifierar den enskilde. Uppgifter kan även lämnas ut för andra ändamål, om de inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till någon enskild. Även i dessa fall ska det göras en skadeprövning. Uppgifter får bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Även om användningen av uppgifterna hos mottagaren inte medför någon skada, kan ett svagare sekretesskydd hos mottagaren i sig innebära en risk för skada, eftersom det kan medföra att uppgifterna därifrån lämnas vidare på ett sätt som medför skada (prop. 2013/14:162 s. 12).

Uppgifter från Strada används av Trafikanalys i myndighetens verksamhet som avser framställning av statistik och omfattas då av sekretess enligt 24 kap. 8 § OSL. När det gäller myndigheter som använder uppgifter från Strada i sin forskningsverksamhet, blir statistiksekretessen tillämplig på uppgifterna även hos mottagaren, enligt bestämmelsen i 11 kap. 3 § OSL om överföring av sekretess. När uppgifter från Strada används för planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete saknas möjligheten att överföra sekretessen till någon annan myndighet vid andra typer av utlämnande än genom direktåtkomst. Det finns inte heller någon annan sekretessbestämmelse av samma styrka som ska tillämpas för uppgifterna hos de mottagare som har behov av uppgifter för detta ändamål. Om det är fråga om verksamhet som genomför undersökningar som är jämförbara med framställning av statistik, kan regeringen med stöd av 24 kap. 8 § andra stycket OSL föreskriva att statistiksekretess ska gälla för undersökningen. Sådana föreskrifter finns i 7 § offentlighets- och sekretessförordningen (2009:641), i det följande OSF. Undersökningar på trafiksäkerhetsområdet som är med statistik jämförbara utförs hos Trafikverket, kommuner och länsstyrelser. För att sekretesskyddet hos de nämnda myndigheterna inte ska utgöra hinder mot

att de ska kunna få uppgifter på annat sätt än genom direktåtkomst, bör OSF kompletteras så att undersökningar om trafiksäkerhetsinsatser hos myndigheterna ska omfattas av ett sekretesskydd som motsvarar statistiksekretess. Regeringen har för avsikt att komplettera OSF i enlighet därmed. Pseudonymiserade uppgifter i Strada som ska användas för sådana undersökningar bör därmed kunna lämnas ut på annat sätt än genom direktåtkomst till dessa myndigheter. Även Myndigheten för samhällsskydd och beredskap använder uppgifter från Strada och kan ha behov av att få ut uppgifter på annat sätt än genom direktåtkomst. Enligt 7 § OSF gäller sekretess i undersökningar om olyckshändelser och räddningsinsatser hos myndigheten. I den utsträckning uppgifter från Strada ska användas i sådana undersökningar hos Myndigheten för samhällsskydd och beredskap bör Transportstyrelsen kunna lämna ut uppgifterna.

Statens haverikommission anför att myndigheten inte har behov av direktåtkomst till Strada men menar att möjligheterna att få uppgifter som behövs för undersökningar av olyckor bör belysas. I detta avseende kan det konstateras att lagen (1990:712) om undersökning av olyckor och den till lagen anslutande förordningen innehåller bestämmelser om undersökningar från säkerhetssynpunkt av olyckor och tillbud. Med stöd av dessa bestämmelser undersöks såväl enskilda olyckor och tillbud som en viss typ av tillbud eller olyckor. När det gäller möjligheterna för Statens haverikommission att vid sådana undersökningar ta del av sekretessbelagd information från andra myndigheter utgör 9 § lagen om undersökning av olyckor en sådan uppgiftsskyldighet enligt 10 kap. 28 § OSL som har sekretessbrytande effekt till förmån för den myndighet som undersöker olyckor i enlighet med lagen (prop. 2010/11:116 s. 65). Detta innebär att

Statens haverikommission har möjlighet att ta del av uppgifter i Strada, om de kan antas ha betydelse för den utredning som myndigheten gör enligt lagen om undersökning av olyckor. Något behov av ytterligare reglering i detta avseende finns därför inte. I den nämnda propositionen behandlas också i vilken utsträckning uppgifterna är sekretesskyddade hos Statens haverikommission. Det finns inte skäl att i detta avseende föreslå några nya bestämmelser.

Möjligheterna att lämna ut uppgifter till andra än myndigheter

Flera remissinstanser påpekar att även privata aktörer utför viktigt arbete på trafiksäkerhetsområdet och att dessa därför kan ha behov av uppgifter från Strada. Volvo Cars framhåller att nollvisionen bara kan åstadkommas genom ett samarbete mellan myndigheter, akademi och industri. Regeringen är medveten om att forskning på bl.a. fordonsområdet som leder till lösningar för att skapa säkrare fordon och trafik utgör ett viktigt bidrag till nollvisionen. Även betydelsen av frivilligorganisationernas arbete för att öka trafiksäkerheten ska framhållas. Det finns därför anledning att närmare belysa möjligheten för forskare och privata aktörer att få uppgifter från Strada.

För att tillgodose forskningens behov finns möjlighet enligt 24 kap. 8 § tredje stycket OSL att, efter en skadeprövning, lämna ut uppgifter som behövs för forskningsändamål. Undantagen om utlämnande för forsknings- eller statistikändamål är avsedda att tillämpas restriktivt

(prop. 1994/95:200 s. 38). Forskningsbegreppet har också definierats snävt, se RÅ 2004 ref. 9. När mottagaren inte är en myndighet kan uppgifter som omfattas av sekretess i vissa fall lämnas ut med stöd av ett sådant särskilt förbehåll som avses i 10 kap. 14 § OSL. I den paragrafen anges att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Bestämmelsen ger en myndighet möjlighet att i förhållande till en enskild fysisk person lämna ut uppgifter som är sekretessbelagda enligt en sekretessbestämmelse som har ett skaderekvisit, under förutsättning att den risk för skada som hindrar att uppgifterna lämnas ut kan undanröjas genom att ett förbehåll uppställs vid uppgifternas utlämnande. En enskild forskningsutövare bör därmed kunna ges tillgång till uppgifter från Strada med ett sådant förbehåll. Ett förbehåll kan inte meddelas i förväg för en viss typ av information utan ska föregås av en prövning i varje särskilt fall. En möjlighet att uppställa förbehåll finns även vid utlämnande för andra ändamål än forskning, under förutsättning att något av de andra undantagen i 24 kap. 8 § tredje stycket OSL är tillämplig.

Som påpekas ovan krävs att den som tar emot uppgifter från Strada har en rättslig grund enligt dataskyddsregleringen för den personuppgiftsbehandling som mottagaren ska utföra. I propositionen Behandling av personuppgifter för forskningsändamål redogörs för de rättsliga grunder som i första hand är relevanta vid behandling av personuppgifter för forskningsändamål. Vidare behandlas möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder. I en del fall kan även en privaträttslig aktör tillämpa den rättsliga grunden uppgift av allmänt intresse. När det gäller kravet att forskningsuppgiften ska vara fastställd i enlighet med nationell rätt gör regeringen i propositionen bl.a. bedömningen att detta krav är uppfyllt för en privaträttslig forskningsutförare om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs (se vidare prop. 2017/18:298avsnitt 7.2).

Hänvisningar till S6-12-2

6.13. Den registrerades rättigheter

Regeringens bedömning: Det saknas behov av att införa särskilda bestämmelser i fråga om den registrerades rättigheter enligt EU:s dataskyddsförordning.

Promemorian innehåller inte någon bedömning i frågan. Remissinstanserna: Integritetsskyddsmyndigheten anser att det i det fortsatta lagstiftningsarbetet bör göras överväganden avseende enskildas rättigheter enligt EU:s dataskyddsförordning och att det saknas en analys av vilken information som ska lämnas i det specifika fallet.

Skälen för regeringens bedömning

Dataskyddsförordningens bestämmelser om den registrerades rättigheter och möjlighet till undantag

EU:s dataskyddsförordning innehåller vissa bestämmelser om den registrerades rättigheter. Bestämmelserna reglerar bl.a. skyldigheten för den personuppgiftsansvarige att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter (artiklarna 13 och 14), rätten för den registrerade att på begäran få tillgång till viss information och till de personuppgifter som behandlas (artikel 15), rätten att få felaktiga uppgifter rättade (artikel 16) och under vilka förutsättningar den registrerade kan få sina personuppgifter raderade (artikel 17). Vidare anges i artikel 18 att den registrerade under vissa omständigheter har rätt att kräva att behandlingen begränsas. Den registrerade har dessutom rätt att göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. behandling som sker för att utföra en uppgift av allmänt intresse, i myndighetsutövning eller efter en intresseavvägning (artikel 21). Bestämmelserna är direkt tillämpliga, men enligt artikel 23 kan tillämpningsområdet för de nu angiva bestämmelserna begränsas under vissa förutsättningar. Nationella generella begränsningar av vissa rättigheter och skyldigheter avseende rätten till information och tillgång till personuppgifter finns i 5 kap. dataskyddslagen.

Rätten till information och tillgång till personuppgifter

Transportstyrelsen är ansvarig för behandlingen av personuppgifter i databasen. Uppgifterna har dock erhållits från andra myndigheter och från vårdgivare. I artikel 14 i EU:s dataskyddsförordning regleras skyldigheten för den personuppgiftsansvarige att lämna viss information till den registrerade när personuppgifterna inte har erhållits från denne. I artikel 14.5 anges dock när den skyldigheten inte ska tillämpas. Detta gäller t.ex. om den registrerade redan förfogar över informationen eller om erhållande och utlämnande av uppgifter uttryckligen föreskrivs genom nationell rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Personuppgifterna i Strada rapporteras in till databasen utifrån de uppgiftsskyldigheter som föreslås i avsnitt 6.10. Vad som föreslås i denna proposition, bl.a. i fråga om pseudonymisering, utgör tillsammans med tillämpliga sekretessbestämmelser sådana skyddsåtgärder som avses i EU:s dataskyddsförordning. Detta innebär att undantagen i artikel 14.5 c är tillämpliga. Någon skyldighet för Transportstyrelsen att lämna information till den registrerade enligt artikel 14.1 finns därför inte. Eftersom detta följer direkt av EU:s dataskyddsförordning, finns det inget behov av att reglera frågan i den föreslagna lagen.

Den registrerade har enligt artikel 15 i EU:s dataskyddsförordning rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör denne behandlas och i så fall få tillgång till personuppgifterna samt information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Rättigheten benämns ofta som en rätt till registerutdrag. Det saknas enligt regeringens uppfattning skäl att göra inskränkningar i denna rätt. Det innebär att Transportstyrelsen på begäran av en registrerad ska tillhandahålla den information som anges

i artikel 15. Som framgår av avsnitt 6.11 har Transportstyrelsen möjlighet att avkoda pseudonymiserade uppgifter i Strada för att kunna fullgöra sina skyldigheter som personuppgiftsansvarig. Så är fallet i den händelse någon vänder sig till Transportstyrelsen med begäran om registerutdrag.

