SOU 2017:50

Personuppgiftsbehandling för forskningsändamål

Till statsrådet Helene Hellmark Knutsson

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att med anledning av EU:s dataskyddsförordning föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål, med syftet att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas (dir. 2016:65). Den 16 mars 2017 beslutade regeringen tilläggsdirektiv till utredningen (dir. 2017:29) med uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, samt beslutade att uppdraget ska slutredovisas senast den 27 april 2018.

Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg.

Som huvudsekreterare anställdes den 1 september 2016 Linda Stridsberg. Samma dag anställdes Staffan Malmgren som utredningssekreterare. Den 26 september anställdes Magnus Stenbeck som utredningssekreterare.

Som experter att biträda utredningen förordnades den 10 november 2016 professor Johan Askling, enhetschef Anna Bennet Bark, jurist Ulrika Harnesk, professor Peter Höglund, chefsjurist Anna Hörnlund, verksjurist Jonas Jeppson, avdelningschef Petra Otterblad. Den 15 november 2016 förordnades även professor Robert Erikson som expert.

Som sakkunniga i utredningen förordnades den 10 november 2016 kansliråden Olle Sundberg, Maria Wästfelt och Tyri Öhman. Maria Wästfelt entledigades från uppdraget den 28 februari 2017 och förordnades samma dag som expert i utredningen. Den 23 mars 2017

förordnades även departementssekreterare Thomas Neidenmark som sakkunnig i utredningen.

Utredningen, som har tagit sig namnet Forskningsdatautredningen, överlämnar härmed delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).

Stockholm i maj 2017

Cecilia Magnusson Sjöberg

/Linda Stridsberg

Staffan Malmgren Magnus Stenbeck

Sammanfattning

Uppdraget

I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författningsförslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning.

Bakgrund, rättsliga utgångspunkter och begrepp

Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och gäller i stället för motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet (95/46/EG) och dess svenska implementering genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpningsområde.

Begreppet forskningsändamål

Förordningens återkommande uttryck ”vetenskapliga eller historiska forskningsändamål” innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedömning likställas.

Personuppgiftsbehandling för forskningsändamål bör vidare kunna omfatta hela eller delar av forskningsprocessen. Iordningställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är således att de enskilda delarna av denna process ska kunna betecknas som behandling för forskningsändamål utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier där förlopp studeras över tidsperioder som ibland omfattar många år.

En forskningsdatalag

Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdatalagen. En registerförfattning, eller en bestämmelse i en registerförfattning, som specifikt är tillämplig på personuppgiftsbehandling för ändamålet forskning ska ha företräde framför avvikande bestämmelser i forskningsdatalagen.

Rättslig grund

Fastställande av allmänt intresse som rättslig grund

Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framför allt kan komma ifråga för forskningsändamål är, enligt utredningens bedömning, samtycke enligt artikel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavvägning enligt artikel 6.1 f.

Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forskningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komplettera dataskyddsförordningen.

Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den särskilda behandlingen. Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

Kravet enligt artikel 6.3 på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på.

I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga

som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.

Om inga nationella lagstiftningsåtgärder vidtas innebär förordningens bestämmelser att offentliga forskningsaktörer framför allt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, i praktiken beroende på vilken organisationsform aktören har, är enligt utredningens bedömning rimligen inte avsiktligt.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen för behandling av personuppgifter för forskningsändamål.

Ytterligare behandling

Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med

stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar.

I samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgiftsansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Samtycke

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Dataskyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med i personuppgiftslagen.

Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförordningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här

om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhållanden, dvs. när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas.

Ytterligare behandling av personuppgifter för forskningsändamål insamlade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny personuppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt.

Känsliga personuppgifter

Av artikel 9.1 i dataskyddsförordningen framgår att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens definition av den här kategorin av personuppgifter är något utökad jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförordningen används vidare benämningen särskilda kategorier av personuppgifter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi dock att även fortsatt benämna dessa slags personuppgifter som känsliga personuppgifter.

För att behandling av känsliga personuppgifter ska vara tillåten under vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet. Som huvudsaklig skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etikprövningslagen ska kvarstå.

Personuppgifter om lagöverträdelser m.m.

Behandling av personuppgifter om lagöverträdelser m.m. regleras i artikel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades rättigheter och friheter. Utredningen föreslår att etikprövning enligt etikprövningslagen fortsatt ska vara den huvudsakliga skyddsåtgärden.

Personnummer och samordningsnummer

Den reglering som Dataskyddsutredningen föreslår för behandling av personnummer eller samordningsnummer innehåller samma direkt tillämpliga villkor som återfinns i nuvarande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.

Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.

Begränsningar av registrerades rättigheter

I dataskyddsförordningens tredje kapitel (artiklarna 12–23) anges den registrerades rättigheter i samband med att dennes personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas. Dataskyddsutredningen har föreslagit vissa generella begränsningar i dessa rättigheter.

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forskningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen.

Rätten till rättelse (artikel 16) ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i arkiveringssyfte. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätt till begränsning av behandling (artikel 18) ska inte gälla när den registrerade bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta, om detta medför att forskningen inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Det saknas behov av ytterligare undantag från rätten till tillgång (artikel 15) samt rätten att göra invändningar (artikel 21) när personuppgifter behandlas för forskningsändamål, utöver vad Dataskyddsutredningen har föreslagit.

Tillsyn och sanktioner

Utredningen har översiktligt behandlat frågor om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet, och ha befogenheter enligt dataskyddsförordningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen.

Eftersom den föreslagna forskningsdatalagen kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen-

heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

Skyddsåtgärder

Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför analyserat centrala begrepp, som exempelvis personuppgift, pseudonymisering och anonymisering, för att därefter gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättigheter, särskilt mot bakgrund på dataskyddsförordningens säkerhetskrav.

Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkännande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen föreslår att personuppgiftslagens befintliga bestämmelse som anger att uppgifter som samlats in för forskningsända-

mål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Vidare föreslår vi att en bestämmelse införs i forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis.

Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.

En proportionerlig lagstiftning

Utredningen har analyserat de föreslagna bestämmelserna i forskningsdatalagen utifrån de krav på framför allt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen.

Den föreslagna regleringen måste uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Utredningens bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportionell utifrån samtliga dessa proportionalitetskrav.

Etikprövning

Utredningen har analyserat vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras inför att dataskyddsförordningen börjar tillämpas. Utred-

ningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen har därpå analyserat om etikprövningslagens tillämpningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de ytterligare uppgifter som i dagsläget framgår av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde.

Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Ett differentierat etikprövningsförfarande framstår som mer ändamålsenligt inom framför allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efterföljande behandlingen endast innebär en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.

Slutligen har utredningen analyserat vilka ändringar av etikprövningslagen som i övrigt behöver göras med anledning av att dataskyddsförordningen börjar tillämpas och lämnar behövliga författningsförslag i dessa delar.

Anpassningar av vissa registerförfattningar

Vi har i uppdrag att i utredningens nästa skede bereda Registerforskningsutredningens (U 2013:01) förslag i betänkandet Unik kunskap genom registerforskning (SOU 2014:45) vidare. Eftersom det är

kort tid tills dataskyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen föreslår, som behöver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskyddsförordningen ska börja tillämpas.

Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska anpassningar av registerlagarna i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagarna ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagarna i vart fall inte ska försämras.

Ikraftträdande

Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgiftslagen samtidigt ska upphöra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.

Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på

plats när förordningen börjar tillämpas. Det är utredningens uppfattning att det därmed inte finns utrymme för några övergångsbestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål tilllämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.

Konsekvenser

Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgiftslagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.

Utredningen bedömer att förslagen inte medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen överlag innebär en förstärkning av den personliga integriteten.

Summary

Remit

In this interim report, we present our analysis of what regulation of personal data processing for research purposes is possible and may be required given that the Data Protection Regulation (EU 2016/679) is to be applied from 25 May 2018, and submit the legislative proposals required. The proposals refer to regulation in addition to the general provisions proposed by the Data Protection Inquiry (Ju 2016:04) in its report (SOU 2017:39). In addition, we have been tasked with considering, and where necessary proposing, amendments to certain related legislation.

Background, legal position and terms

The Data Protection Regulation entered into force on 24 May 2016, but under Article 99(2) is to apply from 25 May 2018. The Regulation is directly applicable in all Member States and will apply instead of equivalent national regulation. The Data Protection Regulation thus replaces the current Data Protection Directive (95/46/EC) and its implementation in Sweden by means of the Personal Data Act (1998:204). Under Article 2, the Regulation will constitute a legal starting point for the research that uses personal data and is carried out in the context of the activities of an establishment of a controller or a processor in the European Union, regardless of whether the processing takes place in the Union or not (Article 3). Research that does not encompass processing of personal data falls outside the scope of the Regulation as defined in Article 2.

The term “research purposes”

In the view of the Committee, the phrase “scientific or historical research purposes”, used repeatedly in the Regulation, covers research without the need to draw any particular distinctions in meaning between these two aspects in terms of personal data processing. The Committee judges that the terms “research” and “research purposes” can be considered equivalent.

Personal data processing for research purposes should additionally be able to encompass all or parts of the research process. Organising personal data in databases for research purposes should be covered by what is meant by research in a broad sense. The judgment of the Committee is thus that the individual parts of this process could be designated processing for research purposes without all the parts having to be included. This is particularly important in longitudinal studies in which subjects are studied over periods of time that sometimes span many years.

A Research Data Act

The Committee has defined a need to introduce a Research Data Act with the purpose of enabling personal data to be processed for the purpose of research and to protect the freedoms and rights of the individual in conjunction with such processing of personal data. The proposed Research Data Act must be applicable to all processing of personal data for research purposes irrespective of the legal basis for such processing.

The proposed Research Data Act is to apply in addition to that set out by the Data Protection Regulation. The general supplementary Data Protection Act proposed by the Data Protection Inquiry is to be subsidiary in relation to other acts and ordinances. For reasons of clarity, the Committee proposes that the Research Data Act state that the Data Protection Act applies unless stated otherwise in the Research Data Act. A statute on a specific data register or a provision in such a statute which is specifically applicable to processing personal data for research purposes shall take precedence over provisions to the contrary in the Research Data Act.

Legal basis

Establishing public interest as a legal basis

Article 6 of the Data Protection Regulation sets out the conditions that must be met for the processing of personal data to be lawful. In the view of the Committee, the legal grounds that tend to be most relevant for research purposes are consent under Article 6(1)(a), necessary processing for the performance of a task carried out in the public interest under Article 6(1)(e) and (for private actors) balance of interests under Article 6(1)(f).

However, regarding the legal grounds under Article 6(1), the Regulation requires additional national regulation regarding Article 6(1)(e) (processing necessary for the performance of a task carried out in the public interest). Considering that Article 6(1)(e) is central in a research context, because research in general is to be considered a task carried out in the public interest, the Committee has been charged with particularly analysing and, where necessary, supplementing the Data Protection Regulation.

These requirements are set out in Article 6(2) and Article 6(3), which enable and require national provisions to determine and specify the application of the legal grounds in Article 6(1)(e). The legal basis may as an element in such specification also contain general conditions governing the specific processing, for example. Under the Data Protection Regulation, it is thus possible to introduce specific provisions in national law that specify when and how personal data processing for research purposes is to take place.

The requirement under Article 6(3) that the basis for the processing under Article 6(1)(e) must be laid down by Member State law creates a tangible distinction between different categories of research actors regarding the legal conditions for processing personal data.

As far as private actors are concerned, the research task is rarely or never laid down as prescribed by the Regulation. However, it is generally accepted that private research may also be considered to constitute a task carried out in the public interest. In order for private actors to be able to cite Article 6(1)(e), statutory provisions need to be introduced on which application can be based.

Recital 45 of the Regulation states that Member States should state which actors, including private ones, are able to perform a

task carried out in the public interest, which shows that it is possible for both public and private actors to perform tasks carried out in the public interest in the sense of the Data Protection Regulation.

If no national legislative measures are taken, the provisions of the Regulation mean that public research actors predominantly have to use tasks carried out in the public interest, under Article 6(1)(e) when processing personal data for research purposes. Private research actors predominantly have to use consent, under Article 6(1)(a), or weighing up interests under Article 6(1)(f) when processing personal data for the same purposes. In the view of the Committee, the fact that the Data Protection Regulation entails such significant differences in opportunities to cite the different legal grounds in Article 6(1) when processing personal data for equivalent research purposes, in practice depending on the organisational form of the actor concerned, is unintentional.

It is necessary to have a coherent fundamental regulatory framework for processing personal data for research purposes, not least so as to attain protection for the personal privacy of the individual under the rule of law that is also adequate in other respects. The opportunities of different research actors to collaborate and carry out research that may benefit the public at large should be placed on as equal a footing as possible. Protection of personal privacy must remain equally high irrespective of the category into which the research actor falls. This should be achieved through safeguards. The Committee therefore proposes that a provision be introduced in the Research Data Act that enables both public and private research actors to cite “task carried out in the public interest” as the legal basis for processing personal data for research purposes.

Further processing

The provisions of the Data Protection Regulation mean that personal data for research purposes may be processed further by the same controller without a new legal basis having to be cited, provided that the data was originally collected citing a legal basis under Article 6(1). This differs from the application of the Personal Data Act, in which all processing must be justified under Section 10. When the personal data was originally gathered with consent, how-

ever, it is not as clear-cut whether further processing may be carried out without a new legal basis for doing so.

When transferring personal data to another controller for processing for research purposes, the new processing is still to be seen as compatible with the original processing, provided that the new purpose is research. However, the new controller must have their own legal basis for their processing for research purposes once the personal data has been transferred to them. This means that research actors that collect personal data for research purposes that was previously collected for other purposes, for example, by another agency, must cite a legal basis under Article 6(1) for the new processing. Such a legal basis may be research carried out in the public interest under Article 6(1)(e).

Consent

The definition of consent in the Data Protection Regulation essentially matches the provisions of the Personal Data Act. The introduction of the Data Protection Regulation thus entails no significant changes to the meaning of consent. Consent must be freely given, specific, informed and for sensitive personal data, explicit, and must be given by means of a statement or an unambiguously confirming document. The latter wording of the type of activity approved as consent has been added to the definition compared with the Personal Data Act.

The Committee judges that Article 9(2)(a) of the Regulation together with the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) means that it is possible to also process sensitive personal data for research purposes with consent as the legal basis if consent exists together with ethical approval under the Ethical Review Act.

Recital 33 of the Data Protection Regulation involves expanding the potential scope of consent where the purpose of the research concerned cannot be described precisely at the time of data collection. At the same time, Recital 43 of the Data Protection Regulation involves restrictions, for public authorities, regarding the opportunity to use consent as the legal basis for processing personal data. Here,

it is of particular importance whether the legal basis of public interest exists concurrently with consent being obtained.

The Data Protection Regulation offers no final solution to the hybrid circumstances already highlighted by the Article 29 Working Party and which mean that the validity of consent may be questioned.

Further processing of personal data for research purposes should normally be covered by obtaining new consent, irrespective of whether this is carried out by the same or a new controller. This should apply irrespective of the wording of Article 5(1)(b) second sentence if it is possible in practical terms and not inappropriate on ethical grounds.

Sensitive personal data

Article 9(1) of the Data Protection Regulation states that processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. The Data Protection Regulation’s definition of this category of personal data is somewhat expanded compared with that in the Data Protection Directive. Furthermore, Article 9 of the Data Protection Regulation uses the term special categories of personal data. However, in line with the view of the Data Protection Inquiry, we are choosing to continue to term this kind of data sensitive personal data.

For processing of sensitive personal data to be permitted under certain conditions, support must be provided in Member State law with suitable and specific safeguards. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research. As the main safeguard, the Committee proposes that the ethical review requirement in line with the Ethical Review Act remains.

Personal data that concern criminal offences, etc.