Rätten till rättelse och radering av personuppgifter

Enligt artikel 17 i EU:s dataskyddsförordning har den registrerade under vissa förutsättningar rätt att få sina personuppgifter raderade. Detta gäller emellertid inte om behandlingen är nödvändig av något av de skäl som anges i artikel 17.3. Så är t.ex. fallet om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen av personuppgifter i databasen är nödvändig för att utföra en uppgift av allmänt intresse. Det bör därför inte uppstå någon skyldighet för Transportstyrelsen att på begäran av den registrerade radera uppgifter i databasen. Något behov av att införa särskilda bestämmelser om detta i den föreslagna lagen finns inte. Av vad som framgår av artikel 16 i EU:s dataskyddsförordning har den registrerade dock en rätt att få felaktiga personuppgifter rättade. Det saknas skäl att inskränka denna rätt.

Rätten att begära begränsningar och rätten att göra invändningar mot behandling av personuppgifter

Enligt artikel 18 i EU:s dataskyddsförordning har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas. Med begränsning avses en markering av lagrade personuppgifter i syfte att begränsa behandlingen av dessa i framtiden (artikel 4.3 i förordningen). Det saknas skäl att begränsa den registrerades rättigheter att begära begränsning av behandlingen av personuppgifter enligt den aktuella bestämmelsen i dataskyddsförordningen.

Enligt EU:s dataskyddsförordning har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne (artikel 21.1). Rätten att göra invändningar begränsar sig enligt denna bestämmelse till behandling av personuppgifter, när det gäller myndigheter som utför sina uppgifter, som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). Rätten att göra invändningar innebär att den registrerade har en möjlighet att få till stånd en överprövning av behandlingens tillåtlighet. Överprövningen innebär att den personuppgiftsansvarige måste kunna visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen (artikel 21.1). Om det saknas berättigade skäl har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).

Rätten att göra invändningar har ett antal begränsningar. Den registrerade har t.ex. inte rätt att invända om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgifts-

ansvarige (artikel 6.1 c). Rätten att göra invändningar är vidare begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Mot bakgrund av de inskränkningar som finns i rätten att göra invändningar enligt EU:s dataskyddsförordning bör den ha begränsad betydelse i fråga om personuppgiftsbehandlingen i Strada. Några skäl för att införa ytterligare begränsningar av rätten att invända har inte framkommit.

Hänvisningar till S6-13

  • Prop. 2020/21:124: Avsnitt 6.11

6.14. Längsta tid som personuppgifter får behandlas

Regeringens förslag: Personuppgifter i databasen ska inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till de trafiksäkerhetsrelaterade ändamålen.

En upplysningsbestämmelse ska införas om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om längsta tid som personuppgifter får behandlas och om gallring.

Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att personuppgifter ska gallras när de inte längre behövs för sitt ändamål.

Remissinstanserna: Integritetsskyddsmyndigheten anser att en mer specifik tidsgräns för gallring bör anges i lagen och att eventuella undantag från gallringsskyldigheten måste anpassas till EU:s dataskyddsförordning.

Justitiekanslern anser att utformningen av den föreslagna bestämmelsen inte tillräckligt beaktar integritetsaspekten för de registrerade och att skälen för bestämmelsen inte är övertygande. Region Norrbotten menar att en tydligare och restriktivare regel om gallring är önskvärd. Akademiska sjukhuset anser att gallring bör ske direkt efter matchning av olyckan. Riksarkivet å sin sida menar att personuppgifterna i Strada som huvudregel inte bör gallras utan att behovet av skydd för integriteten kan tillgodoses genom sekretessreglering och informationssäker behandling av uppgifterna.

Integritetsskyddsmyndigheten, som getts tillfälle att yttra sig över ett utkast till lagrådsremiss, menar att eventuella gallringsbestämmelser bör meddelas av regeringen och inte av Transportstyrelsen.

Skälen för regeringens förslag: Enligt artikel 5.1 e i EU:s dataskyddsförordning får inte personuppgifter förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Det gäller dock under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att garantera den registrerades fri- och rättigheter.

I arkivlagen (1990:782) och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras men under vissa förutsättningar får gallras. Arkivlagens bestämmelser om

gallring är subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser i annan lag eller förordning, har de bestämmelserna företräde.

I promemorian föreslås att personuppgifter ska gallras när de inte längre behövs för sitt ändamål. Utgångspunkten i det arkivrättsliga regelverket är att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning bland annat för att därmed öka deras tillgänglighet, medan gallring enligt registerförfattningarna syftar till att skydda enskildas personliga integritet. Som Riksarkivet påpekar är gallring också en oåterkallelig åtgärd som kan ha återverkningar bl.a. på uppgifternas användbarhet för forskningsändamål. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppet gallring enbart användas i den betydelse det har i arkivlagstiftningen. När syftet som i detta fall är att skydda den personliga integriteten bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Sådana bestämmelser bör därför formuleras så att de anger den längsta tid som personuppgifter får behandlas.

En bestämmelse om en längsta tid under vilken personuppgifter får behandlas i databasen skulle kunna motiveras av integritetsskäl. Det bör därför övervägas om, som Integritetsskyddsmyndigheten och Region

Norrbotten förespråkar, en sådan tidsgräns bör införas. Införandet av en särskild tidsgräns måste föregås av en avvägning mellan å ena sidan skyddet för den personliga integriteten och å andra sidan intresset av att bevara uppgifterna, varvid hänsyn till syftet med databasen måste beaktas.

Till skillnad för vad som många gånger är fallet med uppgiftssamlingar som används för ärendehandläggning, tappar uppgifterna i Strada inte sin relevans med tiden. För att t.ex. kunna avgöra vilka åtgärder som är effektiva ur trafiksäkerhetssynpunkt har äldre uppgifter många gånger samma adekvans som de som ligger närmare i tiden. Databasen används i stor utsträckning även för att hitta generella tendenser och förändringar över tid. Ett av ändamålen med Strada är att utgöra underlag för framställning av såväl officiell statistik som annan statistik inom trafiksäkerhetsområdet. Ett annat ändamål är att tillhandahålla underlag för forskning inom samma område. Med hänsyn till syftet med Strada är det inte lämpligt att i lagen föreskriva en bestämd tidsgräns för hur länge personuppgifter får behandlas. I linje med artikel 5.1 e i EU:s dataskyddsförordning bör det i lagen i stället anges att personuppgifter inte får behandlas i databasen under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Detta innebär att uppgifterna bör avskiljas så att de inte längre kan behandlas när de inte längre behövs för de ändamål enligt vilka personuppgifterna får behandlas i databasen. Transportstyrelsen behöver utarbeta interna rutiner och riktlinjer för hur avskiljningen av personuppgifter i databasen ska genomföras. I den utsträckning det behövs kan en längsta tid för hur länge personuppgifter får behandlas meddelas på lägre föreskriftsnivå. Regeringen delar Integritetsskyddsmyndighetens synpunkt att en sådan föreskriftsrätt enligt den nu föreslagna lagen endast bör tillkomma regeringen. Även i den utsträckning gallringsbestämmelser ska meddelas bör detta ske på förordningsnivå.

Hänvisningar till S6-14

6.15. Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Den nya lagen ska träda i kraft den 1 juli 2021.

Promemorians förslag överensstämmer inte med regeringens.

Promemorian föreslår att lagen skulle träda i kraft den 25 maj 2018.

Remissinstanserna uttalar sig inte i frågan. Skälen för regeringens förslag: Den nu föreslagna regleringen bör träda i kraft så snart som möjligt. Det föreslås därför att lagen ska träda i kraft den 1 juli 2021. Det behövs inte några övergångsbestämmelser.

6.16. Konsekvenser

Regeringens bedömning: Den föreslagna lagen reglerar hur

Transportstyrelsen får behandla personuppgifter i databasen. De författningsreglerade uppgiftsskyldigheterna väntas medföra en förbättring av innehållet i databasen och en viss effektivisering av verksamheten. Förslagen kan medföra vissa ökade kostnader för Transportstyrelsen avseende systemutveckling. Kostnaderna bedöms rymmas inom de befintliga anslagsramarna.

För de regioner och enskilda vårdgivare som rapporterar till Strada bör en författningsreglerad uppgiftsskyldighet inte medföra några väsentliga förändringar. Det innebär att regioner och enskilda vårdgivare har rätt till ersättning för rapportering till databasen. Ersättningen bedöms rymmas inom Transportstyrelsens befintliga anslagsramar.

Skyldigheten att rapportera olyckor i fritidssjöfart utökas något och formerna för Kustbevakningens rapportering kan komma att ändras. Eventuella ökade kostnader för Polismyndigheten och Kustbevakningen bedöms kunna hanteras inom befintliga anslagsramar.

För användare av databasen väntas förslaget leda till ett förbättrat underlag, vilket är positivt utifrån ett trafiksäkerhetsperspektiv och för att framställa statistik. Förslaget innebär att vissa myndigheter och andra organ som omfattas av offentlighets- och sekretesslagen kan medges direktåtkomst till personuppgifter i databasen.

Borttagandet av kravet på samtycke från den enskilde för att behandla de sjukvårdsrapporterade uppgifterna innebär, med beaktande av föreslagna skyddsåtgärder, inte någon påtaglig försvagning av integritetsskyddet.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Kustbevakningen förutsätter att rapporteringen inte innebär några större kostnader för myndigheten. Polismyndigheten anmärker att promemorians förslag medför få positiva konsekvenser för myndigheten och att det innebär en betydande arbetsinsats att rapportera in till databasen. AB Volvo poängterar Stradas betydelse för forskning och utveckling. Riksförbundet M Sverige uppger att konsekvensbeskrivningen saknar en analys av följderna för ideella organisationer och andra aktörer inom det svenska trafiksäkerhetsarbetet. Vissa remissinstanser, bl.a.

Region Västernorrland, betonar vikten av att regionerna får full ekonomisk kompensation för rapporteringen.

Skälen för regeringens bedömning

Allmänt

I propositionen lämnas förslag på en ny lag om behandling av personuppgifter i Transportstyrelsens olycksdatabas. Databasen, benämnd Strada, inrättades genom ett regeringsbeslut 1996. Syftet med databasen är att stödja trafiksäkerhetsarbetet genom att utgöra en kunskapskälla och ge underlag för att underlätta valet av vilka åtgärder som bör vidtas ur ett trafiksäkerhetsperspektiv. Strada utgör därmed ett viktigt verktyg för nollvisionen, dvs. det långsiktiga målet att ingen ska dö eller skadas allvarligt i trafiken. Såväl Transportstyrelsen som andra aktörer som arbetar med trafiksäkerhetsfrågor använder uppgifter från Strada. Den nya lagen innehåller även bestämmelser om skyldighet för vissa myndigheter och vårdgivare att lämna uppgifter till databasen. Detta innebär i sin tur att vissa befintliga bestämmelser om uppgiftsskyldighet på förordningsnivå kan upphävas. Genom att samla bestämmelser om behandling av personuppgifter i databasen och skyldigheten att rapportera in uppgifter till databasen i en lag ökar förutsägbarheten och tydligheten för Transportstyrelsen, de inrapporterande aktörerna och den enskilda registrerade.

Strada innehåller i dag huvudsakligen uppgifter om olyckor som uppstått i vägtransportsystemet. Den nya lagen innebär att också olyckor i fritidssjöfart ska rapporteras till databasen.

Konsekvenser för Transportstyrelsen

Den nya lagen reglerar hur Transportstyrelsen får behandla personuppgifter i databasen. Regleringen stärker skyddet för den personliga integriteten samtidigt som det väntas leda till bättre förutsättningar för Transportstyrelsen att förvalta och utveckla databasen.

Utöver reglering av Transportstyrelsens behandling av personuppgifter innehåller lagen bestämmelser om skyldigheter att rapportera uppgifter om olyckor och skador till databasen. Utöver uppgifter om olyckor inom vägtransportsystemet kommer uppgifter inom fritidssjöfarten att rapporteras. Detta innebär att databasen framöver kommer att kunna utgöra ett kunskapsunderlag och stöd för val av säkerhetshöjande åtgärder även inom den sektorn. Genom att det införs en författningsreglerad skyldighet för vårdgivare att rapportera uppgifter till databasen ersätts nuvarande system med överenskommelser mellan Transportstyrelsen och vårdgivarna. Avtal behöver då inte förhandlas fram och uppdateras, vilket innebär en effektivisering för Transportstyrelsen. Skyldigheten för vårdgivare att lämna uppgifter bör också leda till en stabilare och mer heltäckande rapportering, vilket innebär en kvalitetshöjning av underlaget i databasen.

Transporstyrelsen använder i viss utsträckning uppgifter från Strada i den egna verksamheten, framför allt för att framställa statistik och för att på olika sätt följa upp, utvärdera och kvalitetssäkra trafiksäkerhetsåtgärder men också för forskning. Databasen förs dock i stor utsträckning i syfte att utgöra ett underlag för andra aktörer som arbetar med trafiksäkerhet.

Lagen kommer att behöva kompletteras med föreskrifter på lägre normgivningsnivå. Det kan förutses att Transportstyrelsen kommer att behöva utfärda föreskrifter i vissa frågor.

Förslagen bedöms medföra vissa ökade kostnader avseende systemutveckling. Dessa kostnader bedöms dock kunna finansieras inom ram.

Konsekvenser för Polismyndigheten

Förslaget innebär att de befintliga uppgiftsskyldigheterna för Polismyndigheten förs över till den nya lagen och att rapporteringen av olyckor med terrängmotorfordon författningsregleras. Skyldigheten att rapportera olyckor i fritidssjöfart utökas något. Polismyndigheten har redan tillgång till databasens rapporteringsverktyg och har personal som är utbildad för detta. Eventuella kostnadsökningar för Polismyndigheten bedöms kunna hanteras inom befintliga anslagsramar.

Polismyndigheten använder även uppgifter från Strada för att planera, följa upp, utvärdera och kvalitetssäkra de trafiksäkerhetsinsatser som görs av myndigheten. Genom förslagen väntas rapporteringen till databasen bli mer stabil och heltäckande, vilket höjer kvaliteten i underlaget till nytta för användarna.

Konsekvenser för Kustbevakningen

Kustbevakningen ska i dag underrätta Transportstyrelsen om olyckor med fritidsfartyg. Förslaget innebär att Kustbevakningen i stället ska lämna sådana uppgifter till databasen. Kustbevakningen bör därmed få tillgång till ett liknande inrapporteringsverktyg till databasen som det Polismyndigheten använder vid rapporteringen. Mot bakgrund av att Kustbevakningens rapportering av olyckor med fritidsfartyg kan förutses bli av begränsad omfattning bör den extra administration som detta kan väntas leda till vara obetydlig. Eventuella merkostnader kan hanteras inom befintlig ram.

Konsekvenser för regioner och enskilda vårdgivare

Den rapportering som vårdgivare utför i dag i fråga om personer som söker vård till följd av en olycka sker enligt avtal som upprättats mellan varje vårdgivare respektive region och Transportstyrelsen. För närvarande rapporterar landets samtliga vårdgivare som ger akutsjukvård och har ortopedi eller kirurgi i sin verksamhet till Strada. Förslagen innebär att det införs en författningsstadgad skyldighet för dessa vårdgivare att lämna sådana uppgifter till databasen. Förslaget innebär alltså ingen utökning av vilka vårdgivare som omfattas av uppgiftsskyldigheten jämfört med de som rapporterar i dag. Den obligatoriska uppgiftsskyldigheten är ämnad att säkerställa en stabil inrapportering över tid och att en jämn och hög kvalitet upprätthålls för uppgiftslämningen. Sammantaget kan rapporteringen väntas öka något. Uppgiftsskyldigheten omfattar även olyckor i fritidssjöfart, vilket innebär att denna rapportering blir heltäckande över landet. En ökning av antalet rapporter till följd av att även dessa olyckor ska rapporteras bedöms endast bli marginell för varje rapporterande enhet.

I och med uppgiftsskyldigheten införs en ny obligatorisk uppgift för regionerna vilket aktiverar finansieringsprincipen. Regeringen anser att vårdgivare alltjämt bör kompenseras, se avsnitt 6.10.1. Eftersom de

vårdgivare som i dag lämnar uppgifter till Strada fortsatt kommer att få ersättning från Transportstyrelsen för rapporteringen görs ingen reglering enligt den kommunala finansieringsprincipen. Ersättningen för rapportering bedöms rymmas inom Transportstyrelsens befintliga anslagsramar.

En uppgiftsskyldighet för vårdgivare innebär ett ytterligare åliggande för regionerna och därmed en viss inskränkning av den kommunala självstyrelsen. En inskränkning i den kommunala självstyrelsen bör inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett inskränkningen. Regeringen redogör i avsnitt 6.10.1 för de problem som finns med dagens system. Som anges ovan är förslaget avsett att säkerställa en hög kvalitet i rapporteringen till Strada, vilket är väsentligt för att förbättra statistiken på området och för att skapa bättre underlag för trafiksäkerhetsarbetet. Detta syfte bedöms inte kunna åstadkommas på ett, för den kommunala självstyrelsen, mindre ingripande sätt. Den inskränkning i den kommunala självstyrelsen som en författningsreglerad uppgiftsskyldighet medför bedöms därför, med hänsyn till ändamålet, som nödvändig och proportionerlig.

Konsekvenser för användare av Strada

Flera myndigheter använder uppgifter från Strada i sitt trafiksäkerhetsarbete. Detta gäller framför allt Trafikverket, Trafikanalys, kommunala myndigheter – såsom en kommuns trafiknämnd – Myndigheten för samhällsskydd och beredskap, Statens väg- och transportforskningsinstitut, länsstyrelser och Polismyndigheten. Som berörs ovan väntas förslagen leda till en mer stabil och heltäckande rapportering till databasen. Detta innebär att kvaliteten på kunskapsunderlaget höjs, till nytta för samtliga användare. Det innebär vidare att de sjukvårdsrapporterade uppgifterna på sikt kommer att kunna användas som underlag för den officiella statistiken. Genom att skyldigheten att rapportera utsträcks även till att gälla olyckor inom fritidssjöfarten ökar användningsområdet för Strada, då uppgifterna i databasen även kommer att kunna utgöra underlag för trafiksäkerhetsarbetet för detta trafikslag.

När det gäller tillgången till uppgifter i databasen innehåller propositionen även förslag om direktåtkomst och uppgiftsskyldighet för att möjliggöra sådan åtkomst. Genom förslagen skapas möjlighet för Transportstyrelsen att medge direktåtkomst till de myndigheter som har centrala uppgifter inom trafiksäkerhetsarbetet. Även universitet och högskolor kan medges direktåtkomst, om uppgifterna behövs inom forskning på trafiksäkerhetsområdet. När det gäller företag och intresseorganisationer, innebär förslagen i propositionen ingen förändring jämfört med dagens situation. Dessa aktörer har möjlighet att vända sig till Transportstyrelsen och begära ut uppgifter, varefter myndigheten får pröva förutsättningarna enligt sekretessregleringen att lämna ut uppgifterna. Förslagen medför inte några inskränkningar i denna möjlighet. Till dessa aktörer kan direktåtkomst endast medges till uppgifter som inte omfattas av sekretess. Det innebär att uppgifter som inte kan hänföras till en person, t.ex. aggregerade uppgifter, kan lämnas ut på detta sätt.

Konsekvenser för privatpersoner

Förslagen innebär i huvudsak inte någon ny behandling av personuppgifter utan är en reglering av en redan pågående behandling. Regleringen innebär att den personuppgiftsbehandling som sker i databasen vid rapportering till och utlämnande från databasen tydliggörs och preciseras. Det föreslås emellertid att de uppgifter som i dag rapporteras från vårdgivare med stöd av samtycke från den enskilde framöver ska få behandlas utan sådant samtycke. Utgångspunkten är dock att förslaget ska utgöra en lämplig avvägning mellan intresset av skydd för enskildas personliga integritet och intresset av att få ett bättre och mer heltäckande underlag avseende olyckor och skador som uppstått i trafiken. De begränsningar som regleringen innebär vad gäller bl.a. ändamål, direktåtkomst och pseudonymisering utgör tillsammans med det skydd för uppgifterna som ges genom bestämmelserna om sekretess i OSL ett starkt skydd för den registrerades rättigheter och intressen. Förslagen bedöms därmed inte innebära några oacceptabla intrång i de enskilda registrerades integritet.

Användning av uppgifterna i databasen för att arbeta förebyggande för att så långt som möjligt säkerställa en säker trafikmiljö leder till samhällsekonomiska vinster i form av minskat antal olyckor och skador och därmed ett minskat mänskligt lidande.

Övriga konsekvenser

Förslagen förväntas inte ha någon effekt på jämställdheten mellan kvinnor och män. Inte heller förväntas de integrations- eller regionalpolitiska målen eller miljön påverkas.

Hänvisningar till S6-16

7. Författningskommentar

Förslaget till lag om Transportstyrelsens olycksdatabas

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Transport-

styrelsens databas över olyckor och personskador i trafiken. Lagen gäller även vid behandling av uppgifter i databasen som gäller avlidna personer.

Paragrafen anger tillämpningsområdet för lagen. Övervägandena finns i avsnitt 6.1 och 6.2.

Enligt paragrafen gäller lagen vid behandling i Transportstyrelsens databas över olyckor och skador i trafiken. Med databasen avses den samling av uppgifter om sådana olyckor i transportsystemet som framgår av 5 § och om de personer som varit involverade i sådana olyckor. Uppgifterna erhålls huvudsakligen från vårdgivare, Polismyndigheten och Kustbevakningen enligt de uppgiftsskyldigheter som framgår av 10–12 §§. Av paragrafen framgår att lagen gäller vid behandling av såväl personuppgifter som uppgifter om avlidna personer i databasen. Med begreppen behandling och personuppgifter avses detsamma som i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den förordningen gäller inte behandling av uppgifter som avser avlidna personer. Av paragrafen framgår emellertid att lagen även gäller vid behandling av uppgifter om avlidna personer. När bestämmelserna i lagen reglerar hur personuppgifter får behandlas ska detta alltså tillämpas även på uppgifter om avlidna. Detta innebär att lagen har ett vidare tillämpningsområde än vad EU:s dataskyddsförordning har, men det medför inte att dataskyddsförordningens bestämmelser blir tillämpliga på uppgifter om avlidna personer i databasen.