Processing of personal data relating to criminal convictions and offences is regulated in Article 10 of the Data Protection Regulation. Under the Data Protection Regulation, supplementary regulation in Member State law is required for bodies other than an official authority to be able to process data that concern criminal offences, etc. for research purposes. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research.

Such regulation must furthermore contain provisions on suitable measures to safeguard the fundamental rights and interests of the data subject. The Committee proposes that ethical review under the Ethical Review Act should continue to be the main safeguard.

Personal identity numbers and coordination numbers

The regulation proposed by the Data Protection Inquiry for the processing of personal identity numbers and coordination numbers contains the same directly applicable conditions as found in current legislation. These conditions are likely to be met in certain research contexts.

The Committee judges that the legal position regarding the use of personal identity numbers for research purposes will not be changed by the provisions proposed by the Data Protection Inquiry. Compared with today, the same conditions must be met to permit processing of personal identity numbers, and the Government and the supervisory authority have the same opportunities as before to issue special provisions in the form of statutes on specific data registers for certain types of processing. There is thus no need for additional supplementary national regulation.

Restrictions on the rights of the data subject

Chapter III of the Data Protection Regulation (Articles 12–23) sets out the rights of the data subject in conjunction with the processing of his or her personal data. These rights may be restricted

under certain circumstances. The Data Protection Inquiry has proposed certain general restrictions to these rights.

According to Article 89(2) of the Data Protection Regulation, where personal data are processed for scientific or historical research purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of Article 89. We have therefore analysed the effect of these rights on research and propose certain restrictions in the Research Data Act.

The right to rectification (Article 16) shall not apply to such personal data as is processed for research purposes if this is only preserved for archiving purposes. The right to rectification shall otherwise apply without derogations.

The right to restriction of processing (Article 18) shall not apply where the data subject contests the accuracy of the data during the verification period required in order to verify the accuracy of the personal data if this means that the research cannot be carried out or would be crucially delayed or impeded. The same shall apply when the data subject has objected to processing, pending the verification whether the legitimate grounds of the controller override those of the data subject.

There is no need for further derogations from the right of access (Article 15) or the right to object (Article 21) where personal data is processed for research purposes, in addition to that proposed by the Data Protection Inquiry.

Monitoring and sanctions

The Committee has addressed issues of monitoring and sanctions in a general sense in relation to the processing of personal data for research purposes.

The Data Protection Inquiry proposes that the Swedish Data Protection Authority be appointed as a supervisory authority and have the powers under the Data Protection Regulation over the national Data Protection Act that supplements the Data Protection Regulation at a general level and the other national statutes that supplement the Data Protection Regulation.

Because the proposed Research Data Act supplements the Data Protection Regulation, it is the view of the Committee that the provision proposed by the Data Protection Inquiry thus also covers the Research Data Act regarding the powers of the supervisory authority. Therefore there is no need to introduce a separate provision on monitoring in the Research Data Act.

The Data Protection Inquiry proposes a provision in the Data Protection Act that provides that the right to compensation under Article 82 of the Data Protection Regulation also applies to infringement of the provisions of this act, i.e. the Data Protection Act, and other statutes supplementing the Data Protection Regulation. It is the view of the Committee that the provision proposed by the Data Protection Inquiry thereby also covers the right to compensation in the event of infringement of the Research Data Act. There is therefore no need to introduce a specific provision on compensation in the Research Data Act.

Safeguards

Our mandate was to analyse the safeguards that should apply to all processing of personal data for research purposes and the form these safeguards should take. Regarding sensitive personal data and personal data relating to criminal offences, etc, our mandate was to analyse the need for supplementary provisions in order to be able to process this data at all, and to determine which suitable and specific measures such a regulation should contain.

We have therefore analysed key concepts, such as personal data, pseudonymisation and anonymisation, so as to subsequently examine the requirements in the Data Protection Regulation regarding safeguards. Furthermore, we have analysed a selection of organisational, technical and legal measures to safeguard the fundamental rights of the data subject, particularly in the light of the security requirements of the Data Protection Regulation.

Bearing in mind existing opportunities to regulate safeguards when personal data is processed for research purposes, we judge that it is possible and appropriate to introduce such regulation in the form of a statute. Compared with conditions set in conjunction with ethical approval and codes of conduct, statutory regulation

can provide greater clarity in application and ensure that suitable measures are also taken regarding processing that does not cover sensitive personal data or personal data that concerns criminal offences, etc.

The Committee proposes that the existing provision in the Personal Data Act, which states that data gathered for research purposes may not normally be used to take measures regarding the data subject, be transferred to the Research Data Act.

Furthermore, we propose that a provision be introduced in the Research Data Act stating that personal data must be pseudonymised or protected in an equivalent manner when processed for research purposes provided that the purpose can be attained by doing so.

Finally, we propose that the individual be given an opportunity to contest their personal data being processed for research purposes. If providing the data subject with the opportunity to contest the processing of their data proves to be impossible or involves disproportionate effort, or if the purposes of the research cannot otherwise be attained, the data may, however, be processed nevertheless.

Proportionate legislation

The Committee has analysed the proposed provisions of the Research Data Act on the basis of the requirements predominantly of proportionality laid down in the Data Protection Regulation, the Instrument of Government and other relevant legal instruments. The analysis has been carried out on the assumption that the proposed Act is a form of framework legislation which is unable to regulate the processing of personal data at a detailed level, and that the actual processing of personal data carried out in research projects must be examined on the basis of the same proportionality requirement. Here, the proposed safeguards constitute a basis for ensuring that the infringement that the processing of personal data in question involves is proportionate to the expected benefit of the research.

The proposed regulation must meet requirements of proportionality laid down in several different legal contexts. The view of the Committee, on the basis of the survey of privacy carried out,

the safeguards proposed and the value of the processing of personal data enabled by the regulation, is that the Research Data Act is proportionate on the basis of all these proportionality requirements.

Ethical review

The Committee has analysed the modifications that need to be made to the Act (2003:460) concerning the Ethical Review of Research Involving Humans before the Data Protection Regulation starts to be applied. Initially, the Committee has addressed the issue of ethical review as a safeguard in line with the requirements of the Data Protection Regulation and reached the conclusion that ethical review constitutes such a suitable and specific safeguard as required by the Data Protection Regulation to process for research purposes sensitive personal data or personal data that concerns criminal offences, etc.

The Committee subsequently analysed whether the area of application of the Ethical Review Act should be expanded to apply to all processing of personal data for research purposes and reached the conclusion that this would be far too invasive a measure that is disproportionate for its purpose. The Committee therefore proposes that the requirement for ethical review, also in the future, cover the processing for research purposes of sensitive personal data or personal data that concerns criminal offences, etc. in line with the definitions set out in Articles 9(1) and 10 of the Data Protection Regulation, and that the ethical review requirement regarding the additional data currently set out in Section 21 of the Personal Data Act should continue to be covered by the area of application in the Ethical Review Act in the future.

The Committee has further found that there is reason to further investigate the need for changes to the ethical review procedure. A differentiated ethical review procedure appears to be more fit for purpose predominantly in certain sociological and legal research. We submit several examples of such needs in conjunction with processing personal data for research purposes being based on data that is already published and where subsequent processing merely involves a minor privacy risk. In the light of restrictions to our

mandate and frameworks in general, we propose that this be investigated further in a separate form.

Finally, the Committee has analysed the amendments to the Ethical Review Act that otherwise need to be made as the Data Protection Regulation starts to be applied and submits the necessary statutory proposals in this regard.

Modifications to certain register statutes

In the next stage of the inquiry we have been charged with further preparing the proposals of the Register-based Research Inquiry (U 2013:01) in the report Unik kunskap genom registerforskning (Unique knowledge through register-based research) (SOU 2014:45). As it is not long until the Data Protection Regulation starts to be applied, 25 May 2018, no general regulation governing research databases will be in place by then. Therefore, in an initial phase, an analysis needs to be carried out regarding which adaptations in respect to the Data Protection Regulation and the general regulation proposed by the Data Protection Inquiry that need to be carried out to the Act (2013:794) on certain registers for research into the impact of genetics and environment on people’s health and the Act (1999:353) on a forensic psychiatric research register until the Data Protection Regulation starts to be applied.

Because the Committee has a mandate in a second phase to investigate and propose long-term regulation of research databases, this first part of the mandate has focused solely on technical legal modifications to the register statutes in relation to the provisions of the Data Protection Regulation. This means that, in present phase, the Committee has assumed that considerations already made and its views on this matter should be adopted where these are compatible with the Data Protection Regulation. The analysis is thus focused on such amendments as are necessary due to the Data Protection Regulation. The overall purpose of the mandate in this phase is to ensure that the legislation on registers can also be applied after the Data Protection Regulation starts to be applied on 25 May 2018, and that the existing conditions for processing personal data in line with legislation on registers will not in any case be watered down.

Entry into force

According to Article 99 of the Data Protection Regulation, the Regulation is to be applied from 25 May 2018. The Data Protection Inquiry proposes that the Data Protection Act, which constitutes supplementary national legislation at a general level, is to enter into force the same day and that the Personal Data Act cease to apply at the same time. Because the Research Data Act constitutes supplementary national legislation to the Data Protection Act in the research sector, we also propose that it should enter into force the same day.

The Regulation states that references to the Data Protection Directive must be construed as references to the Data Protection Regulation as this starts to be applied and the Directive is thus repealed. Recital 171 of the Data Protection Regulation furthermore states that adaptations in Member States should be in place when the Regulation starts to be applied. It is the view of the Committee that there is thereby no scope for any transitional provisions in the Research Data Act. From 25 May 2018 all processing of personal data for research purposes must thus apply the Data Protection Regulation and, where this is supplemented, the Research Data Act and at a general level also the Data Protection Act.

Consequences

The Commission has been charged with analysing the consequences of our proposals on the basis of certain specifically stated aspects. Our proposals are simultaneously primarily caused by other changes, mainly the abolition of the Personal Data Act and the entry into force of the Data Protection Regulation, but also the proposals submitted by the Data Protection Inquiry. We have therefore limited the analysis to such consequences that we have an opportunity to influence in any real sense, and operated on the basis of the aim of retaining the opportunities for research and protection of personal privacy that follow from current regulation. We will therefore not analyse the consequences of the Data Protection Regulation starting to be applied.

The Committee judges that the proposals will not involve any changes in costs for the actors referred to in the Swedish Committees Ordinance (1998:1474). Furthermore, it is the view of the Committee that the proposals in general will reinforce personal privacy.

1. Författningsförslag

1.1. Förslag till forskningsdatalag

Inledande bestämmelser

1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

2 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.

Lagens tillämpningsområde

4 § Denna lag tillämpas vid behandling av personuppgifter för forskningsändamål.

Behandling av personuppgifter för forskningsändamål

Rättslig grund

5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Generella skyddsåtgärder

7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8–10 §§ denna lag.

8 § Vid personuppgiftsbehandling för forskningsändamål ska personuppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset.

9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.

Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas, får personuppgiftsbehandling ändå utföras.

10 § Personuppgifter som behandlas för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

Känsliga personuppgifter

11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.

Personuppgifter om lagöverträdelser m.m.

12 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.

Undantag från registrerades rättigheter

13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskyddsförordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behandlas för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Utlämnande av personuppgifter

15 § Personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.

Denna lag träder i kraft den 25 maj 2018.

1.2. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

1 Senaste lydelse SFS 2008:192.

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av 1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.

1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), eller

2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse SFS 2008:192.

1.3. Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13 och 17 §§ ska upphöra att gälla,

dels att 2, 3, 12, 14 och 16 §§ och rubriken närmast före 3 § och 16 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §3

Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1§ 1.

Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.

3 Senaste lydelse SFS 2013:794.

Förhållandet till

personuppgiftslagen

Förhållandet till

annan dataskyddsreglering

3 §4

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

3 a §

Lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

12 §5

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrif-

Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrif-

4 Senaste lydelse SFS 2013:794. 5 Senaste lydelse SFS 2013:794.

ter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

ter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 §6

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling kan ske enligt 5–7 §§ och vilka uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

Utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informerats om

1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. vilka uppgifter som får registreras enligt 9 §,

3. de sekretess- och säkerhetsbestämmelser som gäller för registret,

6 Senaste lydelse SFS 2013:794.

4. vem som är personuppgiftsansvarig,

5. hur länge uppgifterna sparas,

6. rätten till rättelse av uppgifterna,

7. rätten till information enligt 15 § denna lag och26 § personuppgiftslagen (1998:204),

8. vilken myndighet som har tillsyn över att denna lag följs,

9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade.

4. rätten till information enligt 15 § denna lag och artikel 15 i dataskyddsförordningen,

5. vilken myndighet som har tillsyn över att denna lag följs, och

6. rätten till skadestånd.

Utplåning av uppgifter Radering av uppgifter

16 §7

Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.

Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd utplåning även av uppgifter som avses i 9 § första stycket 7

I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. En begäran om radering ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar radering av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.

Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes radera uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd radering även av uppgifter som avses i 9 § första stycket 7

7 Senaste lydelse SFS 2013:794.

ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem utplånade.

ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem raderade.

Denna lag träder i kraft den 25 maj 2018.

1.4. Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till

personuppgiftslagen

Förhållandet till

annan dataskyddsreglering

2 §8

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret.

Vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

2 a §

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskydds-

8 Senaste lydelse SFS 1999:353.

lagen) gäller vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

12 §9

När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen.

Informationen skall innehålla upplysningar om

1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen,

2. ändamålen med behandlingen,

3. vilken typ av uppgifter behandlingen avser,

4. mottagarna av uppgifterna,

5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

6. bestämmelserna ipersonuppgiftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt

När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna den registrerade information om behandlingen.

Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om

1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

2. bestämmelserna i dataskyddsförordningen och dataskyddslagen om den registrerades rätt till skadestånd, samt

9 Senaste lydelse SFS 1999:353.

7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Denna lag träder i kraft den 25 maj 2018.

2. Vårt uppdrag och arbete

2.1. Utredningsuppdraget

Vårt övergripande uppdrag (dir. 2016:65, se bilaga 1) har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen1 börjar tillämpas den 25 maj 2018, dels lämna nödvändiga författningsförslag. Förslagen ska gälla reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning. Det uppdrag som nu redovisas har bestått av två huvudsakliga delar: reglering av personuppgiftsbehandling för forskningsändamål samt anpassningar av vissa registerförfattningar.

2.1.1. Reglering av personuppgiftsbehandling för forskningsändamål

Den första delen av vårt uppdrag har varit att föreslå kompletterande reglering i förhållande till de anpassningar av svensk lagstiftning som Dataskyddsutredningen (Ju 2016:04) föreslår. Syftet med denna kompletterande reglering är att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Uppdraget innefattar huvudsakligen följande:

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

  • Att lämna förslag på lämpliga skyddsåtgärder för den registrerades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av.
  • Att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
  • Att, vid en sådan eventuell utvidgning av kravet på etikprövning, analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena, samt att överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet.
  • Att se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår.
  • Att analysera om det, utöver den generella reglering som Dataskyddsutredningen föreslår och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla.
  • Att analysera om det utöver den generella reglering som Dataskyddsutredningen föreslår även finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag på hur sådana undantag i så fall bör utformas, samt
  • Att lämna de författningsförslag som behövs.

2.1.2. Vissa anpassningar av registerförfattningar

Eftersom det är kort tid tills dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser då inte kommer att kunna vara på plats, behöver det i ett första skede analyseras vilka anpassningar som behöver göras i viss lagstiftning som reglerar specifika forskningsdatabaser. De författningar som anges i utredningens direktiv är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister.

2.1.3. Fortsatta uppdrag

I tilläggsdirektiv (dir. 2017:29, se bilaga 2) har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskyddsförordningen, kan behövas för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i Kungliga bibliotekets verksamhet. Detta deluppdrag ska redovisas senast den 13 oktober 2017.

Utöver ovanstående har utredningen även i uppdrag att i ett nästa skede föreslå långsiktiga regleringar av forskningsdatabaser, analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning samt lämna förslag till en reglering av Nationella biobanksregistret. Detta deluppdrag ska redovisas senast den 27 april 2018.