Paragrafen utformas i enlighet med Lagrådets förslag.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning

(EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen klargör att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.3.

EU:s dataskyddsförordning är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen att det införs bestämmelser som kompletterar förordningen. Denna lag innehåller bl.a. sådana kompletterande bestämmelser som gäller vid behandlingen av personuppgifter i databasen. Hänvisningen till EU:s dataskyddsförordning

är dynamisk, dvs. den avser förordningen i den vid varje tidpunkt gällande lydelsen.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen

( 2018:218 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen upplyser om hur lagen förhåller sig till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 6.3.

De kompletterande bestämmelser till EU:s dataskyddsförordning som gäller på ett generellt plan regleras i dataskyddslagen. Av paragrafen framgår att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller för behandling av personuppgifter i databasen. Av 1 kap. 6 § dataskyddslagen framgår att den lagen är subsidiär till annan lagstiftning. Dataskyddslagen gäller därför endast om inte annat följer av den aktuella lagen eller föreskrifter som har meddelats i anslutning till lagen.

Uttryck i lagen

4 § Termer och uttryck i denna lag har samma betydelse som i EU:s

dataskyddsförordning, lagen ( 2001:559 ) om vägtrafikdefinitioner och förordningen ( 2001:651 ) om vägtrafikdefinitioner.

Av paragrafen framgår att termer och uttryck som används i lagen har samma betydelse som i EU:s dataskyddsförordning och i lagen och förordningen om vägtrafikdefinitioner. Övervägandena finns i avsnitt 6.5.2.

I artikel 4.1 i EU:s dataskyddsförordning anges vad som i förordningen avses med behandling, pseudonymisering, personuppgiftsansvarig och uppgifter om hälsa. Lagen om vägtrafikdefinitioner och förordningen om vägtrafikdefinitioner innehåller definitioner av de viktigaste termerna och uttrycken inom vägtrafikområdet, bl.a. fordon, väg och terrängmotorfordon. Termerna och uttrycken i den aktuella lagen har samma betydelse som i dessa författningar.

5 § I denna lag avses med en

1. vägtrafikolycka: en plötslig händelse eller serie av händelser som har inträffat helt eller delvis på en väg och involverat ett fordon i rörelse,

2. olycka i trafikmiljö: en plötslig händelse eller serie av händelser som har involverat en trafikant och inträffat

a) helt eller delvis på en väg,

b) helt eller delvis på en gångbana som inte ligger invid en väg,

c) på en buss- eller spårvagnshållplats, eller

d) ombord på en spårvagn,

3. olycka med terrängmotorfordon: en plötslig händelse eller serie av händelser som har involverat ett terrängmotorfordon i rörelse, och

4. olycka med fritidsfartyg: en plötslig händelse eller serie av händelser som har involverat ett sjösatt fritidsfartyg.

Paragrafen innehåller definitioner av de olyckor som omfattas av vårdgivares, Polismyndighetens och Kustbevakningens uppgiftsskyldigheter enligt 10–12 §§. Övervägandena finns i avsnitt 6.5.1.

Det krävs inte att de händelser som omfattas av paragrafen ska ha varit oavsiktliga, utan även olyckor som inträffat avsiktligen omfattas. Redan i begreppet olycka ligger att händelsen ska ha medfört en skadlig effekt av något slag. Definitionerna av olyckstyperna innefattar därmed inte något uttryckligt krav på skadlig effekt. Att rapporteringen ska avse sådana händelser – olyckor – som medfört personskada eller dödsfall eller som lett till att någon söker vård framgår i stället av 10–12 §§.

Gemensamt för samtliga punkter är att med olycka avses såväl en enskild händelse som en serie av händelser. Med en serie av händelser avses ett sammanhängande skeende.

I punkten 1 definieras vägtrafikolycka, som enligt 11 § under vissa förhållanden ska rapporteras av Polismyndigheten. Olyckan ska ha inträffat helt eller delvis på en väg och involverat ett fordon i rörelse. Definitionen innefattar t.ex. ett skeende som i och för sig har inletts på en väg men som avslutas utanför, men i anslutning till, vägen (t.ex. när ett fordon kör av vägen). Fordon definieras i lagen (2001:559) om vägtrafikdefinitioner och väg definieras i förordningen (2001:651) om vägtrafikdefinitioner.

I punkten 2 definieras olycka i trafikmiljö, som omfattas av vårdgivarnas uppgiftsskyldighet enligt 10 §. Definitionen av olycka i trafikmiljö är vidare än definitionen av vägtrafikolycka, då det inte krävs att ett fordon i rörelse varit involverat. Att händelsen ska ha involverat en trafikant innebär att sådana olyckor som avses i punkten 1 typiskt sett omfattas men även att t.ex. olyckor som enbart involverat en fotgängare träffas. Händelsen ska ha inträffat helt eller delvis på en väg eller på en gångbana som inte ligger invid en väg. På motsvarande sätt som punkten 1 innefattar definitionen därmed även ett skeende som i och för sig har inletts på en väg eller på en gångbana men som avslutas utanför, men i anslutning till, vägen eller gångbanan. Därutöver innefattas händelser som inträffat på en buss- eller spårvagnshållplats eller ombord på en spårvagn. Det saknas en legaldefinition av hållplats men med uttrycket får främst förstås ett område avsett för på- eller avstigning av bussar.

I punkten 3 definieras olycka med terrängmotorfordon. Sådana olyckor omfattas av vårdgivares och Polismyndighetens uppgiftsskyldighet i 10 och 11 §§. Terrängmotorfordon definieras i lagen om vägtrafikdefinitioner. Definitionen i den aktuella punkten omfattar sådana olyckor oavsett var de inträffat, vilket innebär viss överlappning med olyckor enligt punkterna 1 och 2.

I punkten 4 definieras olycka med fritidsfartyg. Olyckor med fritidsfartyg omfattas av vårdgivares, Polismyndighetens och Kustbevakningens uppgiftsskyldighet enligt 10–12 §§. Det saknas en legaldefinition av begreppet fritidsfartyg. Med fritidsfartyg avses i detta sammanhang ett fartyg, oavsett storlek, som vid olyckstillfället används för fritidsändamål. Olyckor som omfattas är sådana som inträffat när fartyget varit sjösatt, vilket t.ex. innebär att olyckor som inträffat med ett fartyg som är uppställt på land

inte omfattas. Även olyckor som sker när fartyget befinner sig i hamn ska rapporteras, oaktat om olyckan inträffat när fartyget är i drift eller ligger förtöjt.

Paragrafen utformas efter synpunkter från Lagrådet.

Personuppgiftsansvar

6 § Transportstyrelsen är personuppgiftsansvarig för behandlingen av

personuppgifter i databasen.

Paragrafen reglerar vem som ansvarar för behandling av personuppgifter i databasen. Övervägandena finns i avsnitt 6.6.

Av paragrafen framgår att Transportstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som sker i databasen. Med uppgiften som personuppgiftsansvarig följer vissa skyldigheter direkt enligt EU:s dataskyddsförordning. Den personuppgiftsansvarige ska t.ex. se till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt (artikel 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättsstridig behandling av personuppgifter har medfört (artikel 82). Ytterligare bestämmelser om den personuppgiftsansvariges skyldigheter i samband med behandling av personuppgifter finns i kapitel IV i EU:s dataskyddsförordning. Bland annat regleras hur säkerheten i samband med behandlingen av personuppgifter ska garanteras. Den som rapporterar uppgifter till Strada eller medges direktåtkomst till databasen är personuppgiftsansvarig för den behandling som sker inom ramen för den egna verksamheten. Om en uppgift lämnas ut till någon annan myndighet eller en enskild, blir mottagaren personuppgiftsansvarig för den fortsatta behandlingen av uppgiften.

Ändamål med behandlingen

7 § Personuppgifter får behandlas i databasen om det är nödvändigt för

1. framställning av statistik inom trafiksäkerhetsområdet,

2. forskning som avser trafiksäkerhet, eller

3. planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete.

Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in.

Paragrafen reglerar de ändamål för vilka personuppgifter får behandlas i databasen. Övervägandena finns i avsnitt 6.7.

I första stycket anges för vilka ändamål personuppgifter får behandlas i databasen. Genom ändamålen anges den yttre ramen för behandlingen av personuppgifter. Ändamålen har betydelse för vilka uppgifter som får föras in i registret och för hur uppgifterna får behandlas i övrigt. Transportstyrelsen ska som personuppgiftsansvarig se till att uppgifterna i databasen behandlas på ett sätt som står i överensstämmelse med ändamålen. Ändamålen är utformade utifrån databasens användningsområde och avser att täcka in den personuppgiftsbehandling som skett hittills. Med

trafiksäkerhet avses säkerhet även för fritidssjöfarten. Kravet på att behandlingen ska vara nödvändig innebär inte att behandlingsåtgärden ska vara oundgänglig. Nödvändighetskravet innebär dock en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.

Enligt första punkten får personuppgifter behandlas för framställning av statistik inom trafiksäkerhetsområdet. Framställning av såväl officiell som annan statistik avses. Både statistik som framställs för Transportstyrelsens egna behov och statistik som tas fram för att tillgodose andras behov omfattas av ändamålet. Uppgifter från databasen utgör bl.a. underlag för den officiella statistik som tas fram av Trafikanalys.

Av andra punkten framgår att personuppgifter får användas för forskning som avser trafiksäkerhet. Sådan forskning bedrivs hos såväl myndigheter, universitet och högskolor som enskilda aktörer, t.ex. i fordonsindustrin och av försäkringsbolag. Uppgifter från databasen utgör därigenom även underlag för innovationer på trafiksäkerhetsområdet. Med innovation avses det arbete som sker med stöd av forskning för framtagande av en ny produkt eller en ny lösning av ett problem (jfr prop. 2012/13:30 Forskning och innovation, avsnitt 10.5). Innovation anges inte uttryckligen i bestämmelsen, eftersom begreppet forskning omfattar utvecklingsarbete på vetenskaplig grund, vilket får anses inkludera innovation.

I tredje punkten anges planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete som ändamål. Med planering avses t.ex. det arbete som Polismyndigheten bedriver inför genomförande av trafiksäkerhetskontroller. Vidare omfattas sådant arbete som utförs i samband med upprättande av olika typer av planer och trafiksäkerhetsprogram. Med uppföljning avses bl.a. att beskriva, mäta och på andra sätt studera åtgärder som har vidtagits. Utvärdering och kvalitetssäkring avser analys och värdering av åtgärder och deras resultat och hur dessa förhåller sig till de mål som ska uppnås. Begreppen är delvis överlappande. Resultatet av sådan planering, uppföljning, utvärdering eller kvalitetssäkring kan utgöra underlag för framtida åtgärder på trafiksäkerhetsområdet. Planering, uppföljning, utvärdering eller kvalitetssäkring av såväl sådana åtgärder och insatser som har vidtagits av användaren av uppgifterna från databasen som sådana som har vidtagits av andra aktörer omfattas. En kommun kan t.ex. följa upp effekterna av det egna arbetet med att öka underhållet av gång- och cykelvägar. Men även effekterna av en hastighetsbegränsning kan följas upp, även om föreskriften i fråga meddelats av någon annan än den som gör uppföljningen. Därutöver kan sådant som inte är en insats av en enskild aktör följas upp eller utvärderas, t.ex. effekterna av en ökad användning av cykelhjälmar. Uppgifterna i databasen får användas för ändamålet planering, uppföljning, utvärdering eller kvalitetssäkring av flera olika aktörer. Även användning av uppgifter från databasen i samband med s.k. djupstudier av dödsolyckor eller undersökningar från säkerhetssynpunkt enligt lagen (1990:712) om undersökning av olyckor omfattas.

I andra stycket anges att personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in. Bestämmelsen ger uttryck för den s.k. finalitetsprincipen,

som framgår av artikel 5.1 b i EU:s dataskyddsförordning. Behandling av personuppgifter enligt denna bestämmelse förutsätter att uppgifterna har samlats in för något av de ändamål som anges i första stycket. Av artikel 5.1 b i EU:s dataskyddsförordning framgår vidare att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. De omständigheter som anges i artikel 6.4 a–e i EU:s dataskyddsförordning ska beaktas vid bedömningen av om den ytterligare behandlingen är förenlig med finalitetsprincipen.

Innehåll

8 § Databasen får innehålla uppgifter med anknytning till en sådan olycka

som avses i denna lag och om personer som varit involverade i olyckan.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter enligt första stycket som får behandlas i databasen.

Paragrafen reglerar vilket innehåll som databasen får ha. Övervägandena finns i avsnitt 6.8.

I första stycket anges en ram för vilka uppgifter som får behandlas i databasen. Enligt bestämmelsen får databasen innehålla uppgifter med anknytning till sådana olyckor i transportsystemet som avses i lagen, dvs. en trafikolycka, en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg, och om personer som varit involverade i olyckan. Personuppgifter som behandlas i databasen ska enligt 7 § första stycket behövas för framställning av statistik inom trafiksäkerhetsområdet, forskning som avser trafiksäkerhet, eller planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete.

I andra stycket finns en upplysning om att regeringen kan meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.

Behandling av särskilda kategorier av personuppgifter

9 § Uppgifter om hälsa som avser personskador får behandlas i

databasen och får användas som sökbegrepp. Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas.

För ändamål som avses i 7 § andra stycket får uppgifter om hälsa och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning behandlas endast om det är absolut nödvändigt för syftet med behandlingen.

Paragrafen reglerar hur sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning får behandlas. Övervägandena finns i avsnitt 6.9.

Av första stycket framgår att Transportstyrelsen får behandla vissa känsliga personuppgifter som rör hälsa i databasen. De hälsouppgifter som får förekomma i databasen är uppgifter om personskador som har följt på sådana olyckor som ska rapporteras. Hälsouppgifterna består

huvudsakligen i en kod som anger vilken typ av skada det rör sig om, var på kroppen skadan finns och vilken allvarlighetsgrad skadan har. I databasen finns också uppgifter som enbart består av en angivelse av skadegrad, dvs. huruvida olyckan har lett till döden eller om den har medfört en allvarlig eller en lindrig skada. Uppgifter om hälsa som avser personskador får användas som sökbegrepp i databasen. Detta innebär att sökningar kan genomföras i databasen för att få fram ett urval baserat på sådana uppgifter. Några andra känsliga personuppgifter får inte behandlas i databasen.

Andra stycket innehåller en bestämmelse om att vidarebehandling enligt finalitetsprincipen av känsliga uppgifter enbart får ske om det är absolut nödvändigt för syftet med behandlingen. Detsamma gäller för sådana uppgifter som avses i artikel 10 i dataskyddsförordningen, t.ex. uppgifter om lagöverträdelser som innefattar brott. Bestämmelsens syfte är att markera att vidarebehandling av sådana uppgifter bör ske med försiktighet och aldrig slentrianmässigt. Bestämmelsen innebär emellertid inte att sådana personuppgifter endast får behandlas i undantagsfall. Genom kravet på absolut nödvändighet markeras dock att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda fallet. När det gäller vidarebehandling av nu avsedda personuppgifter ställs alltså ett striktare krav för att behandlingen ska vara tillåten jämfört med vad som gäller för övriga ändamål i lagen.

Paragrafen utformas i enlighet med Lagrådets förslag.

Uppgifter som ska lämnas till databasen

10 § Vårdgivare som ger akutsjukvård och vars verksamhet innefattar

ortopedi eller kirurgi ska till databasen lämna uppgifter som rör samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg.

Paragrafen reglerar vårdgivares skyldighet att lämna uppgifter till databasen. Övervägandena finns i avsnitt 6.10.1 och 6.10.2.

Enligt paragrafen ska vissa vårdgivare lämna uppgifter till databasen. Paragrafen utgör en sådan uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400). Enligt 2 kap. 3 § hälso- och sjukvårdslagen (2017:30) avses med vårdgivare i den lagen statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. Begreppet är avsett att ha samma innebörd i den aktuella lagen. Inte alla vårdgivare omfattas av uppgiftsskyldigheten, utan denna är avgränsad till att gälla de vårdgivare som ger akutsjukvård och har ortopedi eller kirurgi i sin verksamhet. Paragrafen innebär dels att de angivna vårdgivarna får en skyldighet att lämna vissa uppgifter till databasen, dels att vårdgivarna kan lämna uppgifterna utan hinder av tystnadsplikt eller sekretess. Uppgifter ska lämnas rörande både personer som söker vård till följd av en olycka och personer som avlidit till följd av en olycka. Vårdgivarnas rapportering kommer att fokusera på de personskador som har följt på en olycka men kommer även att innefatta de uppgifter om själva olyckan som kommer till vårdgivarens kännedom genom de uppgifter som patienten lämnar om olyckan. När det gäller personer som söker vård till följd av en olycka

krävs inte att en personskada kan konstateras vid den tidpunkt som personen uppsöker vårdinrättningen. Även uppgifter som avser vårdsökande som inte känner någon effekt av olyckan men som ändå uppsöker en vårdinrättning, t.ex. för säkerhets skull, ska lämnas. Uppgifter ska lämnas rörande vårdsökande eller avlidna som varit inblandade i en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg. En olycka i trafikmiljö inbegriper även en vägtrafikolycka, se kommentaren till 5 §. Som framgår av 13 § kan regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om hur uppgiftsskyldigheten ska fullgöras.

11 § Polismyndigheten ska till databasen lämna uppgifter om en sådan

vägtrafikolycka, olycka med terrängmotorfordon eller olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

Paragrafen reglerar Polismyndighetens skyldighet att lämna uppgifter till databasen. Övervägandena finns i avsnitt 6.10.3.

Paragrafen motsvarar delvis hittillsvarande 1 och 2 §§ kungörelsen (1965:561) om statistiska uppgifter angående vägtrafikolyckor och 21 § andra stycket förordningen (1990:717) om undersökning av olyckor. Den utgör en sådan uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400). Vägtrafikolycka, olycka med terrängmotorfordon och olycka med fritidsfartyg definieras i 5 §. Uppgiftsskyldigheten gäller enbart för sådana olyckor som Polismyndigheten fått kännedom om och som har medfört personskada eller dödsfall. Polismyndigheten får i regel kännedom om en olycka genom att polismän kallas till olycksplatsen eller genom en polisanmälan. Polismyndigheten är endast skyldig att till databasen rapportera sådana uppgifter som myndigheten har samlat in för sina egna verksamhetsändamål. Uppgiftsskyldigheten innebär inte någon skyldighet för Polismyndigheten att inhämta uppgifter bara för att rapportera dem till Strada.

Enligt 13 § kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om hur uppgiftsskyldigheten ska fullgöras.

12 § Kustbevakningen ska till databasen lämna uppgifter om en sådan

olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

Paragrafen reglerar Kustbevakningens skyldighet att lämna uppgifter till databasen. Övervägandena finns i avsnitt 6.10.4.

Paragrafen motsvarar i huvudsak hittillsvarande 21 § andra och tredje styckena förordningen (1990:717) om undersökning av olyckor. Den utgör en sådan uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400). Olycka med fritidsfartyg definieras i 5 §. Enligt 13 § kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om hur uppgiftsskyldigheten ska fullgöras.

13 § Regeringen eller den myndighet som regeringen bestämmer kan

med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om uppgiftsskyldigheterna enligt 10–12 §§.

Paragrafen innehåller en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om uppgiftsskyldigheterna. Övervägandena finns i avsnitt 6.10.5.

Föreskrifter om hur vårdgivarnas, Polismyndighetens och Kustbevakningens uppgiftsskyldigheter enligt 10–12 §§ ska fullgöras kan avse när och hur uppgifter ska rapporteras.

Pseudonymisering av personuppgifter

14 § Databasen får endast innehålla pseudonymiserade person-

uppgifter.

Trots första stycket får Transportstyrelsen i ett enskilt fall vidta åtgärder för att personuppgifter åter ska bli direkt hänförliga till enskilda registrerade, om det är absolut nödvändigt för

1. att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga,

2. forskning som avser trafiksäkerhet, eller

3. att Transportstyrelsen ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig.

Paragrafen innehåller ett krav på att personuppgifter i databasen ska vara pseudonymiserade. Övervägandena finns i avsnitt 6.11.

I första stycket anges att personuppgifter i databasen ska vara pseudonymiserade. Med pseudonymisering avses enligt artikel 4.5 i EU:s dataskyddsförordning behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Det krävs vidare att de kompletterande uppgifterna förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Inga uppgifter som direkt hänför sig till en person får alltså förekomma i databasen. I praktiken pseudonymiseras personuppgifter i databasen genom att personnummer och fordons registreringsnummer ersätts med ett löpnummer. Detta sker hos Transportstyrelsen i anslutning till att uppgifterna rapporteras in enligt 10–12 §§ genom användning av ett s.k. kodnyckelförfarande. Pseudonymisering utgör en åtgärd till skydd för den registrerades integritet.

I andra stycket anges att Transportstyrelsen i vissa fall får vidta åtgärder för att personuppgifter som finns i databasen åter ska bli direkt hänförliga till enskilda registrerade. Detta sker genom att kodnyckeln används för att återskapa t.ex. ett personnummer. En sådan åtgärd får ske för att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga eller för forskning som avser trafiksäkerhet. Det får vidare ske om det behövs för att Transportstyrelsen ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig. Det är då fråga om att tillgodose den registrerades rättigheter enligt EU:s dataskyddsförordning. En åtgärd för att personuppgifter åter ska bli direkt hänförliga till enskilda registrerade får enbart ske i ett enskilt fall och om det är absolut

nödvändigt. Återskapande av direktidentifierande uppgifter får därmed endast ske avseende en avgränsad mängd uppgifter. En sådan åtgärd ska vidare ske med restriktivitet, och behovet av behandlingen ska prövas noga i det enskilda fallet. Regleringen innebär vidare att enbart pseudonymiserade uppgifter kan tillhandahållas genom direktåtkomst enligt 15 §.

Paragrafen utformas i enlighet med Lagrådets förslag.