2.2. Anknytande utredningar

Det framhålls i utredningens direktiv att en enhetlig tolkning bör eftersträvas vid anpassningen av svensk rätt till den nya EU-regleringen. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Behovet av planering och samordning när det gäller utrednings- och lagstiftningsarbetet på detta område har även uppmärksammats av Justitiekanslern.2

Utredningen har därför på flera sätt samverkat med andra utredningar vars uppdrag berör dataskyddsförordningen.

2Remissyttrande över betänkandet Hur står det till med den personliga integriteten? (SOU 2016:41), dnr 4260-16-80.

2.2.1. Dataskyddsutredningen

Av utredningsdirektiven framgår på flera ställen att vi ska förhålla oss till den reglering som Dataskyddsutredningen (Ju 2016:04) haft i uppdrag att föreslå. Vi har därför löpande hållit oss uppdaterade om Dataskyddsutredningens arbete och utgått från dess förslag när vi bedömt vilken ytterligare reglering som behövs för personuppgiftsbehandling för forskningsändamål.

Av Dataskyddsutredningens direktiv (dir. 2016:15) framgår att den utredningen har att analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. Eftersom våra utredningsdirektiv beslutades efter ovanstående direktiv resulterade detta i ett delvis överlappande uppdrag för dessa båda utredningar. Mot denna bakgrund har vi i samråd med Dataskyddsutredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs i detta sammanhang. Dataskyddsutredningen har därför på eget initiativ avstått från att i sitt betänkande behandla frågan om behandling av personuppgifter för forskningsändamål.

2.2.2. Samordningsgruppen

Dataskyddsförordningen har föranlett ett stort antal utredningsinitiativ, både i form av uppdrag för särskilda utredare såväl som departementsinterna utredningar. Uppdragen har handlat om såväl anpassning av befintlig lagstiftning inom en viss sektor för att vara förenlig med dataskyddsförordningen, som annat lagstiftningsarbete som måste beakta dataskyddsförordningens krav.

Av direktiven framgår att utredningen ska hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, i syfte att uppnå en enhetlig nationell reglering. Mångfalden utredningar som haft anledning att utforska dataskyddsförordningen ur ett svenskt perspektiv föranledde bildandet av en informell samordningsgrupp. Gruppen har haft tio möten under hösten 2016 och

våren 2017, och har utgjort ett forum för dialog om gemensamma frågor om terminologi, avgränsningar, rättsliga bedömningar m.m. i arbetet med att anpassa den nationella lagstiftningen till dataskyddsförordningen.

Sammanlagt har representanter för ett femtontal utredningar deltagit i gruppens möten.

2.2.3. Övriga kontakter

Utöver arbetet i samordningsgruppen har utredningen genom enskilda möten hållit sig särskilt informerad om och beaktat arbetet i Dataskyddsutredningen (Ju 2016:04), Utbildningsdatautredningen (U 2016:03), Socialdataskyddsutredningen (S 2016:05), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), Utredningen om översyn av etikprövningen (U 2016:02) och Integritetskommittén (Ju 2014:09).

2.3. Utredningsarbetet

Arbetet har utgått från utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och två övriga sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga.

2.3.1. Expertgruppsmöten

Utredningens expertgrupp (inbegripet de sakkunniga) har hittills sammanträtt sammanlagt sex gånger, inklusive ett internatsammanträde. I samband med dessa möten har ett antal promemorior presenterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utredningen vid särskilda möten och i dialog om specifika frågor m.m.

2.3.2. Referensgruppsmöten

Utöver expertgruppen har utredningen bildat en referensgrupp med närmare tjugo deltagare. Syftet med denna grupp har varit att komplettera utredningens perspektiv och ta tillvara kompetens i

utredningens frågor som deltagarna besitter. Personerna i referensgruppen har medverkat i arbetet utan ersättning och i mån av tid.

Utredningen har hittills haft två möten med referensgruppen i sin helhet för att diskutera uppdraget och anknytande frågor av särskild betydelse för utredningen, samt flera mindre möten med delar av referensgruppen för att närmare diskutera tekniska och organisatoriska skyddsåtgärder.

2.3.3. Hearing

Utredningen har uppmärksammats på vissa behov av översyn av etikprövningslagens nuvarande krav avseende bland annat forskning som innefattar behandling av personuppgifter ur offentligt material. Med anledning av detta anordnade utredningen den 2 mars 2017 en hearing. Deltagare var företrädare för rättsvetenskaplig forskning från Linköpings universitet, Lunds universitet, Stockholms universitet, Umeå universitet, Uppsala universitet och Örebro universitet, som delgav utredningen synpunkter på dagens etikprövningskrav och behovet av en översyn i vissa delar.

2.3.4. Övriga möten

Utredningen har i olika sammanhang träffat representanter från Stockholms läns landsting, Kungliga biblioteket, Rättsmedicinalverket och Finansdepartementets utredning om mikrosimuleringsmodellen FASIT. Utredningen har även presenterat pågående arbete på ett möte med nätverket för EU:s dataskyddsförordning, organiserat av Pensionsmyndigheten.3 Utredningen har också deltagit i det årliga nationella mötet med SUNET4 som i år varit inriktat på konsekvenserna av förordningens införande för svenska universitet.

Utredningen har utöver detta tillsammans med utbildningsdepartementets representant medverkat vid två möten i ett nordiskt samarbete mellan företrädare för regeringar och myndigheter

3 Nätverket för EU:s dataskyddsförordning arbetar med att bevaka den nationella rättsutvecklingen och tolka bestämmelserna i dataskyddsförordningen. Se http: //www.esamverka.se/om -esam/organisation-och-forum/natverket-for-eusdataskyddsforordning.html 4 Swedish University computer Network, se http://www.sunet.se

kring förberedelser inför dataskyddsförordningens införande. Utredningen har dessutom deltagit i ett möte med representanter för forskarintressen i de nordiska länderna.

2.4. Betänkandets disposition m.m.

Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till dataskyddsförordningen och den nuvarande regleringen, med ett särskilt fokus på villkoren för forskning.

Kapitel 4 behandlar förslaget till forskningsdatalag och lagens tillämpningsområde. Kapitel 5 redogör för utredningens bedömning och förslag avseende fastställande av den rättsliga grunden allmänt intresse. Kapitel 6 behandlar samtycke till personuppgiftsbehandling för forskningsändamål. Kapitel 7, 8 och 9 redogör för särskilda regler för känsliga personuppgifter, personuppgifter om lagöverträdelser m.m. samt personnummer och samordningsnummer. Kapitel 10 behandlar vissa begränsningar av registrerades rättigheter och kapitel 11 rör frågor om tillsyn och sanktioner.

Eftersom dataskyddsförordningen särskilt kräver skyddsåtgärder för behandling av personuppgifter i flera sammanhang innehåller kapitel 12 en översiktlig analys av förordningens krav, tänkbara skyddsåtgärder av olika slag samt författningsförslag till vissa skyddsåtgärder.

I kapitel 13 bedöms den föreslagna lagstiftningens proportionalitet gentemot de grundläggande rättigheter som framgår ur bl.a. regeringsformen och Europakonventionen.

Frågor om etikprövning avhandlas i kapitel 14, bl.a. hur etikprövningen ska regleras för att uppfylla förordningens krav på särskilda och lämpliga skyddsåtgärder och frågan om etikprövningslagens tillämpningsområde.

Den del av utredningens uppdrag som rör översyn av befintliga registerförfattningar för att föreslå nödvändiga förändringar i samband med dataskyddsförordningen redovisas i kapitel 15.

Nödvändiga ikraftträdandebestämmelser avhandlas i kapitel 16. Konsekvensbedömningar finns i kapitel 17. Författningsförslagen kommenteras i kapitel 18.

Utredningens direktiv återges i bilaga 1 och 2. Avslutningsvis finns även en strukturerad genomgång av dataskyddsförordningen

med betoning på de bestämmelser som är av vikt för forskning i bilaga 3.

Till sist kan noteras att betänkandetexten är utformad med användning av ”vi-form” omfattande utredningen i sin helhet. Arbetet har bedrivits med aktivt deltagande av och i samverkan med experter och sakkunniga. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika specialområden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

3. Bakgrund, rättsliga utgångspunkter och begrepp

3.1. Inledning

Dataskyddsutredningen (Ju 2016:04) har i uppdrag att redogöra för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen1börjar tillämpas.2 Utöver detta ska ett antal sektorsspecifika utredningar analysera konsekvenserna för specifika samhällssektorer. Forskningsdatautredningen har i uppdrag att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella kompletteringslagstiftning som Dataskyddsutredningen föreslår, samt komma med lämpliga författningsförslag.3 I detta kapitel presenteras utgångspunkterna för arbetet i form av bakgrund, rättsliga utgångspunkter och centrala begrepp.

Kapitlet inleds med en kort redogörelse för den reglering som för närvarande gäller med avseende på personuppgiftsbehandling för forskningsändamål. Därefter följer en redogörelse för EU:s dataskyddsreform utifrån ett forskningsperspektiv, där utvecklingen fram till den slutgiltiga förordningstexten vad gäller några för forskningen särskilt viktiga frågor beskrivs.

För att avgränsa konsekvenserna av dataskyddsförordningens införande, och kunna lämna de författningsförslag som behövs, krävs som utgångspunkt en genomgång av några centrala begrepp. Därför följer också en allmänt hållen analys av vad som i detta sammanhang avses med begreppet forskning och vad som avses med

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Dir. 2016:15. 3 Dir. 2016:65.

förordningens uttryck ”vetenskapliga och historiska forskningsändamål”. Även överväganden om behovet av att skilja mellan vetenskapliga och historiska forskningsändamål samt om det finns behov av att skilja på begreppen forskning och forskningsändamål behandlas. Slutligen görs en bedömning av vad som avses med personuppgiftsbehandling för forskningsändamål, som därmed utgör avgränsningen för det materiella tillämpningsområdet av dataskyddsförordningens bestämmelser och de kompletterande bestämmelser som föreslås i detta betänkande.

3.2. Rättsliga utgångspunkter

Persondataskydd regleras på många nivåer, av olika aktörer. FN:s allmänna förklaring om de mänskliga rättigheterna, Europakonventionen och EU:s rättighetsstadga innehåller alla någon form av skydd för privatlivet, i vilket ingår ett skydd för den enskildes personliga integritet och personuppgifter. I anslutning till sådana allmänna rättighetsförklaringar finns ofta även mer detaljerade konventioner eller andra rättsliga instrument som närmare behandlar persondataskydd.

I det följande ger vi en inledande översikt av de rättsliga instrument som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Det nuvarande dataskyddsdirektivet och dataskyddsförordningen behandlas löpande genom hela betänkandetexten. Övriga rättsliga instrument behandlas mer ingående i vissa avsnitt, exempelvis i kapitlen om proportionerlig lagstiftning och etikprövning. Genomgången utgår delvis från liknande översikter i framför allt SOU 2014:45 samt SOU 2016:41.4

4SOU 2014:45 – Unik kunskap genom registerforskning (Registerforskningsutredningen) respektive SOU 2016:41 – Hur står det till med den personliga integriteten? (Integritetskommittén).

3.2.1. Internationell reglering

I det följande behandlas reglering som härstammar från Förenta nationerna, Europarådet samt Europeiska unionen, i den ordningen.

FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Artikel 12 i FN:s allmänna förklaring om mänskliga rättigheter stadgar att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagligt skydd mot sådana ingripanden och angrepp. FN:s allmänna förklaring om de mänskliga rättigheterna är inte rättsligt bindande men ses som ett uttryck för sedvanerättsliga regler.

Sverige är ansluten till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i ovannämnda artikel 12 i den allmänna förklaringen. Konventionen är till skillnad från förklaringen bindande för anslutna stater.

FN:s generalförsamling antog den 14 december 1990 riktlinjer om datoriserade register med personuppgifter.5 Riktlinjerna anger tio grundläggande principer rörande minimigarantier som medlemsstaternas lagstiftning ska uppfylla. Dessa principer rör bland annat uppgifters korrekthet, ändamålsbeskrivningar, insyn i behandlingen och för vilka skäl undantag från dessa principer kan tillåtas.

Europakonventionen m.m.

En utgångspunkt för all personuppgiftsbehandling är den Europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.6 Av 2 kap. 19 § regeringsformen framgår att lag

5 ”Guidelines concerning computerized personal data files”, resolution 45/95. 6 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för personuppgiftsbehandling. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär.

Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utvecklingen och relationer till andra individer. Det krävs inte att det är fråga om rent privata relationer, utan skyddet kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv. Skyddet gäller även mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden. Vidare omfattar rätten till respekt för privatlivet ett skydd mot registrering och utlämnande av uppgifter ur allmänna register.7

Dataskyddskonventionen

Europarådets konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) från år 1981 har till syfte att säkerställa respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet, i samband med automatisk databehandling av personuppgifter. Konventionens tillämpningsområde är automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen har ändrats år 1999 och ett tilläggsprotokoll (nr 181) har antagits år 2001.

Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10, antagen den 23 september 1983, till skydd för personuppgifter som används för vetenskaplig forskning

7 Se SOU 2016:41 s. 151 och där refererade rättsfall.

och statistik. Rekommendationerna är, till skillnad från konventionen, inte direkt bindande.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår. De övergripande syftena med översynen är att bemöta utmaningar för den personliga integriteten som en följd av användning av ny informations- och kommunikationsteknik, samt att stärka konventionens uppföljningsmekanism.

Första fasen av detta arbete slutfördes år 2014. Den andra fasen, som inleddes år 2016, syftar till att ta fram ett slutligt förslag som även ska säkerställa överensstämmelse med dataskyddsförordningen.8

Europarådets konvention om mänskliga rättigheter och biomedicin

Europarådet antog år 1996 en konvention om mänskliga rättigheter och biomedicin. Konventionen skyddar människor i samband med hälso- och sjukvård och medicinsk forskning, och innehåller bl.a. principer om information och samtycke, ställföreträdare för icke beslutskompetenta personer, gendiagnostik och genterapi, forskning och försök på människor, tagande och användning av biologiskt material från människor.

Europeiska unionens stadga om de grundläggande rättigheterna m.m.

Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) antogs år 2000. Lissabonfördraget har medfört att stadgan numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s regelverk.

Vad gäller skyddet för den personliga integriteten anger stadgan att var och en har rätt till fysisk och mental integritet (artikel 3), respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd av de personuppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på

8 Se även http://www.coe.int/en/web/portal/28-january-data-protection-day-factsheet för en beskrivning av översynsarbetet.

grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter och att få rättelse av dem.

Även artikel 16.1 i fördraget om Europeiska unionens funktionssätt anger att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Dataskyddsdirektivet och dataskyddsförordningen

Det nuvarande dataskyddsdirektivet9 har införts i svensk lagstiftning i form av personuppgiftslagen (1998:204). Dataskyddsdirektivet utgör en precisering och en förstärkning av principerna i dataskyddskonventionen.

Dataskyddsförordningen, som ersätter dataskyddsdirektivet och vars tillkomst behandlas ingående i de olika delarna av detta betänkande, utgår från och respekterar de grundläggande friheter som erkänns i stadgan.

Det nya dataskyddsdirektivet

Parallellt med de nationella anpassningarna till dataskyddsförordningen sker arbete med införlivande av det nya dataskyddsdirektivet.10 Enligt artikel 63 i det nya dataskyddsdirektivet ska medlemsstaterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att efterleva detta direktiv. Det är Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) som har i uppdrag att föreslå en sådan reglering.11 Utredningen har lämnat ett delbetänkande den 5 april 201712 och lämnar slutbetänkande senast den 30 september 2017. Utredningens förslag till brottsdatalag syftar till att genomföra dataskyddsdirektivet i svensk rätt.

9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 10 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 11 Dir. 2016:21. 12SOU 2017:29 Brottsdatalag.

Dataskyddsdirektivets mål är att fastställa bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1).

Dataskyddsdirektivets tillämpningsområde är därmed snävare än dataskyddsförordningens, som syftar till att fastställa bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1). Gränsdragningen mellan direktivet och förordningen kan dock behöva tydliggöras, särskilt avseende personuppgiftsbehandling för vetenskapliga forskningsändamål.

Behandling av personuppgifter för vetenskapliga ändamål inom dataskyddsdirektivets tillämpningsområde

Principer för behandling av personuppgifter framgår av artikel 4 i dataskyddsdirektivet. Artikel 4.3 anger att behandling som utförs av en personuppgiftsansvarig kan inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Utredningen om 2016 års dataskyddsdirektiv föreslår en bestämmelse i 2 kap. 5 § brottsdatalagen som föreskriver att en behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

Detta gäller således behandling av personuppgifter för vetenskapliga ändamål inom direktivets och den föreslagna brottsdatalagens tillämpningsområde, dvs. för ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller behandling i syfte att upprätthålla allmän ordning och säkerhet (förslag till 1 kap. 2 § brottsdatalagen).

Behandling av personuppgifter för vetenskapliga forskningsändamål utanför dataskyddsdirektivets tillämpningsområde

Regleringen i dataskyddsdirektivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde, vilket innebär att om personuppgifter behandlas för något annat ändamål än brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet ska direktivet, och den föreslagna brottsdatalagen, inte tillämpas. En myndighet kan således ha såväl verksamhet som faller inom direktivets tillämpningsområde som utanför det. Det är de faktiska aktiviteterna som styr när direktivet blir tillämpligt. Detta innebär att behandling av personuppgifter som omfattas av unionsrätten faller in under tillämpningsområdet för antingen direktivet eller förordningen. Direktivet och förordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan såväl direktivet som förordningen vara tillämpliga parallellt.13

I artikel 9.1 i dataskyddsdirektivet anges att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas, om behandlingen omfattas av unionsrätten.

Artikel 9.2 anger vidare att om myndigheter som omfattas av direktivet har andra verksamhetsuppgifter än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas på behandling för sådana andra ändamål. Det gäller även behandling för arkivändamål av allmänt intresse eller för historiska eller vetenskapliga forskningsändamål eller för statistiska ändamål, om behandlingen omfattas av unionsrätten.

Detta gäller således för personuppgiftsbehandling för ändamål utanför direktivets tillämpningsområde. Prövningen av om sådan behandling är tillåten ska därmed enbart göras utifrån bestämmelserna i dataskyddsförordningen och nationell kompletterade lagstiftning.

13SOU 2017:29 s. 171 f.

Av artikel 2.1 d i dataskyddsförordningen framgår att förordningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dessa bestämmelser i direktivet och förordningen mynnar ut i att Utredningen om 2016 års dataskyddsdirektiv föreslår en upplysande bestämmelse i 2 kap. 21 § brottsdatalagen med följande lydelse:

Behandling för ändamål utanför denna lags tillämpningsområde

21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags tillämpningsområde.

Detta innebär sammanfattningsvis att personuppgiftsbehandling för vetenskapliga ändamål i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller i syfte att upprätthålla allmän ordning och säkerhet faller inom dataskyddsdirektivets, och den föreslagna brottsdatalagens, tillämpningsområde. En ytterligare förutsättning är att behandlingen också utförs av en behörig myndighet enligt direktivet.

All annan personuppgiftsbehandling för vetenskapliga forskningsändamål ska tillämpa dataskyddsförordningen och kompletterande nationell rätt.

3.2.2. Nationell lagstiftning

Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. I förarbetena till denna bestämmelse anförs bl.a. att kränkningar av den

personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.

I 2 kap. 6 § RF föreskrivs ett skydd mot bl.a. husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges nu även att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Offentlighet och sekretess

Offentlighetsprincipen, som framgår av 2 kap. tryckfrihetsförordningen (TF), medför en grundläggande rätt för alla att ta del av allmänna handlingar hos en myndighet. Med handling avses enligt 2 kap. 3 § TF framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Rätten att ta del av allmänna handlingar får endast begränsas om det är påkallat med hänsyn till något av de intressen som framgår av 2 kap. 2 § TF första stycket, där sjätte punkten (skyddet för enskilds personliga eller ekonomiska förhållanden) är av särskilt intresse vad gäller personuppgiftsbehandling.

I offentlighets- och sekretesslagen (2009:400) finns undantag från huvudregeln om handlingsoffentlighet som medför att möjligheterna att ta del av allmänna handlingar begränsas. Lagen innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar, gemensamt betecknat som sekretess. Bestämmelserna om offentlighet och sekretess är således av avgörande betydelse för möjligheten att få ta del av myndigheters handlingar. Bestämmelserna reglerar också skyddet för de uppgifter myndigheter förvarar hos sig.

Personuppgiftslagen

Personuppgiftslagen är, som ovan nämnts, resultatet av det svenska genomförandet av det nuvarande dataskyddsdirektivet. Personuppgiftslagen följer i stort sett dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, säkerhet och sanktioner.14 Det angivna syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Etikprövningslagen

I syfte att bland annat uppfylla de krav som ställdes i Europarådets konvention om mänskliga rättigheter och biomedicin infördes den 1 januari 2004 lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestämmelser om samtycke till sådan forskning.

Registerspecifika författningar

Utöver generell lagstiftning finns ett antal författningar som reglerar personuppgiftsbehandling för forskningsändamål i specifika verksamheter. Nedan presenteras ett par författningar av detta slag.

Lag ( 2013:794 ) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”) tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att

14 Sedan år 2007 (SFS 2006:398) har dock den hanteringsmodell som framgår av dataskyddsdirektivet i personuppgiftslagen kompletterats av en missbruksmodell, med omfattande undantag när personuppgifter i s.k. ostrukturerat material behandlas.

skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen (SOU 2014:45). Efter förlängning gäller lagen till och med den 31 december 2017. Förslag om ytterligare förlängning bereds för närvarande inom Regeringskansliet. Nödvändiga anpassningar av denna lag inför att dataskyddsförordningen börjar tillämpas behandlas i kapitel 15.

Lag ( 1999:353 ) om rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete). Registret regleras i lagen (1999:353) om rättspsykiatriskt forskningsregister. Nödvändiga anpassningar av denna lag inför att dataskyddsförordningen börjar tillämpas behandlas i kapitel 15.

3.3. Bakgrund utifrån ett forskningsperspektiv

3.3.1. EU:s dataskyddsreform

EU-kommissionen initierade den 1 maj 2009 en konsultation riktad till allmänheten rörande skyddet för personuppgifter inom EU.15Utgångspunkter för det kommande arbetet presenterades genom ett bidrag av den s.k. artikel 29-gruppen,16 publicerat den 1 december

15 Se http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm 16 Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.

samma år.17 Den 25 januari 2012 presenterade EU-kommissionen ett förslag till ny allmän uppgiftsskyddsförordning för Europa.18Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) arbetade under år 2012 och 2013 fram ett ändringsförslag som i sina huvuddrag antogs av parlamentet efter den s.k. första läsningen i mars 2014.19 Ministerrådet antog en i väsentliga delar annan ståndpunkt i sitt ändringsförslag av den 11 juni 2015.20 Som resultat av den därpå följande trilogen21antogs en gemensam ståndpunkt den 15 december 2015. Det slutliga förslaget till allmän dataskyddsförordning antogs av ministerrådet den 8 april 2016 och av parlamentet den 14 april samma år.

Dataskyddsförordningen publicerades den 4 maj och trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas först från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och ersätter motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet och dess svenska implementering genom personuppgiftslagen. Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och bedrivs av en personuppgiftsansvarig eller personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens materiella tillämpningsområde.

17 The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. 02356/09/EN WP 168. 18 COM (2012) 11 final av den 11 januari 2012. Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning). 19 P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). 20 Note 9565/15 from the Presidency to the Council, 11 June 2015. Annex: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). 21 Trepartsförhandlingar mellan kommissionen, ministerrådet och parlamentet.

3.3.2. Frågor för forskningen vid dataskyddsförordningens tillkomst

Två grundläggande syften bakom den nya dataskyddsförordningen är:22

  • Att skydda fysiska personers fundamentala rättigheter och friheter med avseende på skyddet för personuppgifter mot bakgrund av den snabba utveckling av teknik och organisation som har gjort att kommersiella företag och myndigheter har allt större möjligheter att samla in, lagra och samutnyttja personlig information från olika källor.
  • Att underlätta den fria rörligheten vad gäller personuppgifter inom den Europeiska unionen genom likformig lagstiftning i alla medlemsstater. Härigenom avses att även inom de områden där personuppgifter används komma närmare förverkligandet av artikel 179 i EUF-fördraget23 som verkar för att skapa ett gemensamt europeiskt forskningsområde.

Dataskyddsförordningen kommer att få central betydelse för forskning inom EU. I Sverige liksom i några andra länder är möjligheten att använda personuppgifter i stora befolkningsbaserade register av särskilt intresse. Förekomsten av register som täcker flera generationer av hela befolkningen, deras omfattning vad gäller olika samhällssektorer, samt existensen av ett nationellt personnummer ger särskilda möjligheter för forskning och ställer samtidigt höga krav på ett starkt integritetsskydd för fysiska personer. Det nuvarande svenska regelverket utgör en implementering av dataskyddsdirektivet från år 1995 som kan sägas ha tagit hänsyn till behovet av att balansera dessa motstående intressen.

Under den process som ledde fram till den slutliga utformningen av dataskyddsförordningen gjordes ansträngningar från den svenska regeringens företrädare, med stöd från olika forskningsaktörer, att klargöra dessa för Sverige speciella förutsättningar och värdera de förslag till förordningstexter som lades fram utifrån ett forsknings-

22 Se skäl 1–7 i dataskyddsförordningen. 23 Fördraget om Europeiska Unionens funktionssätt EUT C 326, 26.10.2012 s. 47.

perspektiv. De nordiska länderna och andra länder med motsvarande behov samverkade i detta arbete.

En viktig fråga för forskningen hade att göra med forskningens möjligheter att använda personuppgifter hämtade från andra verksamheter än de som har forskning som primärt syfte. En annan fråga hade att göra med samtyckets roll som rättslig grund för personuppgiftsbehandling när mängden personuppgifter är så stor att inhämtandet av individuella samtycken försvåras. En tredje fråga rörde de rättsliga möjligheterna att kombinera uppgifter från olika datakällor och över långa tidsperioder med användning av personnummer eller motsvarande personbundna identifikatorer.

Med detta som allmän utgångspunkt framstod tre frågor som särskilt betydelsefulla för forskningen:

  • Det s.k. forskningsundantagets24 plats i förordningstexten (i den slutliga förordningen i artikel 5 b).
  • Förslag till särskilda regler om obligatoriskt samtycke vid forskning med användning av personuppgifter om hälsa (tidigare förslag till skrivning av artikel 81).
  • Förslag om pseudonymisering som skyddsåtgärd (i den slutliga förordningen i artikel 89.1).

Med avseende på de två första frågorna fanns skillnader mellan Europaparlamentets position25 efter första läsningen26 och ministerrådets uppfattning.27 Den sista punkten, som rör pseudonymiseringens ställning, diskuterades mellan representanter för medlemsländerna under hela processen fram till den överenskommelse som träffades som resultat av trilogen den 15 december 2015.

24 Artikel 5 b i dataskyddsförordningen, andra meningen: ”Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen.” 25 P7_TA(2014)0212. 26 Beslutet togs den 12 mars 2014 efter den inledande parlamentsbehandlingen. Beslut efter den andra läsningen i parlamentet var det konsoliderade förslaget (nuvarande förordningstext) efter trilogen som antogs den 14 april 2016. 27 Note 9565/15 from the Presidency to the Council, 11 June 2015.

Forskningsundantaget

I 9 § andra stycket personuppgiftslagen anges (med hänvisning till bestämmelsen om den i första stycket föreskrivna finalitetsprincipen):

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Denna särställning för bland annat forskning benämns ibland ”forskningsundantaget”.

I dataskyddsförordningen finns de allmänna principerna för personuppgiftsbehandling i artikel 5. Ytterligare behandling för forskning regleras genom att sådan behandling enligt 5 b inte ska betraktas som oförenlig med det ursprungliga ändamålet för insamlingen av personuppgifter. Formuleringen av denna bestämmelse är således parallell till det nuvarande dataskyddsdirektivet och dess implementering i personuppgiftslagen.

Forskningsundantaget fanns varken med i kommissionens ursprungliga förslag till ny uppgiftsskyddsförordning från januari 201228 eller i parlamentets förslag till modifikationer från mars 2014.29 I stället för ett generellt undantag fanns i kommissionens förslag skäl 4030 där formuleringen föreföll tillåta forskning för ändamål som inte står i motsättning till det ursprungliga ändamålet. Detta torde ha utgjort en inskränkning av den nuvarande regeln där inte något nytt ändamål för ytterligare behandling behöver anges utan ett generellt undantag görs för behandling för forskningsändamål utförd av samma personuppgiftsansvarig. Dessutom återfanns formuleringen om forskning i ett skäl och inte i den artikel som beskriver ändamålsbegränsning och finalitetsprincip.

Parlamentet tog ett ytterligare steg i denna riktning genom att helt stryka skäl 40 från förslaget31 utan att införa undantaget i artikeltexten. Den förändring i förhållande till gällande rätt det skulle medföra att forskningsundantaget saknas i förordningen skulle enligt den dåvarande svenska bedömningen kraftigt kunna begränsa forskningen. Möjligheten att i forskning återanvända personuppgif-

28 COM (2012) 11 final av den 25 januari 2012. 29 P7_TA(2014)0212. 30 COM (2012) 11 final av den 25 januari 2012, skäl 40. 31 P7_TA(2014)0212.

ter från administrativa register eller verksamhetsregister, samt att återanvända data insamlade för vissa forskningsändamål för annan forskning är av central betydelse. Det skulle därmed också påverka möjligheten att dela information mellan forskargrupper, och att använda sig av historiska uppgifter, exempelvis för retrospektiva kohortstudier.32

Förslaget att eliminera undantaget från texten torde ha varit ett led i att förstärka skyddet för enskilda mot bakgrund av de allt större tekniska möjligheterna att samla in och samutnyttja stora mängder av personuppgifter som i skäl 6 beskrivs som ett av de grundläggande motiven för dataskyddsreformen.

Forskningsfrågorna upptog en viktig plats i ministerrådets arbete, bland annat var det en av de frågor som prioriterades av den svenska regeringen under förhandlingsarbetet. De framsteg inom bland annat den medicinska forskningen som ytterligare behandling av personuppgifter från befolkningsregister har inneburit utgjorde ett tungt vägande skäl för att behålla forskningsundantaget.

Ministerrådet kompletterade kommissionens förslag genom att i artikel 5 b lägga till undantaget för arkivändamål, forskning och statistik med samma ordalydelse som återfinns i det nuvarande dataskyddsdirektivet, och man omformulerade skäl 40 i enlighet med detta. Tillägget ingår nu som andra mening i artikel 5 b tillsammans med ett förtydligande i skäl 50.

Samtycke för uppgifter om hälsa

Artikel 9.2 j (i kommissionens förslag artikel 9.2 i33) fastställer att behandling av särskilda kategorier av personuppgifter (”känsliga personuppgifter” i nuvarande lagtext) är tillåten för vetenskapliga eller historiska forskningsändamål under förutsättning att behandlingen är nödvändig enligt artikel 89.1 (tidigare artikel 83), att det i unionsrätten eller den nationella rätten finns ett rättsligt grundat

32 Studier där en population följs under lång tid, baserad på uppgifter som samlats in för många år sedan och sedan används i efterhand av forskare. 33 COM(2012) 11 final av den 25 januari 2012, s. 47.

skydd för uppgifterna, och att proportionalitetsprincipen34 beaktats. I definitionen innefattas enligt artikel 9.1 uppgifter om hälsa.