Direktåtkomst

15 § Myndigheten för samhällsskydd och beredskap, Polismyndigheten,

Statens väg- och transportforskningsinstitut, Trafikanalys, Trafikverket, kommunala myndigheter och länsstyrelser får medges direktåtkomst till sådana personuppgifter i databasen som respektive myndighet behöver för de ändamål som anges i 7 § första stycket.

Universitet och högskolor som är myndigheter eller som vid tillämpningen av offentlighets- och sekretesslagen (2009:400) ska jämställas med myndigheter får medges direktåtkomst till personuppgifter i databasen, om uppgifterna behövs för forskning som avser trafiksäkerhet.

Paragrafen reglerar direktåtkomst till personuppgifter i databasen. Övervägandena finns i avsnitt 6.12.1.

Transportstyrelsen ges genom paragrafen möjlighet att medge direktåtkomst till personuppgifter i databasen. Uppgifter kan lämnas ut genom direktåtkomst i den utsträckning det finns en sekretessbrytande bestämmelse som medger det. I 19 § finns en sådan bestämmelse för att möjliggöra den nu aktuella direktåtkomsten. Av 14 § följer att inga uppgifter som direkt kan hänföras till en enskild person kan lämnas ut genom direktåtkomst. I den utsträckning uppgifter som är direkt hänförliga till en person behövs för forsknings- eller statistikändamål, får sådana uppgifter begäras ut på annat sätt än genom direktåtkomst.

Första stycket ger Transportstyrelsen möjlighet att lämna ut uppgifter från databasen genom direktåtkomst till vissa myndigheter. Myndigheterna får medges direktåtkomst till uppgifter i databasen om uppgifterna hos mottagaren behövs för ändamålen framställning av statistik inom trafiksäkerhetsområdet, forskning som avser trafiksäkerhet eller planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete.

När det gäller kommunala myndigheter är det i första hand en kommuns trafiknämnd eller liknande som bedöms ha behov av uppgifterna. Myndigheterna kan ha behov av uppgifterna för skilda ändamål inom området trafiksäkerhet. Enligt vad som framgår av 17 § kan närmare föreskrifter om omfattningen av direktåtkomsten meddelas.

Enligt andra stycket får universitet och högskolor medges direktåtkomst, om uppgifterna behövs för forskning som avser trafiksäkerhet. Även sådana universitet och högskolor som enligt 2 kap. 4 § offentlighets- och sekretesslagen ska jämställas med myndigheter får medges direktåtkomst för detta ändamål. Att uppgifterna behövs för forskning som avser trafiksäkerhet innebär att endast de universitet och högskolor som utför sådan forskning kan medges direktåtkomst.

Utöver vad som anges i paragrafen kan direktåtkomst även medges till uppgifter som inte kan hänföras till en enskild. För att kunna lämnas ut genom direktåtkomst, ska uppgifterna då inte vara sådana att de omfattas

av sekretess eller avser identifierbara personer. Uppgifter som i och för sig avser enskilda men som t.ex. har slagits samman eller som inte är så detaljerade att de inte är eller längre utgör personuppgifter och som inte bedöms kunna ge upphov till s.k. bakvägsidentifiering kan lämnas ut genom direktåtkomst. Även en uppgift som inte avser enskilds personliga eller ekonomiska förhållanden kan lämnas ut på det sättet. Uppgifter som nu avses kan lämnas ut till andra än de myndigheter, universitet och högskolor som avses i paragrafen, t.ex. intresseorganisationer och företag.

16 § Om uppgifterna i databasen ska användas i sådan forskning som

omfattas av lagen ( 2003:460 ) om etikprövning av forskning som avser människor, får direktåtkomst enligt 15 § medges endast under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts vid etikprövning enligt den lagen.

Paragrafen innehåller en bestämmelse om att ytterligare villkor ska vara uppfyllda för att direktåtkomst i vissa fall ska få medges. Övervägandena finns i avsnitt 6.12.1.

Om uppgifterna i Strada ska användas i viss forskning, får direktåtkomst enligt paragrafen endast medges om det finns godkännande från Etikprövningsmyndigheten. I lagen om etikprövning av forskning som avser människor finns krav på att viss forskning som omfattas av lagens tillämpningsområde får utföras bara om den har godkänts vid en etikprövning. Lagen tillämpas bl.a. på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter om lagöverträdelser som innefattar brott. Forskningen får innefatta behandling av sådana personuppgifter bara om behandlingen har godkänts vid etikprövningen. Om uppgifter i databasen ska användas i sådan forskning som omfattas av den lagen, får direktåtkomst enligt 15 § medges endast under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts vid sådan prövning.

17 § Regeringen eller den myndighet som regeringen bestämmer kan

med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet vid sådan åtkomst.

Paragrafen är en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om direktåtkomst. Övervägandena finns i avsnitt 6.12.1.

Föreskrifterna kan avse bl.a. begränsningar i direktåtkomsten.

18 § Den som har medgetts direktåtkomst enligt 15 § ansvarar för att

tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen reglerar tillgången hos mottagaren till personuppgifter som har lämnats ut genom direktåtkomst. Övervägandena finns i avsnitt 6.12.1.

Av paragrafen framgår att den som har beviljats direktåtkomst enligt 15 § till personuppgifter i databasen ansvarar för att tillgången till upp-

gifterna begränsas. Mottagaren är alltså skyldig att se till att endast den eller de som behöver en uppgift för att fullgöra sina arbetsuppgifter med avseende på de ändamål som avses i 7 § första stycket får ta del av uppgiften. Paragrafen utgör en precisering av de principer för personuppgiftsbehandling som framgår av artikel 5.1 i EU:s dataskyddsförording.

19 § Den som har medgetts direktåtkomst enligt 15 § har vid sådan

åtkomst rätt att ta del av de uppgifter i databasen som avses i den paragrafen.

Paragrafen innehåller en rätt för de myndigheter, universitet och högskolor som avses i 15 § att ta del av uppgifter i databasen vid direktåtkomst. Övervägandena finns i avsnitt 6.12.1.

Uppgifterna i databasen är sekretessreglerade. Paragrafen innebär att de uppgifter som de aktuella myndigheterna, universiteten och högskolorna enligt 15 § medges direktåtkomst till utan hinder av sekretess får lämnas ut genom sådan åtkomst. Genom deras rätt att ta del av uppgifterna uppkommer alltså en sådan uppgiftsskyldighet för Transportstyrelsen som enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (2009:400) bryter sekretess.

Längsta tid som personuppgifter får behandlas

20 § Personuppgifter i databasen får inte behandlas under längre tid än vad

som är nödvändigt för de ändamål som anges i 7 § första stycket.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om den längsta tid som personuppgifter får behandlas och om gallring.

Paragrafen innehåller föreskrifter om avskiljning av personuppgifter. Övervägandena finns i avsnitt 6.14.

Första stycket innebär en skyldighet för Transportstyrelsen att avskilja sådana personuppgifter som inte längre behövs för något av de ändamål som anges i 7 § första stycket. Detta innebär att uppgifterna ska avföras ur databasen till ett arkivsystem. Om uppgifter behålls i databasen, ska de behandlas på ett sådant sätt att identifieringsmöjligheterna försvinner.

Uppgifterna i databasen får med andra ord då inte längre utgöra personuppgifter i dataskyddsförordningens mening.

I andra stycket finns en upplysning om att regeringen kan meddela föreskrifter om längsta tid som personuppgifter får behandlas och om gallring.

Hänvisningar till US1

Sammanfattning av promemorian Strada – Transportstyrelsens olycksdatabas (Ds 2016:20)

I promemorian, som utarbetats i Näringsdepartementet, lämnas förslag på en ny lag och en ny förordning för personuppgiftsbehandlingen i Transportstyrelsens olycksdatabas Strada, vilken förs sedan 2003. Det lämnas också förslag till ändringar i förordningen (1990:717) om undersökning av olyckor, förordningen (2008:1300) med instruktion för Transportstyrelsen och offentlighets- och sekretessförordningen (2009:641). De förslag som lämnas leder till att kungörelsen (1965:561) om statistiska uppgifter angående vägtrafikolyckor ska upphävas.

Utöver bestämmelser om personuppgiftsbehandling och därmed sammanhängande frågor, innehåller den nya lagen en uppgiftsskyldighet för de vårdgivare som i dag rapporterar till Transportstyrelsen genom Strada med stöd av avtal. Det föreslås också att olyckor i fritidssjöfart ska rapporteras i Strada med stöd av uppgiftsskyldighet och att rapporteringen ska vara rikstäckande. Det föreslås att Transportstyrelsen ska få ersätta de vårdgivare som har en uppgiftsskyldighet till Strada och att avgifter tas ut vid elektroniskt utlämnande av uppgifter från Strada.

Den nya lagen och förordningen samt de föreslagna författningsändringarna föreslås träda i kraft den 25 maj 2018.

Promemorians lagförslag

Förslag till lag om Transportstyrelsens olycksdatabas

Härigenom föreskrivs följande.

Lagens syfte och tillämpningsområde

1 § Transportstyrelsen ska för trafiksäkerhetsändamål föra en olycksdatabas över olyckor inom transportområdet.

Denna lag gäller vid behandling av personuppgifter i olycksdatabasen om behandlingen är helt eller delvis automatiserad.

Lagen gäller i tillämpliga delar också uppgifter om avlidna personer.

Definitioner

2 § I denna lag avses med dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Bestämmelserna om personuppgiftsbehandling i denna lag utgör preciseringar av dataskyddsförordningens bestämmelser i enlighet med artikel 6 och artikel 9.2 g och j i dataskyddsförordningen.

3 § Om inte annat anges ska definitionerna i lagen (2001:559) om vägtrafikdefinitioner och i förordningen (2001:651) om vägtrafikdefinitioner tillämpas i denna lag.

4 § I denna lag avses med en

1. vägtrafikolycka: en oavsiktlig plötslig händelse, eller rad av händelser, som har inträffat i trafik på en väg vari deltagit minst ett fordon i rörelse,

2. olycka i trafikmiljö: en vägtrafikolycka, en oavsiktlig plötslig händelse, eller rad av händelser, som har involverat en trafikant om olyckan har inträffat på en väg, på en gångbana, på en buss- eller spårvagnshållplats eller ombord på en spårvagn,

3. olycka med ett fritidsfartyg: en oavsiktlig plötslig händelse, eller rad av händelser, som har inträffat med ett fritidsfartyg och

4. olycka med ett terrängmotorfordon: en oavsiktlig plötslig händelse eller rad av händelser, som har inträffat i terräng med ett terrängmotorfordon.

Personuppgiftsansvar

5 § Transportstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och enligt föreskrifter meddelade med stöd av lagen.

Innehåll

6 § Olycksdatabasen får enbart innehålla pseudonymiserade uppgifter.

Transportstyrelsen får i ett enskilt fall avkoda en pseudonymiserad personuppgift om det är nödvändigt för forskningsändamål eller för att uppfylla sina skyldigheter som personuppgiftsansvarig.

Ändamål

7 § Transportstyrelsen får behandla personuppgifter i databasen om det behövs för

1. statistik inom trafiksäkerhetsområdet,

2. forskning som rör trafiksäkerhet,

3. uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete. I ett enskilt fall får personuppgifter som behandlas enligt första stycket 1–3 även behandlas för att tillhandahålla uppgifter för något annat ändamål än de som anges i första stycket 1–3, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för.