Utöver detta föreslog kommissionen särskilda bestämmelser om hälsa i artikel 81.35 Kommissionen föreslog att personuppgifter om den registrerades hälsotillstånd enligt artikel 81 får behandlas för forskningsändamål i enlighet med bestämmelser i (dåvarande) artikel 83.

Parlamentet gick även i detta avseende längre än kommissionen när det gällde att föreslå skydd genom att i artikel 81.2 som huvudprincip lägga till ett krav på samtycke när uppgifterna behandlas för forskningsändamål.36 Ett ytterligare tillägg (artikel 81.2 a) möjliggjorde dock undantag från denna restriktion “with regard to research that serves a high public interest, if that research cannot possibly be carried out otherwise”.37 Utöver detta innebar parlamentsförslaget krav på anonymisering eller pseudonymisering38 och att den registrerade skulle ha rätt att motsätta sig behandlingen när som helst under processen. Vad som är “high public interest” skulle enligt förslaget avgöras av kommissionen efter konsultation med den Europeiska dataskyddsstyrelsen39 (dåvarande artikel 81.3). De tillägg som föreslogs av parlamentet skulle innebära ett särskilt förstärkt skydd för personuppgifter om hälsa utöver vad som stadgas i artikel 9 om särskilda kategorier av personuppgifter.

Mot detta ska vägas de konsekvenser ett sådant tillägg skulle kunna få för forskning och statistikverksamhet. Forskning om hälsa

34 Den europeiska unionsrätten anger att åtgärden för att vara proportionerlig ska vara ägnad att tillgodose ändamålet, nödvändig för att uppnå ändamålet samtidigt som mindre inskränkande alternativ saknas, och den fördel som uppnås med åtgärden ska stå i rimlig proportion till den eventuella skada den kan orsaka för de berörda. 35 COM(2012) 11 final av den 25 januari 2012, s. 96–97. 36 P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), s. 305 37 A.a., s. 307. 38 I dataskyddsförordningens terminologi är pseudonymisering enligt artikel 4.5 personuppgifter som inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Anonymisering är enligt skäl 26 information som inte hänför sig till en identifierad eller identifierbar fysisk person. Förordningen är inte tillämpbar på anonyma uppgifter. Terminologin i förordningen kan avvika något från i Sverige etablerade uppfattningar om dessa termers betydelse. 39 Se dataskyddsförordningens avsnitt 3 där denna styrelse inrättas som ett unionsorgan med uppgift att se till att förordningen tillämpas enhetligt. Styrelsen ersätter den nuvarande artikel 29-gruppen som haft en liknande uppgift i relation till det nuvarande dataskyddsdirektivet.

använder sig i Skandinavien ofta av hundratusentals uppgifter från befolkningsomfattande hälsodataregister. Registerbaserade studier utgör en betydelsefull del av den europeiska epidemiologin. Det föreslagna kravet på samtycke skulle i praktiken förhindra denna forskning.

Från forskare framhålls också ofta att samtycke kan medföra snedvridning i forskningsresultaten. Att söka aktivt samtycke medför ofta överrepresentation av personer med bättre hälsa, underrepresentation av personer i vissa åldersgrupper, etc. Om syftet exempelvis är att undersöka förekomsten av hälsoproblem kan detta medföra att problemens förekomst undervärderas. I vilken riktning en icke representativ selektion snedvrider resultaten av forskningen kan inte generellt värderas och är därför svårt att kompensera för i resultatredovisningen.

Eftersom det av parlamentet föreslagna tillägget till artikel 81.2 tog sikte också på statistiska ändamål skulle myndigheter som enbart använder personuppgifterna för statistikproduktion antingen bli skyldiga att inhämta samtycke från samtliga, eller i det fall undantaget i artikel 81.2 a gällde, erbjuda den registrerade möjligheten att bli struken från registret. I samband med kravet på samtycke uppkom därför frågan om hur de grundläggande nationella personnummerbaserade populationstäckande registren vid Statistiska Centralbyrån, Socialstyrelsen, Försäkringskassan, Folkhälsomyndigheten och andra myndigheter med uppgifter om hälsa skulle påverkas av krav på samtycke som grundprincip och en absolut rätt att motsätta sig behandling i efterhand. Den nuvarande svenska lagstiftningen rörande obligatoriska hälsodataregister skulle då behöva modifieras, och förändringar skulle också bli nödvändiga i vissa registerförfattningar, som i särskilda fall innefattar möjligheten att motsätta sig behandling med andra formuleringar än de föreslagna.40

Ministerrådet föreslog strykning av de särskilda regler om hälsouppgifter som fanns i artikel 81. Man ansåg att den reglering som enligt artikel 9 erbjuder ett förhöjt skydd för särskilda kategorier av personuppgifter och som innefattar uppgifter om hälsa skulle vara tillräcklig. Detta vann gehör i trilogen. Därmed upphävdes den föreslagna artikel 81 i sin helhet.

40 Exempelvis enligt 7 kap. 2 § patientdatalagen som reglerar kvalitetsregister i hälso- och sjukvården.

Pseudonymiseringens ställning som skyddsåtgärd

Frågan om pseudonymiseringens ställning som skyddsåtgärd var föremål för diskussion mellan medlemsstaterna under hela förhandlingsprocessen. Pseudonymisering innebär att uppgifter som möjliggör identifiering av personer hålls separerade från andra uppgifter. Pseudonymiserade uppgifter är personuppgifter, vilket innebär att uppgifterna kan återidentifieras med tillförande av kompletterande uppgifter (artikel 4.5 i dataskyddsförordningen). Pseudonymisering innebär enligt förordningen “tekniska eller organisatoriska åtgärder”, men regleringen identifierar inte vad detta innebär i detalj. Artikel 29-gruppen har gjort en genomgång av de vanligaste metoderna.41

Det kan vara personuppgifter som är indirekt identifierbara och/eller data som försetts med en kodnyckel av mer eller mindre avancerat slag. Pseudonymiseringen kan även innebära att indirekt identifiering ska försvåras. Eftersom indirekt identifiering ofta kan åstadkommas med hjälp av relativt få uppgifter (t.ex. ålder, kön, diagnosdatum, diagnoskod och geografisk region) skulle många sådana uppgifter komma att behöva elimineras eller omkodas för att uppnå erforderligt skydd.

Pseudonymisering har framhållits som en av de viktigaste skyddsåtgärderna för forskningsdata. Kommissionens förslag till reglering av forskning i artikel 83 löd som följer:42

Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att

a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,

b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet.

41 0829/14/EN WP216. Yttrande 05/2014 om avidentifieringsmetoder, avsnitt 4 s. 20 f. 42 COM(2012) 11 final av den 25 januari 2012, s. 97.

Parlamentet föreslog som ett led i att öka personuppgiftsskyddet en förstärkning av formuleringarna i artikel 83 b genom att stryka bisatsen ”så länge som dessa ändamål kan uppfyllas på det sättet”.43Man föreslog således i praktiken ett obligatoriskt krav på pseudonymisering för statistik och forskningsändamål.

I ministerrådets behandling av frågan fanns skilda meningar om pseudonymiseringens roll i förhållande till andra skyddsåtgärder. En synpunkt var att pseudonymisering borde likställas med andra skyddsåtgärder och att en dominerande ställning för denna specifika skyddsåtgärd skulle medföra en reglering som inte var teknikneutral. Ministerrådets slutförslag innehöll en formulering som lyfte fram pseudonymisering utan krav på obligatorium och med ett liknande undantag som kommissionen hade föreslagit:

The appropriate safeguards referred to in paragraphs 1 and 1a shall be laid down in Union or Member State law and be such to ensure that technological and/or organisational protection measures pursuant to this Regulation are applied to the personal data (…), to minimise the processing of personal data in pursuance of the proportionality and necessity principles, such as pseudonymising the data, unless those measures prevent achieving the purpose of the processing and such purpose cannot be otherwise fulfilled within reasonable means.44

Ett långtgående krav skulle för forskningens del kunna leda till att de uppgiftssamlingar som är tillräckligt pseudonymiserade i praktiken inte kan användas av forskare som avser att sambearbeta uppgifter från olika källor och där insamlingen av uppgifter försiggår under långa tidsperioder.

Användning av pseudonymer vid påförande av nya data medför också sannolikt fel i matchningsproceduren. De kan orsakas både av rena datafel och av att de data som används som grund för pseudonymiseringen ändras för en individ över tid. Pseudonymisering kommer därför att resultera i förlust av datakvalitet i datamängder som förs över tid och behöver uppdateras.45 I vissa sammanhang,

43 P7_TA (2014)0212, s. 316. 44 COM(2012) 11 final av den 25 januari 2012, s. 195. 45 Felkällor som uppstår med användning av pseudonymiserade data illustreras närmare i en jämförelse mellan skandinavisk och tysk cancerstatistik: Andersen MR, Storm HH, on behalf of the Eurocourse Work Package G. Cancer registration, public health and the reform of the European data protection framework: Abandoning or improving European public health research? European journal of cancer. 2013. doi:10.1016/j.ejca.2013.09.005.

t.ex. vad avser uppgifter i biobanker, kan det vara svårt att åstadkomma en tillräcklig eliminering av uppgifter för att tillgodose kravet på pseudonymisering enligt artikel 4.5.

Ett krav på pseudonymisering skulle påverka såväl uppgiftssamlingar för forskningsändamål som registerhållningen hos statistik- och arkivmyndigheter. Ett exempel kan vara Statistiska centralbyråns (SCB) register över totalbefolkningen (RTB) som är ett utdrag från Skatteverkets grunduppgifter. RTB används för befolkningsstatistiken och utgör en viktig bas i snart sagt alla populationsbaserade studier eller i urvalsstudier där uttag och samkörningar mot andra uppgifter behöver göras. Möjligheten att behandla personnummer har således avgörande betydelse för den svenska forskningen.

Kravet på pseudonymisering kvarstod under hela trilogen. I slutskedet av förhandlingen föreslogs obligatorisk pseudonymisering om ändamålet ändå skulle kunna uppfyllas med användning av denna skyddsåtgärd. Till slut modifierades dock skrivningen i artikel 89.1 till att skyddsåtgärderna ”får inbegripa pseudonymisering under förutsättning att dessa ändamål kan uppfyllas på det sättet” (vår kursivering). Pseudonymiseringen kvarstår därmed som en i förordningen prioriterad skyddsåtgärd, men förutsätts bara användas när så är möjligt med hänsyn till personuppgiftsbehandlingens syfte.

3.3.3. Sammanfattning

Några frågor som diskuterades som särskilt viktiga för forskningen under den slutliga processen var finalitetsprincipen och forskningsundantaget, samtycke som grundprincip för hälsoinriktad forskning, och obligatorisk pseudonymisering av forskningsdata.

Efter att ha varit frånvarande från kommissionens förslag och parlamentets modifieringsförslag efter första läsningen togs ett undantag från finalitetsprincipen, för bland annat personuppgiftsbehandling för forskningsändamål, med i artikel 5 b i dataskyddsförordningen. Det har i princip samma lydelse som det undantag som finns i 9 § personuppgiftslagen.

De särskilda regler som kommissionen föreslog för personuppgifter om hälsa, och som genom parlamentets tillägg innebar mycket strikta begränsningar i forskningens möjlighet att utnyttja personuppgifter utan att samtycke inhämtats, upphävdes i sin helhet i den

slutliga förordningstexten där känsliga personuppgifter innefattande uppgifter om hälsa regleras genom artikel 9 tillsammans med andra känsliga personuppgifter.

Kravet på obligatorisk pseudonymisering om inte detta förhindrar att forskningen kan utföras fanns med sent under förhandlingen mellan ministerrådet, parlamentet och kommissionen, men ersattes slutligen med en formulering som innebär att pseudonymisering får användas om syftet med personuppgiftsbehandlingen ändå kan uppnås.

I flera fall innebar förhandlingarna att heterogeniteten mellan olika materiella tillämpningsområden och delar av det territoriella tillämpningsområdet (t.ex. mellan medlemsstaterna) var så stor att den slutliga texten innehåller en rad bestämmelser om att medlemsstaterna kan eller ska instifta nationella regler som kompletterar förordningen.

3.4. Begreppsdefinitioner

3.4.1. Inledning

Forskningsdatautredningen har, till skillnad från Utredningen om översyn av etikprövningen (U 2016:02),46 inte fått särskilda direktiv att se över definitionen av forskningsbegreppet. Eftersom särskilda regler kommer att gälla för personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål finner utredningen ändå ett behov av att adressera gränsdragningen mellan sådan behandling och annan behandling av personuppgifter. För forskningsändamål finns i dataskyddsförordningen möjlighet till undantag från flera bestämmelser som avser att skydda fysiska personer. Det är därför väsentligt att forskningsändamål ges en innebörd som möjliggör nuvarande och framtida forskning, men inte omfattar mer än vad som behövs och är tillåtligt enligt dataskyddsförordningen.47

I detta avsnitt görs först en genomgång av de begrepp och uttryck som används i dataskyddsdirektivet, personuppgiftslagen och

46 Dir. 2016:45. 47 Detta motiveras också genom de grundläggande friheter och rättigheter som fastställs i regeringsformens andra kapitel och i de internationella överenskommelser om mänskliga rättigheter som har Sverige anslutit sig till.

dataskyddsförordningen för att beskriva forskning. Därefter diskuteras hur en avgränsning av begreppet ”forskning” lämpligen kan göras och dess relation till begreppet ”forskningsändamål”, samt hur det närliggande begreppet ”akademiskt skapande” förhåller sig till forskning.

3.4.2. Begreppsanvändning i dataskyddsregleringen

Nuvarande reglering

I det nuvarande dataskyddsdirektivet förekommer begreppet ”forskning” i artikel 13.2 i uttrycket ”ändamål som har med vetenskaplig forskning att göra”, i artikel 32.3 där ”historisk forskning” omnämns, samt i skäl 34 där uttrycket ”vetenskaplig forskning” används. På flera ställen förekommer uttrycket ”vetenskapliga ändamål” (artikel 6 b och e samt skäl 29 och 40) och i ett fall ”vetenskapliga forskningsändamål” (artikel 11.2). Formuleringarna i de olika delarna av direktivet är således inte identiska eller konsekventa.

I 9 § andra stycket personuppgiftslagen används, i överensstämmelse med motsvarande artikel 6 b i direktivet, uttrycket ”vetenskapliga ändamål” för att beskriva de undantag från 9 c § som medges för bland annat forskning och i 26 § om den registrerades rätt till information efter ansökan. När det gäller forskning med känsliga personuppgifter används i 19 § uttrycket ”forskningsändamål”.

Dataskyddsförordningen

I bilaga 3 finns en detaljerad genomgång av alla de termer i dataskyddsförordningens skäl och artiklar som berör forskning. Några av dessa termer har definierats i dataskyddsförordningens artikel 4. Denna artikel innehåller dock inga definitioner av just forskning eller forskningsändamål. Begreppet ”forskning” förekommer över huvud taget inte i artiklarna, där man genomgående använder det sammansatta uttrycket ”vetenskapliga eller historiska forskningsändamål”.

När det gäller ”forskning” får man därför vända sig till skälen för att få vägledning. ”Forskning” eller ”vetenskaplig forskning” omnämns i skälen 33, 157, 159, 160 och 161. De fyra senare ger viss

vägledning om vad som bör innefattas i forskningsbegreppet när det omfattar personuppgiftsbehandling.

I skäl 159 ges en allmän vägledning till vad forskning ska anses innefatta. Skälet inleds med att fastställa att personuppgiftsbehandling för forskningsändamål omfattas av förordningen. Därefter anges att denna typ av personuppgiftsbehandling bör ges en vid tolkning som innefattar:

  • Teknisk utveckling och demonstration.
  • Grundforskning.
  • Tillämpad forskning.
  • Privatfinansierad forskning.
  • Studier som utförs av ett allmänt intresse inom folkhälsoområdet.