Uppgifter om hälsa

8 § Uppgifter om hälsa som avses i dataskyddsförordningen får behandlas utan samtycke från den registrerade eller närstående till den registrerade.

Andra särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen får inte behandlas i databasen.

Uppgiftsskyldighet till Transportstyrelsen

9 § En vårdgivare som ger akutsjukvård och har ortopedi eller kirurgi i sin verksamhet ska för de ändamål som anges i 7 § rapportera uppgifter om samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med ett fritidsfartyg eller en olycka med ett terrängmotorfordon till Transportstyrelsen genom olycksdatabasen.

10 § Om en vägtrafikolycka eller en olycka med ett terrängmotorfordon i rörelse har inträffat och olyckan har medfört en personskada, ska

Polismyndigheten rapportera det till Transportstyrelsen genom olycksdatabasen snarast och senast sju dagar efter det att Polismyndigheten har fått kännedom om olyckan.

11 § Om ett dödsfall har inträffat till följd av en vägtrafikolycka eller en olycka med ett terrängmotorfordon i rörelse, ska Polismyndigheten rapportera det till Transportstyrelsen genom olycksdatabasen snarast och senast fem dagar efter det att Polismyndigheten fick kännedom om dödsfallet.

Rapporteringen ska avse sådana olyckor då någon avlidit vid olyckan eller som en följd av en sådan olycka inom 30 dagar från olyckstillfället.

12 § Om Polismyndigheten får kännedom om att en olycka med ett fritidsfartyg har inträffat som har medfört att en person har drabbats av en svår kroppsskada eller avlidit, ska myndigheten omedelbart rapportera det till

Transportstyrelsen genom olycksdatabasen. Detsamma gäller för Tullverket och Kustbevakningen.

Transportstyrelsens uppgiftsskyldighet

13 § På begäran av Trafikverket, Polismyndigheten eller Myndigheten för samhällsskydd och beredskap ska Transportstyrelsen lämna ut uppgifter som behövs för uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete för myndigheten i fråga.

På begäran av en kommunal myndighet eller en länsstyrelse ska Transportstyrelsen lämna ut uppgifter från databasen som behövs för uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete i kommunen eller länet.

Direktåtkomst

14 § Myndigheten för samhällsskydd och beredskap, Polismyndigheten,

Statens väg- och transportforskningsinstitut, Trafikanalys och Trafikverket samt en kommunal myndighet och en länsstyrelse får medges direktåtkomst till uppgifter i databasen.

En annan fysisk eller juridisk person får i ett enskilt fall medges direktåtkomst.

Utlämnande på medium för automatiserad behandling

15 § Får personuppgifter lämnas ut, kan det ske på medium för automatiserad behandling.

Gallring

16 § Personuppgifter i olycksdatabasen ska gallras när de inte längre behövs för sitt ändamål.

Ersättning

17 § Transportstyrelsen får ersätta en vårdgivare för rapportering till olycksdatabasen enligt 9 §.

Bemyndiganden

18 § Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om

1. uppgiftsskyldighet till olycksdatabasen enligt 9–12 §§,

2. behörighets- och säkerhetskrav vid direktåtkomst till uppgifter i databasen,

3. undantag från gallringsskyldigheten i 16 § och

4. ersättning till vårdgivare enligt 17 §.

Denna lag träder i kraft den 25 maj 2018.

Förteckning över remissinstanserna

Efter remiss har yttrande över promemorian Strada Transportstyrelsens olycksdatabas (Ds 2016:20) inkommit från AB Volvo, Akademiska sjukhuset, Chalmers tekniska högskola AB/SAFER, Integritetsskyddsmyndigheten (tidigare Datainspektionen), Ekonomistyrningsverket, Göteborgs kommun, Justitiekanslern, Kammarrätten i Göteborg, Kustbevakningen, Landskrona kommun, Linköpings kommun, Linköpings tingsrätt, Lunds tekniska högskola, Länsstyrelsen i Blekinge län, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Södermanlands län, Motorförarnas helnykterhetsförbund, Riksförbundet M Sverige (tidigare Motormännens riksförbund), Myndigheten för samhällsskydd och beredskap (MSB), Nationalföreningen för trafiksäkerhetens främjande (NTF), Region Halland, Region Norrbotten, Region Örebro län, Region Västernorrland, Polismyndigheten, Riksarkivet, Sjöfartsverket, Socialstyrelsen, Sollentuna kommun, Statens haverikommission, Statens väg- och transportforskningsinstitut (VTI), Svalövs kommun, Svensk Trafikmedicinsk förening, Sveriges Kommuner och Regioner (SKR, tidigare Sveriges Kommuner och Landsting), Sveriges motorcyklister, Trafikanalys, Trafikverket, Transportstyrelsen, Tullverket, Umeå kommun och Örkelljunga kommun.

Yttrande har också inkommit från Nevs AB och Volvo Cars. Bräcke kommun, Cykelfrämjandet, Folksam, Hallsbergs kommun, Helsingborgs lasarett, Huddinge kommun, Hudiksvalls kommun, Karlskoga kommun, Knivsta kommun, Knivsta kommun, Kristianstads kommun, Kungsörs kommun, Lidköpings kommun, Lomma kommun, Lysekils kommun, Malmö kommun, Mariestads kommun, Mölndals kommun, Ockelbo kommun, Oskarshamns kommun, Piteå kommun, Region Skåne, Region Stockholm, Region Värmland, Sala kommun, Södersjukhuset, Timrå kommun, Trafikförsäkringsföreningen, Tyresö kommun, Uddevalla kommun, Ulricehamns kommun, Vaxholms kommun, Vänersborgs kommun, Västerås kommun, Åre kommun och Örnsköldsviks sjukhus har getts tillfälle att lämna synpunkter, men avstått från att yttra sig eller inte avhörts.

Lagförslaget i utkastet till lagrådsremiss

Förslag till lag om Transportstyrelsens olycksdatabas

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Transportstyrelsens databas över olyckor och skador i trafiken. Lagen gäller även vid behandling av uppgifter om avlidna personer i databasen.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uttryck i lagen

4 § Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning, lagen (2001:559) om vägtrafikdefinitioner och förordningen (2001:651) om vägtrafikdefinitioner.

5 § I denna lag avses med en

1. vägtrafikolycka: en plötslig händelse eller serie av händelser som har inträffat helt eller delvis på en väg och involverat ett fordon i rörelse,

2. olycka i trafikmiljö: en plötslig händelse eller serie av händelser som har involverat en trafikant och inträffat

a) helt eller delvis på en väg,

b) helt eller delvis på en gångbana som inte ligger invid en väg,

c) på en buss- eller spårvagnshållplats, eller

d) ombord på en spårvagn,

3. olycka med terrängmotorfordon: en plötslig händelse eller serie av händelser som har involverat ett terrängmotorfordon i rörelse, och

4. olycka med fritidsfartyg: en plötslig händelse eller serie av händelser som har involverat ett fritidsfartyg i hamn eller i drift.

Personuppgiftsansvar

6 § Transportstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i databasen.

Ändamål med behandlingen

7 § Personuppgifter får behandlas i databasen om det är nödvändigt för

1. framställning av statistik inom trafiksäkerhetsområdet,

2. forskning som avser trafiksäkerhet, eller

3. uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete. Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in.

Behandling av känsliga personuppgifter

8 § Uppgifter om hälsa får behandlas i databasen och får användas som sökbegrepp. Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas.

Uppgifter som ska lämnas till databasen

9 § Vårdgivare som ger akutsjukvård och vars verksamhet innefattar ortopedi eller kirurgi ska till databasen lämna uppgifter som rör samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg.

10 § Polismyndigheten ska till databasen lämna uppgifter om en sådan vägtrafikolycka, olycka med terrängmotorfordon och olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

11 § Kustbevakningen ska till databasen lämna uppgifter om en sådana olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om uppgiftsskyldigheterna enligt 9–11 §§.

Pseudonymisering av personuppgifter

13 § Databasen får endast innehålla pseudonymiserade personuppgifter.

Trots första stycket får Transportstyrelsen i ett enskilt fall vidta åtgärder för att personuppgifter åter ska kunna tillskrivas enskilda registrerade, om det är nödvändigt för

1. att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga,

2. forskning som avser trafiksäkerhet, eller

3. att Transportstyrelsen ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig.

Direktåtkomst

14 § Myndigheten för samhällsskydd och beredskap, Polismyndigheten,

Statens väg- och transportforskningsinstitut, Trafikanalys, Trafikverket, kommunala myndigheter och länsstyrelser får medges direktåtkomst till

personuppgifter i databasen som respektive myndighet behöver för de ändamål som anges i 7 § första stycket.

Universitet och högskolor som är myndigheter eller som vid tillämpningen av offentlighets- och sekretesslagen (2009:400) ska jämställas med myndigheter får medges direktåtkomst till personuppgifter i databasen, om uppgifterna behövs för forskning som avser trafiksäkerhet.

15 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet vid sådan åtkomst.

16 § Den som har medgetts direktåtkomst enligt 14 § ansvarar för att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

17 § Den som har medgetts direktåtkomst enligt 14 § har vid sådan åtkomst rätt att ta del av de uppgifter i databasen som avses i den paragrafen.

Gallring

18 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt för de ändamål som anges i 7 § första stycket.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får gallras.

Denna lag träder i kraft den 1 januari 2021.

Lagrådsremissens lagförslag

Förslag till lag om Transportstyrelsens olycksdatabas

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Transportstyrelsens databas över olyckor och skador i trafiken. Lagen gäller även vid behandling av sådana uppgifter i databasen som gäller avlidna personer.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uttryck i lagen

4 § Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning, lagen (2001:559) om vägtrafikdefinitioner och förordningen (2001:651) om vägtrafikdefinitioner.

5 § I denna lag avses med en

1. vägtrafikolycka: en plötslig händelse eller serie av händelser som har inträffat helt eller delvis på en väg och involverat ett fordon i rörelse,

2. olycka i trafikmiljö: en plötslig händelse eller serie av händelser som har involverat en trafikant och inträffat

a) helt eller delvis på en väg,

b) helt eller delvis på en gångbana som inte ligger invid en väg,

c) på en buss- eller spårvagnshållplats, eller

d) ombord på en spårvagn,

3. olycka med terrängmotorfordon: en plötslig händelse eller serie av händelser som har involverat ett terrängmotorfordon i rörelse, och

4. olycka med fritidsfartyg: en plötslig händelse eller serie av händelser som har involverat ett fritidsfartyg i hamn eller i drift.

Personuppgiftsansvar

6 § Transportstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i databasen.

Ändamål med behandlingen

7 § Personuppgifter får behandlas i databasen om det är nödvändigt för

1. framställning av statistik inom trafiksäkerhetsområdet,

2. forskning som avser trafiksäkerhet, eller

3. planering, uppföljning, utvärdering eller kvalitetssäkring av trafiksäkerhetsarbete.

Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in.

Innehåll

8 § Databasen får innehålla uppgifter med anknytning till en sådan olycka som avses i denna lag och om personer som varit involverade i olyckan.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter enligt första stycket som får behandlas i databasen.