Skäl 160 tillägger att forskning för historiska och genealogiska48ändamål ska innefattas, dock med beaktande av att förordningen inte gäller för avlidna. Vad gäller vetenskaplig forskning inom ramen för kliniska prövningar hänvisar skäl 161 till Europaparlamentets och rådets förordning (EU) nr 536/2014.49 Forskning som innefattar kliniska prövningar torde dock även omfattas av den uppräkning som görs i skäl 159.

Uppräkningarna i de angivna skälen förefaller ange en viljeinriktning snarare än att vara heltäckande. Det bör därför finnas utrymme för att i nationell reglering skapa, alternativt behålla, en avgränsning av forskningsbegreppet som är relevant för den forskning som använder personuppgifter. En sådan avgränsning ska överensstämma med den i skäl 159 uttryckta viljeinriktningen att forskning ska ges en vid tolkning.

48 Vetenskaplig släktforskning. 49 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG (EUT L 158,27.5.2014, s. 1).

3.4.3. Begreppet forskning

Begreppets definition i närliggande sammanhang

Det huvudsakliga arbetet i Sverige med att definiera forskning har skett inom ramen för etikprövningssystemets utveckling. Diskussionen har dominerats av överväganden som har att göra med etikprövningens syften, nämligen att utgöra ett skydd mot otillbörligt utnyttjande av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Forskning som enbart omfattar teoretiska överväganden utan att använda uppgifter som härrör från enskilda personer ska inte omfattas av etikprövning. Forskning som inte omfattar känsliga personuppgifter ska inte heller etikprövas. Sådan forskning som inte berörs av etikprövningen kan således ha givits mindre uppmärksamhet i arbetet med att definiera forskning i etikprövningslagen.

Eftersom känsliga personuppgifter ofta förekommer i hälsoinriktad forskning har de exempel lagstiftaren utgått ifrån troligen ofta härrört från medicinsk och epidemiologisk empirisk forskning med användning av denna kategori av känsliga personuppgifter.

Forskningsdatautredningen har i uppdrag att föreslå den kompletterande reglering till dataskyddsförordningen som behövs för all slags behandling av personuppgifter för forskningsändamål. Utöver detta ska utredningen i sin senare fas ta ställning till en långsiktig generell reglering av forskningsdatabaser.

Utredningen ska således framöver lämna förslag på ett bredare område än det som i dag omfattas av etikprövning, men den ska inte ta ställning till forskning som inte innefattar personuppgiftsbehandling. Avgränsningen till behandling av personuppgifter för forskningsändamål är således gemensam. Etikprövningslagens forskningsdefinition och de bedömningar som föregick dess förändring från och med år 200850 utgör därmed en relevant bakgrund.

Den lydelse av forskningsdefinitionen som gällde före 1 januari 2008 enligt 2 § etikprövningslagen var:

Vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund.51

50 SFS 2008:192. 51SOU 2005:78, s. 23.

En anledning till den utredning som föregick 2008 års ändring i etikprövningslagens definition var att den äldre formuleringen innehöll ett cirkelresonemang (forskning definierades som vetenskaplig forskning) och var dessutom alltför allmänt hållen för att utgöra en väl fungerande vägledning för etikprövningsnämndernas arbete.52

Den äldre definitionen inkluderade såväl grundläggande vetenskaplig verksamhet (grundforskning) som utvecklingsarbete (tillämpad forskning), men uteslöt utvecklingsarbete som inte vilade på vetenskaplig grund. Detta synsätt får anses överensstämma med intentionerna i dataskyddsförordningen såsom de uttrycks i skäl 159.

Inför revideringen av etikprövningslagen efterfrågades också en tydligare avgränsning mellan forskning och lärosätenas utbildningsverksamhet. Detta har tillgodosetts genom en kompletterande bisats i 2008 års formulering som undantar utbildning på grund- och avancerad nivå från forskningsdefinitionen. I propositionen anges att forskning som utförs av studenter på forskarnivå ska genomgå etikprövning om den faller inom ramen för lagens tillämpningsområde.53 Den avgränsning som görs avser därmed utbildning på grundnivå samt avancerad nivå enligt högskolelagen54, men inte utbildning på forskarnivå. Denna avgränsning mot utbildning återfinns inte uttryckligen i dataskyddsförordningen, men står enligt utredningens bedömning inte i motsättning till formuleringarna i skäl 159 som genomgående använder uttrycket ”vetenskapliga forskningsändamål”.

Etikprövningsutredningen fann vid sin genomgång att Centrala etikprövningsnämnden (CEPN) i praktiken har definierat verksamheter som forskning utifrån företrädesvis två aspekter:55

  • Utförarnas egenskaper eller anställning (”kvalificerade forskare”).
  • Forskarnas/utförarnas intentioner (framför allt att publicera arbetet i vetenskaplig tidskrift).

52SOU 2005:78, s. 55 f. 53Prop. 2007/08:44, s. 20. 541 kap. 7 § högskolelagen (1992:1434) samt lag (2006:173) om ändring i högskolelagen. 55SOU 2005:78 s. 50.

Regelrätta definitioner av forskning saknas i andra förarbeten till lagstiftning om personuppgiftsbehandling, men forskning diskuteras i olika sammanhang. Efter 2008 hänvisar 19 § personuppgiftslagen till etikprövningslagen.56 För tiden före denna förändring sägs i Etikprövningsutredningen:

Före den nu nämnda förändringen av 19 § PUL beskrevs forskningsbegreppet i litteraturen på följande sätt. Begreppet forskning i 19 § sades i första hand avse den verksamhet som bedrevs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut. Även sådana epidemiologiska undersökningar som utfördes vetenskapligt omfattades. Släktforskning föll utanför, liksom annan forskning eller utredningsverksamhet av mera privat natur. Det krävdes ett samhällsintresse av att forskningen bedrevs, och den behövde vara vetenskaplig i någon mening.57

Här hänvisades således huvudsakligen till vem som är forskningsaktör.

Man kan alltså urskilja tre huvudlinjer i resonemangen. I de teoretiska övervägandena görs försök att definiera forskning utifrån verksamhetens karaktär och inriktning. När man ser till de praktiska överväganden som görs i etikprövningsnämnderna eller av forskningsfinansiärer så spelar verksamhetens organisatoriska inramning en större roll, samt de rent praktiskt närliggande målen för verksamheten, såsom vetenskaplig publicering.

Utifrån detta resonemang skulle man kunna utveckla en ”checklista” för forskning som har liknande karaktär som de just citerade praktiskt tillämpade kriterierna. Således skulle en verksamhet kunna betecknas som forskning exempelvis om:

  • Den som är ansvarig för forskningen har avslutad forskarutbildning.
  • Den som är ansvarig för forskningen är aktiv forskarstuderande.
  • Arbetet avses publiceras i vetenskaplig tidskrift. (Vad som menas med en vetenskaplig tidskrift kan diskuteras och varierar mellan olika discipliner).

56Personuppgiftslagens 19 § anger att personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål är tillåten om den godkänts enligt lagen (2003:460) om etikprövning av forskning. 57SOU 2005:78, s. 50.

  • Arbetet avses publiceras i annat vetenskapligt alster (exempelvis monografi, doktorsavhandling, datorprogram, konstinstallation, bildmaterial, bearbetade rådata i digital form, andra media).
  • Arbetet bedrivs inom universitet, högskola eller privat forskningsinstitut och betecknas där som forskning.
  • Arbetet finansieras av budget avsedd för forskning i privat näringsverksamhet och betecknas där som forskning.
  • Arbetet finansieras av eller drivs inom ideell organisation och betecknas där som forskning.
  • Arbetet finansieras av ett etablerat statligt eller privat forskningsråd.
  • Arbetet finansieras av annan forskningsaktör som betecknar aktiviteten som forskning.
  • Arbetet finansieras av ett offentligt anslag avsett för forskning i offentlig budget.

Exemplen ovan gör inte anspråk på att vara heltäckande eller ha någon prioritetsordning, men där ingår kriterier som grundar sig på:

  • Finansiering av forskningen.
  • Dokumentation av forskningen.
  • Vem som utför forskningen.
  • Forskningens organisatoriska inramning.

Inget av dessa kriterier tar på ett tillfredsställande sätt fasta på den vägledning som ges i förordningens skäl 159. I detta skäl anges att ”privatfinansierad forskning” ska inräknas, dock utan att offentligt finansierad forskning räknas upp särskilt. Detta torde kunna förstås som att skäl 159 framhåller att finansieringsformen inte ska vara avgörande för bedömningen.

Inget i skälet aviserar något krav på forskares kvalifikationer eller, utöver finansieringsformen, vilken organisatorisk ram som är acceptabel. Skälet anger som allmän riktlinje att behandling av personuppgifter för forskningsändamål bör ges en vid tolkning och att forskning förekommer i flera olika sammanhang. Utredningens

bedömning av skälets formulering är att verksamhetens innehåll därför bör vara avgörande.

Etikprövningsutredningen föreslog en forskningsdefinition med inriktning på verksamhetens innehåll. För att undvika styrning av forskningens inriktning och för att lämna öppet för framtida utveckling föreslog man efter den genomgång som refererats ovan en nästan lika vid definition av forskning som tidigare:

Vetenskapligt systematiskt sökande efter ny kunskap.58

Av den proposition som följde på denna utredning framgår att flera remissinstanser ansåg att Etikprövningsutredningens förslag var alltför allmängiltigt för att tjäna som användbar avgränsning för etikprövningsnämndernas verksamhet.59 Cirkelresonemanget i den gamla definitionen var visserligen borta, men vidden och osäkerheten i forskningsbegreppet kvarstod. Regeringen ville därför ha en tydligare avgränsning av begreppet.

Organisationen för ekonomiskt samarbete och utveckling (OECD) har som ett led i sitt stöd till olika verksamheter över världen tagit fram den s.k. Frascati-manualen, i vilken man gör ett försök att definiera forsknings- och utvecklingsverksamhet.60 Man urskiljer tre nivåer:

The term R&D covers three activities: basic research, applied research and experimental development; these are described in detail in Chapter 4.

Basic research is experimental or theoretical work undertaken primarily to acquire new knowledge of the underlying foundation of phenomena and observable facts without any particular application or use in view. Applied research is also original investigation undertaken in order to acquire new knowledge. It is, however, directed primarily towards a specific practical aim or objective. Experimental development is systematic work, drawing on existing knowledge gained from research and/or practical experience, which is directed to producing new materials, products or devices, to installing new processes, systems and services, or to improving substantially those already produced or installed. R&D covers both formal R&D in R&D units and informal or occasional

R&D in other units. (Våra kursiveringar.)

58SOU 2005:78, s. 23.59Prop. 2007/08:44 s. 17 f. 60 OECD (2002) Frascati Manual: Proposed Standard Practice for Surveys on Research and Experimental Development, 6th ed., 2002, Ch 7, p. 30.

Den vida inriktning av forskningsbegreppet som OECD använder motsvarar i stora drag ambitionerna i skäl 159. Dock utgör OECD:s definition en avgränsning av forsknings- och utvecklingsarbete, medan förordningen ska tillämpas på personuppgiftsbehandling för vetenskapliga forskningsändamål. Det får anses som en något smalare målsättning eftersom det utvecklingsarbete (”teknisk utveckling och demonstration”) som omnämns i skäl 159 fortfarande torde förutsätta att arbetet sker på vetenskaplig grund och har vetenskapligt ändamål.

I regeringens proposition om ändring av etikprövningslagen föreslogs ett forskningsbegrepp som nära ansluter till OECD:s, men där indelningen i tre grupper slopats.61 Den nuvarande lydelsen av 2 § etikprövningslagen är:

Vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Efter ändringen har även denna definition visat sig vara otillräcklig. Detta påpekas av Centrala etikprövningsnämnden i en skrivelse till regeringen.62 Definitionen sägs vara för smal, och i vissa fall även för bred, för att vara tillämplig. Den synes exempelvis utesluta andra vetenskapliga metoder för analys av data än de experimentella.

Etikprövningslagens definition av empirisk forskning63 pekar på den typ av forskning som genererar observationer experimentellt genom att manipulera ett eller flera forskningssubjekt i syfte att studera resultaten på ett kontrollerat sätt. När det gäller människor sker detta ofta genom att slumpmässigt indela försökspersoner i försöksgrupp och kontrollgrupp och studera skillnaden i ett utfall efter manipulering av försöksgruppen (s.k. randomiserad studie).

De vetenskapliga studier som använder personuppgifter och ska bli föremål för etisk prövning domineras av andra metoder än de experimentella. Etikprövningslagen ska tillämpas om forskningen medför fysisk eller psykisk påverkan på försökspersonerna även utan närvaro av någon experimentell manipulering.64 I många fall

61Prop. 2007/08:44 s. 17. 62 CEPN dnr A28-2009, RK dnr U2009/4528/F. 63 Dvs. forskning som använder data. 643 och 4 §§ lagen (2003:460) om etikprövning av forskning som avser människor.

studeras människor och processer utan forskarens ingripande. Det gäller exempelvis redan insamlade uppgifter om personer i myndighetsregister. Det gäller när biologiska prover tagna inom hälso- och sjukvården även används för forskningsändamål. Inom exempelvis pedagogik kan forskning innebära att undervisning i praktiken studeras, beskrivs och systematiseras av en forskare. Inom etnografi kan datainsamling bestå av passiv observation och/eller inspelning av ett naturligt skeende, där systematisering av informationen i huvudsak sker i efterhand. Ett liknande förfaringssätt aktualiseras vid studier av dokument, exempelvis i rättsvetenskaplig eller historisk forskning.

En samlande beteckning på detta är ”observationsstudier”.65Observationsstudier innefattar antingen användning av uppgifter insamlade primärt för forskningsändamål eller andrahandsanvändning av uppgifter som samlats in för andra ändamål än forskning. Här utgör de befolkningsbaserade administrativa registren ett särskilt viktigt underlag. I denna grupp ingår exempelvis uppgifter från folkbokföringen (SCB), hälsodataregister (Socialstyrelsen), hälso- och sjukvårdens kvalitetsregister (landstingen), register över inkomster (Skatteverket) m.m. Uppgifter som har samlats in primärt för forskningsändamål kan innefatta frågeundersökningar, medicinsk provtagning eller fysiska/mentala tester. Slutligen inryms i observationsstudier forskningsmaterial som till stor del är ostrukturerat med avseende på forskningssyftet, t.ex. inspelningar av naturlig konversation, bilder och olika slag av textdokument.

Etikprövningslagens nuvarande definition av forskning förefaller därmed inte täcka hela det område etikprövningen har omfattat. I skrivelsen till regeringen föreslog CEPN att en ny definition av forskning som anpassas till etikprövningsnämndernas ansvarsområde införs:

I denna lag avses med

1. forskning: empiriskt vetenskapligt arbete och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå [---]66

65 Ett något missvisande begrepp eftersom även experiment genererar observationer. Här avses dock observationer av naturliga fenomen, dvs. de som inte genererats av forskaren. 66 CEPN dnr A28-2009, RK dnr U2009/4528/F.

CEPN:s förslag innefattar observationsstudier och tydliggör dessutom, liksom Frascatimanualen och skäl 159 i dataskyddsförordningen, att visst utvecklingsarbete ska betraktas som forskning. Det tydliggör också att det för etikprövningens del är fråga om att ta ställning till empirisk forskning (som använder personuppgifter) och inte till eventuella etiska aspekter på rent teoretisk forskning.

Överväganden

Utredningens bedömning: Begreppet forskning bör vid person-

uppgiftsbehandling för forskningsändamål avgränsas på följande sätt: ”vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå”.

Utredningen föreslår i föreliggande betänkande en forskningsdatalag. Av detta följer att lagens materiella tillämpningsområde behöver avgränsas. Det medför i sin tur behov av att definiera vad som i lagens mening avses med forskning och för vilka typer av forskning lagen ska vara tillämplig.

För utredningen framstår det inte som aktuellt att i lagens tillämpningsområde innefatta rent teoretiskt arbete, dvs. som inte innefattar personuppgiftsbehandling, innebärande utveckling av perspektiv, begreppssystem och förklaringsmodeller utan användning av observationer. CEPN:s förslag till ändrad lydelse av 2 § etikprövningslagen innebär att termen ”teoretiskt arbete” bör uteslutas från avgränsningen.

CEPN har därutöver påpekat att den nu gällande lydelsen ”vetenskapligt experimentellt arbete” är alltför smal och bör ersättas med den bredare termen ”empiriskt vetenskapligt arbete”. Enligt vår bedömning omfattar inte begreppet ”empiriskt” med självklarhet all den behandling av personuppgifter för forskningsändamål som är möjlig och som omfattas av dataskyddsförordningen. Det kan exempelvis ifrågasättas om behandling för forskningsändamål av redan insamlade uppgifter i rättsvetenskapliga källor kan betecknas som ”empirisk”.

En bättre precisering av den forskning som lagen ska tillämpas på skulle åstadkommas genom en avgränsning till ”vetenskapligt arbete … som omfattar personuppgiftsbehandling”. Utredningen konstaterar dock att denna begränsning redan följer av dataskyddsförordningens artikel 2.1 som avgränsar förordningens materiella tillämpningsområde. Eftersom forskningsdatalagen uteslutande ska gälla inom dataskyddsförordningens tillämpningsområde saknas behov av att tydliggöra en sådan avgränsning.

Med hänsyn till ovanstående resonemang anser utredningen att termerna ”experimentellt”, ”teoretiskt” och ”empiriskt” bör undvikas, och konstaterar att en avgränsning till personuppgifter redan följer av dataskyddsförordningen. Utredningen bedömer därmed att en anpassad mindre modifikation av CEPN:s förslag behövs i detta avseende. Vidare föreslår utredningen att avgränsningen förtydligas ytterligare genom att arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå undantas. Detta för att tydliggöra gränsdragningen mellan utbildning och forskning. Utredningens bedömning är således att inom forskningsdatalagens tillämpningsområde ska med forskning avses:

Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Den föreslagna formuleringen innefattar utvecklingsarbete på vetenskaplig grund och inbegriper därmed de intentioner som beskrivs i skäl 159. Den ska betraktas som en fungerande avgränsning av den forskning som omfattas av förordningens särskilda bestämmelser om personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål.

Det är avslutningsvis utredningens bedömning att någon definition av begreppet forskning inte bör införas i den föreslagna forskningsdatalagen. Den avgränsning utredningen här har redogjort för får anses vara en tillräcklig utgångspunkt för hur forskningsbegreppet ska tolkas vid personuppgiftsbehandling för forskningsändamål, samtidigt som arbete pågår i en annan utredning (U 2016:02) med att se över definitionen av forskning i etikprövningslagen.

3.4.4. Begreppet forskningsändamål

Begreppets användning i dataskyddsförordningen

I dataskyddsförordningens artiklar används genomgående och konsekvent uttrycket ”vetenskapliga eller historiska forskningsändamål”. Uttrycket används i artikel 5 som rör principerna för behandling av personuppgifter och i artikel 9 som rör känsliga personuppgifter (i förordningen kallat särskilda kategorier av uppgifter). Det förekommer också i samband med föreskrifter om undantag för forskningsändamål från vissa av de registrerades rättigheter i artiklarna 14, 17 och 21. Det återfinns även i artikel 89.1 som anger att personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder och i artikel 89.2 som lämnar utrymme för att i unionsrätten eller nationell rätt föreskriva undantag från artiklarna 15, 16, 18 och 21. Dessa artiklar behandlar den registrerades rättigheter i det fall personuppgifter behandlas för forskningsändamål. Undantag från rättigheterna får göras när behoven av skyddsåtgärder är tillgodosedda och när det behövs för att forskningen ska kunna genomföras. För närmare analyser av dessa bestämmelser hänvisas till separata avsnitt i detta betänkande.

I artikel 6, som handlar om laglig behandling av personuppgifter, omnämns inte forskningsändamål särskilt. Det ingår här i den mer omfattande grupp ändamål som tillsammans kan (eller förutsätts) bli föremål för medlemsstaternas eller unionens kompletterande reglering (artikel 6.1 e allmänt intresse och 6.1 c rättslig förpliktelse).

Begreppet forskningsändamål förekommer tillsammans med mer eller mindre avgränsade uttryck67 och formuleringar i flera av förordningens skäl. I skäl 26 fastställs exempelvis att anonym information för forskningsändamål faller utanför förordningens tillämpningsområde. I skäl 33 förtydligas att samtycke till personuppgiftsbehandling för forskningsändamål kan innefatta avgränsade forskningsområden av bredare karaktär än enskilda projekt. Skäl 50 innehåller ett förtydligande av artikel 5.1 b om vilka krav som ställs på ytterligare behandling av redan insamlade personuppgifter. Skälen 52 och 53 förtydligar att undantag i unionsrätten eller nationell rätt från förbudet att behandla särskilda kategorier av person-

67 Se fig. 1 i bilaga 3.

uppgifter i artikel 9.1 kan göras för forskningsändamål. Skälen 62 och 65 beskriver undantag från de registrerades rättigheter vid personuppgiftsbehandling för forskningsändamål. I skäl 113 anges att hänsyn till samhällets legitima förväntningar om ny kunskap ska tas när överföring till tredje land görs för forskningsändamål. I skäl 156 formuleras riktlinjer för skyddsåtgärder och undantag från de registrerades rättigheter när uppgifter används för forskningsändamål. I skäl 157 framhålls vikten av att den personuppgiftsbehandling för forskningsändamål som innebär samkörning av personuppgifter från olika register kan göras. I skälen 159–162 beskrivs, som diskuterats i föregående avsnitt, vad som ska anses innefattas i personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål.

Varken i skälen eller i de bindande artiklarna finns någon vägledning vad avser den eventuella distinktionen mellan ”vetenskapliga forskningsändamål” och ”historiska forskningsändamål”. De förekommer åtskilda från varandra endast i de vägledande skälen 159, som särskilt beskriver vetenskapliga forskningsändamål, och 160, som särskilt behandlar vad som innefattas i historiska forskningsändamål. Huruvida de separata formuleringar som finns i dessa skäl är avsett att skilja dem åt med avseende på bestämmelserna om personuppgiftsbehandling framgår inte tydligt. Inte heller finns det någon klart uttalad beskrivning av distinktionen mellan ”forskning” och ”forskningsändamål”.

Dessa två frågeställningar har betydelse för hur förordningen bör tolkas, och analyseras i det följande.

Historiska, statistiska och vetenskapliga forskningsändamål

I kommissionens ursprungliga förslag från januari 2012 förekommer uttrycket ”historiska, statistiska och vetenskapliga forskningsändamål”.68 Denna sammanhållna formulering förekommer inte i det nuvarande dataskyddsdirektivet, där motsvarande uttryck i artikel 6 b och e är ”historiska, statistiska eller vetenskapliga ändamål”. Frågan uppstod om den nya sammanhållna satsen i kommissionens

68 COM (2012) 11 final av den 25 januari 2012, s. 97.

förslag skulle förstås som hänförlig till olika typer av forskning, eller om de två första områdena inte skulle avse forskningsändamål.

Avgränsningsproblemet blev särskilt tydligt i den engelskspråkiga versionen genom att uttrycket ”research purposes” kan ges en bredare definition än svenskans ”forskningsändamål”. Avsikten visade sig vara att historiska och statistiska ändamål inte ska avse forskning. Man strök därför ordet ”research” och ändrade ordföljden i formuleringen till ”archiving purposes in the public interest or for scientific, historical and statistical purposes”69 varmed det tydliggjordes att de vetenskapliga ändamålen är separerade från övriga ändamål. Förslaget innebar med andra ord att förutom ändringen av ordföljd återgå till den formulering som finns i dataskyddsdirektivet.

Det fanns dock ett önskemål om att tydliggöra att historisk och statistisk forskning inte skulle undantas från de bestämmelser som gäller forskning. För att lösa detta delade man upp begreppet ”historiska ändamål” i två beståndsdelar: ”arkivändamål av allmänt intresse” och ”historiska forskningsändamål”. Den formulering som genomgående används i förordningen blev därmed ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Man återinförde därmed termen ”forskning” i formuleringen, men den placerades på ett sätt som inte återskapade den ursprungliga ambivalensen vad gäller historisk forskning. Införandet av det separata uttrycket ”historiska forskningsändamål” torde därmed inte vara avsett att skilja på historisk och vetenskaplig forskning. Det är snarare ämnat att särskilja historiska forskningsändamål från arkivändamål av allmänt intresse.

Det bör noteras att motsvarande ändring inte infördes för statistisk forskning. Ingen vägledning finns till hur detta ska uppfattas. Utredningens bedömning är att statistisk forskning, snarare än att innefattas i ”statistiska ändamål”, bör omfattas av ”vetenskapliga och historiska forskningsändamål”.

69 Note 9565/15 from the Presidency to the Council, 11 June 2015 s. 195.

Forskning och forskningsändamål

I det följande görs en bedömning av huruvida begreppen ”forskning” och ”forskningsändamål” bör åtskiljas när man bedömer vilken personuppgiftsbehandling för forskningsändamål som är tillåten enligt förordningen. En utförlig genomgång av allmänna principer och rättsliga grunder för forskningens användning av personuppgifter görs i kapitel 5. Behandling av personuppgifter för forskningsändamål med samtycke och behandling av känsliga personuppgifter för forskningsändamål tas upp i kapitel 6 respektive kapitel 7. Av dessa kapitel framgår att insamling av personuppgifter kan ske för forskningsändamål och att ytterligare behandling för forskningsändamål av personuppgifter insamlade för andra ändamål än forskning är tillåten. Nedan diskuteras innebörden av detta med avseende på vad som ska förstås som personuppgiftsbehandling för forskningsändamål.

Enligt nuvarande bestämmelser i 9 § c personuppgiftslagen ska personuppgifter samlas in för särskilt, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte behandlas för ändamål som är oförenliga med dessa ändamål (9 § d) Behandling för vetenskapliga ändamål ska inte anses som oförenligt med dessa ändamål enligt 9 § andra stycket. Motsvarande formuleringar finns i dataskyddsförordningens artikel 5 b. Personuppgiftsbehandling för vetenskapliga ändamål ska tillgodose proportionalitetsprincipen och principen om uppgiftsminimering (9 § f personuppgiftslagen och artikel 5 c i förordningen). Syftet med behandlingen för forskningsändamål måste vara tillräckligt beskrivet för att en bedömning enligt dessa kriterier ska kunna göras. Förordningen synes inte innebära någon förändring av bestämmelserna i dessa avseenden.

Begreppet forskningsändamål intar därför en central roll för att avgöra om den avsedda behandlingen avser forskning och därmed ska omfattas av de särskilda regler och undantag som ska gäller för detta. Det är enligt utredningens bedömning lämpligt att personuppgiftsbehandling för ändamålet forskning och för forskningsändamål likställs och omfattas av förordningens regelverk på samma sätt oavsett om den ena eller andra termen används.

I det följande görs en analys av vissa aspekter som aktualiseras av detta ställningstagande. Analysen föranleds av behovet av att avgöra om en personuppgiftsbehandling avser forskningsändamål

eller inte. En för utredningens fortsatta arbete särskilt intressant frågeställning är huruvida iordningsställande av databaser för breda syften, exempelvis inom ramen för ett forskningsprogram, ska anses ingå i forskningsprocessen och således anses ha forskningsändamål.

Observationsstudier innefattar ofta en lång process där data samlas in över tid och naturliga förlopp studeras. Vanliga beskrivningar av den empiriskt inriktade forskningsprocessen innefattar bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, datainsamling (inklusive i förekommande fall prövning enligt offentlighets- och sekretesslagen (2009:400)), konstruktion av databas, lagring av data, analys av data, manusförfattande, publicering, dokumentation (bl.a. av data), samt arkivering av data. Detta benämns ibland med termen ”forskningsprotokoll” och ingår som en helhet i forskningen. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt förekommande om forskningen följer ett program med flera enskilda separata forskningsprojekt som ingående delar.

Det kan som sagt ibland vara svårt att exakt definiera enskilda ändamål vid insamlingstillfället. Detta är exempelvis fallet när det gäller forskningsprogram som är utsträckta över en lång tidsperiod. En långvarig process kan här innebära att alla delar av forskningen inte kan vara slutligen planerade. För att arbetet ska kunna betecknas som personuppgiftsbehandling för forskningsändamål krävs dock fortfarande en tydlig avgränsning av behandlingens ändamål. Det är enligt utredningens bedömning rimligt att konstruktionen av forskningsdatabaser, under förutsättning att syftet fastställs som ett väl avgränsat forskningsområde, kan bedömas som personuppgiftsbehandling för forskningsändamål och därmed utgöra en del av själva forskningen.

I kapitel 6 om behandling av personuppgifter för forskningsändamål med samtycke redogörs kortfattat för det så kallade LifeGeneprojektet70 som av bl. a. Datainspektionen ansågs ha ett alltför brett ändamål för att kunna tillåtas enligt personuppgiftslagen. LifeGeneprojektet omfattade under de första åren ett förberedande insamlingsarbete som behövs för att långt senare kunna formulera närmare hypoteser och genomföra analyser av de långsiktiga konse-

70 Se http://www.lifegene.se

kvenserna som arv och miljö har på hälsan. Den centrala etikprövningsnämnden bedömde att detta arbete på grund av att det saknades ett tillräckligt tydligt avgränsat forskningsändamål skulle betraktas som skapande av en infrastruktur för forskning och därmed inte utgjorde sådan forskning som ska etikprövas. Databaser som har denna bredare karaktär har i stället ansetts behöva grundas på särskild lagstiftning. Riksdagen har i vissa fall stiftat sådana lagar för insamlingar av forskningsdata. Utöver lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) finns exempelvis lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen).

Att tillskapa forskningsinfrastrukturer är enligt utredningens preliminära bedömning en integrerad del av forskningsprocessen som i vissa fall är nödvändig och som har bredare formulerade forskningsändamål än de som förekommer i enskilda forskningsprojekt. I dataskyddsförordningens skäl 33 har nu tillkommit en tydligt uttryckt ambition att tillåta bredare samtycken för forskningsändamål.71 Hur artikel 33 ska tolkas med avseende på insamling i enlighet med den plan som finns i LifeGene-projektet, utan att stöd måste finnas i särskild författning, utgör en av utredningens kommande uppgifter i samband med att vi tar ställning till långsiktig reglering av forskningsdatabaser.72

Forskningsdatabaser som ytterligare behandling av personuppgifter

I det föregående avsnittet har insamling av data i en databas för framtida forskning inom ett specificerat forskningsområde diskuterats. En näraliggande men separat frågeställning är om myndigheter och andra personuppgiftsansvariga kan iordningsställa personuppgifter i databaser för forskningsändamål med hjälp av uppgifter som redan samlats in för andra ändamål.

Två exempel på databaser avsedda helt eller delvis för forskningsändamål är Statistiska Centralbyråns av forskare flitigt använda databas Longitudinell Integrationsdatabas för Sjukförsäkrings- och

71 För en mer utförlig redogörelse se kapitel 6. 72 Se dir. 2016:65.

Arbetsmarknadsstudier (LISA) och Försäkringskassans Mikrodata för analys av sjukförsäkringen (MiDAS). Här har personuppgifter som lagras hos myndigheten iordningställts för forskningsändamål och annat analysarbete. I SCB:s terminologi används begreppet ”studier” och i Försäkringskassans ”analys” i databasernas namn, vilket anger deras syfte. Uppgifter kan begäras ut och användas såväl för forskningsändamål som för andra ändamål.