Behandling av särskilda kategorier av personuppgifter

9 § Uppgifter om hälsa får behandlas i databasen och får användas som sökbegrepp. Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas.

För ändamål som avses i 7 § andra stycket får uppgifter om hälsa och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning behandlas endast om det är absolut nödvändigt för syftet med behandlingen.

Uppgifter som ska lämnas till databasen

10 § Vårdgivare som ger akutsjukvård och vars verksamhet innefattar ortopedi eller kirurgi ska till databasen lämna uppgifter som rör samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med terrängmotorfordon eller en olycka med fritidsfartyg.

11 § Polismyndigheten ska till databasen lämna uppgifter om en sådan vägtrafikolycka, olycka med terrängmotorfordon eller olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

12 § Kustbevakningen ska till databasen lämna uppgifter om en sådan olycka med fritidsfartyg som myndigheten fått kännedom om och som medfört personskada eller dödsfall.

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om uppgiftsskyldigheterna enligt 10–12 §§.

Pseudonymisering av personuppgifter

14 § Databasen får endast innehålla pseudonymiserade personuppgifter.

Trots första stycket får Transportstyrelsen i ett enskilt fall vidta åtgärder för att personuppgifter åter ska kunna tillskrivas enskilda registrerade, om det är nödvändigt för

1. att säkerställa att uppgifter som myndigheten lämnar som underlag för officiell statistik är riktiga,

2. forskning som avser trafiksäkerhet, eller

3. att Transportstyrelsen ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig.

Direktåtkomst

15 § Myndigheten för samhällsskydd och beredskap, Polismyndigheten,

Statens väg- och transportforskningsinstitut, Trafikanalys, Trafikverket, kommunala myndigheter och länsstyrelser får medges direktåtkomst till sådana personuppgifter i databasen som respektive myndighet behöver för de ändamål som anges i 7 § första stycket.

Universitet och högskolor som är myndigheter eller som vid tillämpningen av offentlighets- och sekretesslagen (2009:400) ska jämställas med myndigheter får medges direktåtkomst till personuppgifter i databasen, om uppgifterna behövs för forskning som avser trafiksäkerhet.

16 § Om uppgifterna i databasen ska användas i sådan forskning som omfattas av lagen (2003:460) om etikprövning av forskning som avser människor, får direktåtkomst enligt 15 § medges endast under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts vid etikprövning enligt den lagen.

17 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet vid sådan åtkomst.

18 § Den som har medgetts direktåtkomst enligt 15 § ansvarar för att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

19 § Den som har medgetts direktåtkomst enligt 15 § har vid sådan åtkomst rätt att ta del av de uppgifter i databasen som avses i den paragrafen.

Längsta tid som personuppgifter får behandlas

20 § Personuppgifter i databasen får inte behandlas under längre tid än vad som är nödvändigt för de ändamål som anges i 7 § första stycket.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om den längsta tid som personuppgifter får behandlas och om gallring.

Denna lag träder i kraft den 1 juli 2021.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2021-02-10

Närvarande: F.d. justitierådet Ella Nyström samt justitieråden

Per Classon och Stefan Johansson

Transportstyrelsens olycksdatabas

Enligt en lagrådsremiss den 28 januari 2021 har regeringen (Infrastrukturdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om Transportstyrelsens olycksdatabas.

Förslaget har inför Lagrådet föredragits av kanslirådet Louise Berlin.

Förslaget föranleder följande yttrande.

1 §

I paragrafen föreskrivs att lagen gäller vid behandling av person-uppgifter i Transportstyrelsens databas över olyckor och skador i trafiken. Av författningskommentaren framgår att med skador avses personskador. Begreppet personskada används dessutom i såväl 11 som 12 §. Lagrådet anser därför att det begreppet bör användas även i 1 §. I paragrafens andra mening anges vidare att lagen även gäller vid behandling av sådana uppgifter i databasen som avser avlidna personer. Eftersom uppgifter om avlidna personer inte är personuppgifter bör ordet sådana utgå.

Med anledning av dessa synpunkter förordar Lagrådet att paragrafen ges följande lydelse.

Denna lag gäller vid behandling av personuppgifter i Transportstyrelsens databas över olyckor och personskador i trafiken. Lagen gäller även vid behandling av uppgifter i databasen som gäller avlidna personer.

5 § punkt 4

I bestämmelsen föreskrivs att med en olycka med fritidsfartyg avses en plötslig händelse eller serie av händelser som har involverat ett fritidsfartyg i hamn eller i drift.

Av kommentaren framgår följande. Med fritidsfartyg avses ett fartyg, oavsett storlek, som vid olyckstillfället används för fritidsändamål. Avsikten – vilket bekräftats vid föredragningen – är att även fartyg som används i kommersiell eller annan yrkesmässig verksamhet ska omfattas om fartyget vid olyckstillfället används för fritidsändamål.

Uttrycket fritidsfartyg finns i flera författningar men definieras inte. Lagrådet noterar att Transportstyrelsen har publicerat en definition på sin hemsida. Enligt den så är ett fritidsfartyg ”ett fartyg som endast används för sport- och fritidsändamål. Ett fartyg som används i affärsmässig verksamhet är inte ett fritidsfartyg”.

I departementspromemorian (Ds 2016:20) – som föregick lagrådsremissen – angavs i kommentaren till bestämmelsen att användningen för fritidsändamål avser att utesluta användning i kommersiellt syfte, i affärsmässig verksamhet eller användning av fartyget i statlig tjänst.

Mot den angivna bakgrunden framstår betydelsen av begreppet ”fritidsfartyg” inte som entydig. Frågan om begreppets innebörd liksom behovet av en definition i lagen bör därför uppmärksammas under den fortsatta beredningen.

Beträffande de olyckshändelser som omfattas anges följande i kommentaren. Olyckor som omfattas är sådana som inträffat när fartyget är i drift, vilket t.ex. innebär att olyckor som inträffat med ett fartyg som är uppställt på land inte omfattas. Även olyckor som sker när fartyget befinner sig i hamn ska rapporteras, oaktat om olyckan inträffat när fartyget är i drift eller ligger förtöjt.

Det sist sagda i kommentaren måste förstås på så sätt att lagen är tillämplig på en olyckshändelse om den inträffar när fartyget är i hamn oavsett om det är i drift eller inte. Detta bör klargöras i kommentaren.

Sammanfattningsvis framstår avsikten med det som sägs i kommentaren vara att olyckor som involverat ett sjösatt fritidsfartyg omfattas och detta oavsett om fartyget anses ha varit i drift eller inte. Om så är fallet bör en alternativ och enklare utformning av bestämmelsen övervägas.

9 §

Paragrafen reglerar hur känsliga personuppgifter får behandlas. I första meningen anges att uppgifter om hälsa får behandlas i data-basen och får användas som sökbegrepp. Som framgår av 1 §, och även uttalas i författningskommentaren till 9 §, är de hälsouppgifter som får förekomma i databasen uppgifter om skador som har följt på sådana olyckor som ska rapporteras. Det är, som framgått under 1 § ovan, fråga om personskador. Denna begränsning bör uttryckligen framgå av lagtexten. Första meningen bör därför ges följande lydelse.

Uppgifter om hälsa som avser personskador får behandlas i databasen och får användas som sökbegrepp.

10 §

Av paragrafen framgår att vissa vårdgivare ska till databasen lämna uppgifter som rör samtliga personer som söker vård eller har avlidit till följd av en olycka i trafikmiljö, en olycka med terrängmotorfordon eller

en olycka med fritidsfartyg. Detta innebär att vårdgivaren inte längre behöver inhämta patientens samtycke för att lämna personuppgifter till databasen.

De uppgifter som lämnas till databasen kan vårdgivaren ha stöd för att samla in eftersom uppgifterna behövs i vårdgivarens verksamhet. Det kan t.ex. vara fråga om uppgifter om skador som baseras på patientjournalen. Paragrafen innebär emellertid att det införs en rättslig grund för att även behandla och lämna sådana uppgifter till databasen som inte behövs i vårdgivarens verksamhet. Det kan avse uppgifter om själva olyckan som vårdgivaren hämtar in direkt från den patient som söker vård, t.ex. uppgifter om var och när olyckan inträffade, på vilken typ av väg eller plats, vilka omständigheter som rådde och vilken typ av trafikant som patienten var vid olyckan.

Som anges i remissen saknas det möjlighet att framtvinga uppgifter om olyckan från patienten och patienten behöver därför även i fortsättningen frivilligt medverka till att lämna uppgifterna. Om patienten lämnar sådana uppgifter har vårdgivaren dock en skyldighet att lämna dem till databasen. En mängd uppgifter, även sådana som kan vara känsliga för patienten, kan alltså komma att lämnas till databasen.

Eftersom det inte längre kommer att krävas samtycke av patienten anser Lagrådet att vårdgivaren bör ha en skyldighet att upplysa patienten om att de uppgifter om olyckan som han eller hon lämnar till vårdgivaren kommer att lämnas vidare till databasen. Denna fråga förbigås emellertid med tystnad i lagrådsremissen. Enligt Lagrådets mening är det en brist att det inte på något sätt kommer till uttryck i remissen att vårdgivaren har en upplysningsskyldighet gentemot patienten. Lagrådet förutsätter att frågan blir föremål för ytterligare överväganden under den fortsatta beredningen.

14 §

Paragrafen innehåller ett krav på att personuppgifter i databasen ska vara pseudonymiserade. Av andra stycket följer att Transportstyrelsen i vissa fall, om det är nödvändigt, får vidta åtgärder för att personuppgifter som finns i databasen åter ska kunna tillskrivas enskilda registrerade.

I lagen används såväl ”nödvändigt” som ”absolut nödvändigt”. I författningskommentaren till 7 § anges att kravet på att behandlingen av personuppgifter ska vara nödvändig inte innebär att behandlings-åtgärden ska vara oundgänglig. Kravet utgör endast en spärr mot helt onödig behandling av personuppgifter. Av 9 § framgår att uppgifter om hälsa får vidarebehandlas endast om det är absolut nödvändigt. Enligt författningskommentaren innebär detta krav att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda fallet. Lagrådet anser att motsvarande restriktivitet bör gälla för att personuppgifter i databasen åter ska kunna hänföras till enskilda registrerade. Vidare menar Lagrådet att ordet tillskriva är ett språkligt mindre lämpligt uttryck. Med anledning härav föreslår Lagrådet att inledningen av 14 § andra stycket ges följande lydelse.

Trots första stycket får Transportstyrelsen i ett enskilt fall vidta åtgärder för att personuppgifter åter ska bli direkt hänförliga till enskilda registrerade, om det är absolut nödvändigt för…

Infrastrukturdepartementet

Utdrag ur protokoll vid regeringssammanträde den 11 mars 2021

Närvarande: statsminister Löfven, ordförande, och statsråden Bolund, Baylan, Hultqvist, Damberg, Shekarabi, Ygeman, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lindhagen, Lind, Hallberg, Nordmark, Micko, Olsson Fridh

Föredragande: statsrådet Eneroth

Regeringen beslutar proposition 2020/21:124 Transportstyrelsens olycksdatabas