Varken LISA eller MiDAS grundas på särskilda registerförfattningar. MiDAS används såväl för myndighetens egen verksamhetsuppföljning som för forskning, företrädesvis vid universiteten. LISA används inte i myndighetens egen verksamhet utan är avsedd att underlätta iordningställandet av uppgifter för externa projekt. Såväl SCB som Försäkringskassan är statistikmyndigheter och har därmed stöd i 14 och 15 §§ lagen (2001:99) om den officiella statistiken för behandling av personuppgifter för framställning av statistik inom de områden respektive myndighet ansvarar för enligt förordningen (2001:100) om den officiella statistiken med dess bilaga där statistikområden för respektive myndighet anges.

Det är tveksamt om uppbyggnaden av de beskrivna databaserna för studier och analyser bör grundas på den lagstiftning som avser statistikproduktion. En alternativ tolkning kan vara att söka lagligt stöd för databasernas skapande i 9 § personuppgiftslagen, att behandling av myndighetens personuppgifter för vetenskapliga ändamål inte ska anses stå i motsättning till de ändamål för vilka data ursprungligen samlades in. Denna formulering återfinns, som beskrivits ovan, också i förordningens artikel 5 b.

Sammanställningen av befintliga personuppgifter för forsknings- och analysändamål har hos myndigheterna betraktats som tillåten utan att ett eller flera specifika ändamål måste anges före det att personuppgifterna sammanställts. Först när uppgifterna begärs ut och ska användas i ett specifikt vetenskapligt projekt av en ny personuppgiftsansvarig har de regler som gäller insamling (i detta fall från sekundär källa) tillämpats.

SCB och Försäkringskassan omfattas av statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Ett lärosäte är i många fall en myndighet. Detta medför bland annat att personuppgifter som skyddas av sekretess och som lämnas ut för

forskningsändamål vid lärosätet omfattas av den sekretess som gäller för uppgifterna vid den utlämnande myndigheten.73

Vid lärosätet kan uppgifter på ett liknande sätt som LISA och MiDAS med stöd av dataskyddsförordningens artikel 5.1 b och skäl 50 kunna sammanställas för forskningsändamål utan att ett nytt ändamål behöver fastställas.

De allmänna principer som föreskrivs i artikel 5.1 ska dock vara uppfyllda. Enligt artikel 5.2 ska den personuppgiftsansvarige kunna visa att dessa efterlevs. Därutöver ska skyddsåtgärder enligt artikel 89.1 finnas och den rättsliga reglering som krävs enligt artiklarna 6.3 och 9.2 j ska vara tillgodosedd. Hur detta kan kombineras med iordningsställande av forskningsdatabaser på ovan angivet sätt kräver ytterligare analys. Utredningen avser att återkomma till detta i vårt slutbetänkande.

Överväganden

Utredningens bedömning: Historiska, statistiska och veten-

skapliga forskningsändamål ska betraktas som likställda.

Förordningens återkommande uttryck ”vetenskapliga eller historiska forskningsändamål” innefattar enligt utredningens bedömning forskningsändamål utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling.

Vidare bedömer utredningen att statistiska ändamål inte innefattar forskning. Statistisk forskning kan därmed i stället innefattas i uttrycket ”vetenskapliga forskningsändamål” och omfattas av samma bestämmelser om personuppgiftsbehandling för forskningsändamål som andra vetenskapsområden.

Utredningens bedömning: Personuppgiftsbehandling för ända-

målet forskning och för forskningsändamål ska betraktas som likställda.

7311 kap. 3 § offentlighets- och sekretesslagen (2009:400).

Arbete med forskningsändamål bör kunna omfatta hela eller delar av forskningsprocessen. Iordningsställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i vid bemärkelse. De allmänna principer för personuppgiftsbehandling som föreskrivs i artikel 5 ska gälla för detta arbete. Av särskild betydelse är här bedömningen av hur forskningsdatabaser med bredare ändamål än ett enskilt forskningsprojekt kan tillfredsställa principen om uppgiftsminimering i artikel 5 c. Viss vägledning till detta ges i förordningens skäl 33 som anger att samtycke ska kunna inhämtas för områden för vetenskaplig forskning när det exakta syftet med insamlingen inte fullt ut kan identifieras vid insamlingstillfället.

Utredningen bedömer att det kan finnas visst stöd för att den personuppgiftsansvarige med hänvisning till artikel 5 b i förordningen kan behandla redan insamlade personuppgifter för att iordningsställa databaser avsedda för forskningsändamål. Att ändamålet är forskning bör vara tydligt för att artikel 5 b ska vara tillämplig.

Utredningens bedömning är att de enskilda delarna av forskningsprocessen ska kunna betecknas som arbete med vetenskapligt ändamål och forskningsändamål var för sig utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier (också kallat kohortstudier) där förlopp studeras över tidsperioder som ibland omfattar många år. Det måste dock stå klart att arbetet är en del av forskningsprocessen och tillgodoser de principer som gäller för all personuppgiftsbehandling enligt förordningens artikel 5.

Utredningen avser att återkomma bland annat till hur begreppet forskningsändamål ska betraktas i relation till uppbyggnaden av forskningsdatabaser i vårt slutbetänkande. Utredningens sammanfattande bedömning i detta skede är att personuppgiftsbehandling för ändamålet forskning och för forskningsändamål ska betraktas som likställda.

3.4.5. Begreppet akademiskt skapande

Vårt uppdrag är att utreda och föreslå en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål. Dataskyddsförordningen öppnar för ett flertal möjligheter till sådan nationell reglering genom att direkt hänvisa till personuppgifts-

behandling för historiska och vetenskapliga forskningsändamål i ett flertal artiklar och skäl, vilka utredningen kommer att behandla i de olika delarna av betänkandet. I ett fall förekommer dock ett begrepp som kan tyckas angränsande till vetenskapliga forskningsändamål. I artikel 85 i dataskyddsförordningen återfinns begreppet akademiskt skapande. Utredningen kommer i det följande att analysera begreppet akademiskt skapande sett i relation till vårt uppdrag att utreda och föreslå reglering för personuppgiftsbehandling för forskningsändamål.

Rättsliga förutsättningar

I 7 § andra stycket personuppgiftslagen anges att flertalet bestämmelser i lagen inte ska tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Denna bestämmelse har sin grund i artikel 9 i det nuvarande dataskyddsdirektivet som anger att medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande ska besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.

I artikel 85 i dataskyddsförordningen återfinns motsvarande bestämmelse:

Artikel 85

Behandling och yttrande- och informationsfriheten

1. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

2. Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

3. Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.

Det kan inledningsvis noteras att dataskyddsförordningen, till skillnad från dataskyddsdirektivet och personuppgiftslagen, inte föreskriver att enbart sådan behandling som sker uteslutande för de uppräknade ändamålen får undantas, utan det räcker att det sker för sådant ändamål. Undantagsmöjligheten är således utökad i dataskyddsförordningen.

Vad som dessutom skiljer artikel 85 från artikel 9 i dataskyddsdirektivet och 7 § andra stycket personuppgiftslagen är att även personuppgiftsbehandling som sker för akademiskt skapande får undantas. Eftersom begreppet akademiskt skapande är nytt i sammanhanget uppkommer frågan vad som innefattas i detta begrepp och även hur det förhåller sig till begreppet vetenskapliga forskningsändamål.

Dataskyddsutredningens uppdrag och förslag

Det framgår av Dataskyddsutredningens direktiv att regeringen anser att artikel 85 i dataskyddsförordningen innebär att det blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det ingår inte i Dataskyddsutredningens uppdrag att överväga eller lämna förslag till grundlagsändringar, men utanför grundlagarnas tillämpningsområde är det regeringens bedömning att det även fortsättningsvis torde finnas behov av bestämmelser som, liksom 7 § andra stycket personuppgiftslagen, balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten. Det ingår därför i Dataskyddsutredningens uppdrag att analysera hur sådana regler bör utformas och lämna sådana författningsförslag som är behövliga och lämpliga.74

74 Dir. 2016:15 s. 22.

Av Dataskyddsutredningens betänkande framgår att utredningen föreslår att ett undantag för sådan behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska införas i den nya dataskyddslag som föreslås komplettera dataskyddsförordningen på nationell generell nivå. Detta undantag föreslås innebära att enbart dataskyddsförordningens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner ska tillämpas i dessa fall.

Det är Dataskyddsutredningens bedömning att ordalydelsen i artikel 85.2 i dataskyddsförordningen synes ålägga medlemsstaterna att göra vissa undantag från förordningen under förutsättning att de är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Samma krav på nödvändighet finns i dataskyddsdirektivet, och den befintliga bestämmelsen i 7 § andra stycket personuppgiftslagen bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara förenliga med yttrande- och informationsfriheten. Förslaget till bestämmelse i dataskyddslagen är således utformat med 7 § andra stycket personuppgiftslagen som förebild.75

Beträffande begreppet akademiskt skapande konstaterar Dataskyddsutredningen att det är nytt och inte närmare definierats i artiklar eller skäl. Dataskyddsutredningen gör vidare bedömningen att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i dataskyddsförordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen, anser Dataskyddsutredningen, skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Dataskyddsutredningens slutsats är att innebörden av begreppet akademiskt skapande är oklar och att dess närmare betydelse får utvecklas i praxis.76

75SOU 2017:39 avsnitt 7.4. 76 A.a. avsnitt 7.4.

Överväganden

Utredningens bedömning: Personuppgiftsbehandling för akade-

miskt skapande är inte detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål. De två begreppen omfattar olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket.

Artikel 85 i dataskyddsförordningen och Dataskyddsutredningens förslag till kompletterande nationell bestämmelse på generell nivå i dataskyddslagen innebär alltså att behandling av personuppgifter för akademiskt skapande undantas från dataskyddsförordningens bestämmelser förutom vad avser bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner. Eftersom detta är ett omfattande undantag, vars motsvarighet inte finns i dag, och med tanke på att begreppet akademiskt skapande kan te sig likartat med begreppet vetenskapliga forskningsändamål är det vår uppfattning att vi behöver göra en något djupare analys av hur dessa begrepp förhåller sig till varandra, än vad som framgår av Dataskyddsutredningens betänkande.

Vi kan inledningsvis konstatera, precis som Dataskyddsutredningen gjort, att begreppet akademiskt skapande återfinns i enbart en artikel i dataskyddsförordningen, medan begreppet vetenskapliga forskningsändamål återfinns i ett flertal artiklar och skäl. Att akademiskt skapande skulle vara detsamma som vetenskapliga forskningsändamål finner vi därför inte troligt. Gränsdragningen mellan dessa begrepp är dock inte alldeles tydlig.

Av skäl 159 i dataskyddsförordningen framgår att om personuppgifter behandlas för vetenskapliga forskningsändamål bör förordningen gälla också denna behandling. Begreppet vetenskapliga forskningsändamål bör enligt skäl 159 ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Vidare framgår att för att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör specifika villkor gälla, särskilt vad avser offentliggör-

ande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.

Inget i detta skäl indikerar således att de undantag som artikel 85.2 öppnar för beträffande akademiskt skapande ska tillämpas på personuppgiftsbehandling för vetenskapliga forskningsändamål. Detta skulle, enligt utredningens uppfattning, också vara en orimlig tolkning mot bakgrund av de omfattande undantag som artikel 85.2 och förslaget till bestämmelse i dataskyddslagen möjliggör från dataskyddsförordningens bestämmelser. Att all personuppgiftsbehandling för vetenskapliga forskningsändamål skulle undantas från flertalet av dataskyddsförordningens bestämmelser är helt enkelt inte överensstämmande med dataskyddsförordningens syfte.

Frågan är då vad som avses med begreppet akademiskt skapande. En översiktlig jämförelse av översättningarna av begreppet akademiskt skapande i artikel 85 visar att de engelska, franska, italienska, nederländska, portugisiska och spanska versionerna använder ordet expression i betydelsen uttryck eller yttrande (på holländska heter detta uitdrukkingsvormen, de övriga har ordet expression i olika stavningar). De tyska och danska versionerna använder zwecken (syssla) och virksomhed (verksamhet). Endast den svenska versionen använder ordet skapande (som i engelsk översättning närmast skulle bli creation). Detta ger, enligt utredningens uppfattning, vid handen att akademiskt skapande närmast ska tolkas som akademiskt uttryck eller yttrande, dvs. snarare att koppla till akademisk yttrandefrihet. Detta är ju också i enlighet med vad artikel 85 i dataskyddsförordningen, och även artikel 9 i dataskyddsdirektivet och 7 § personuppgiftslagen, handlar om, nämligen relationen mellan regleringen av behandling av personuppgifter och yttrande- och informationsfriheten.

Behandling för akademiskt skapande, som därmed skulle komma att omfattas av undantag enligt artikel 85.2 i dataskyddsförordningen samt dataskyddslagens bestämmelse, skulle således enligt utredningens uppfattning kunna vara behandling av personuppgifter som syftar till skydd av den akademiska yttrandefriheten. De undantag som möjliggörs genom dataskyddsförordningen och förslaget till bestämmelse i dataskyddslagen syftar ju också till att främja yttrande- och informationsfriheten enligt grundlagarna. Exakt vilken slags personuppgiftsbehandling detta skulle kunna vara är dock svårt att göra en generell bedömning av. Det är utredningens

uppfattning att det i vart fall inte är detsamma som behandling av personuppgifter i samband med utförande av den faktiska forskningsverksamheten.

Det är avslutningsvis viktigt att påminna om att, enligt Dataskyddsutredningens förslag, bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner alltjämt ska tillämpas även för personuppgiftsbehandling för akademiskt skapande. Detta innebär att lämpliga skyddsåtgärder ska finnas också vid sådan personuppgiftsbehandling, att tillsyn ska kunna ske och att sanktioner ska kunna utgå vid felaktig behandling.

Sammanfattningsvis är det således vår bedömning att personuppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket. En närmare definition av vad som utgör akademiskt skapande anser vi, liksom Dataskyddsutredningen, får utvecklas i praxis.

3.4.6. Sammanfattning

Det är utredningens bedömning att dataskyddsförordningen likställer vetenskaplig och historisk forskning, samt att statistisk forskning kan innefattas i vetenskapliga och historiska forskningsändamål. Samma bestämmelser torde således gälla oavsett om det är fråga om personuppgiftsbehandling för historiska forskningsändamål, statistiska forskningsändamål eller forskningsändamål inom andra discipliner.

Begreppet forskningsändamål har inte varit föremål för utredningar på samma sätt som begreppet forskning. Utredningens bedömning är att begreppen forskning och forskningsändamål bör likställas så att den reglering som gäller forskning också kommer att gälla forskningsändamål. Personuppgiftsbehandling för forskningsändamål är enligt utredningens bedömning arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordningsställande och dokumentation av databaser för användning i forskning eller arkivering av

forskningsmaterial. Begreppen kan därmed ges en tolkning som innebär att personuppgiftsbehandling för forskningsändamål inte behöver innefatta hela utan i vissa fall kan avgränsas till en del av forskningsprocessen, vilket möjliggör långsiktig forskning med användning av personuppgifter.

Slutligen är det vår bedömning att personuppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket.

4. En forskningsdatalag

4.1. Inledning

I samband med att dataskyddsförordningen (EU 2016/679) börjar tillämpas behöver behovet av kompletterande bestämmelser i nationell rätt avseende förutsättningarna för laglig behandling av personuppgifter ses över. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och att lämna behövliga och lämpliga författningsförslag.

När det gäller behandling av personuppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.1

Utredningen har därför fått i uppdrag att undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, och att lämna de författningsförslag som behövs. I detta uppdrag ingår att analysera om det finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Det ingår vidare i uppdraget att analysera om det finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16,

1 Dir. 2016:65.

18 och 21 i dataskyddsförordningen vid behandling för forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas.

4.2. En kompletterande lag vid personuppgiftsbehandling för forskningsändamål ska införas

Utredningen kommer i detta betänkande visa att det föreligger ett behov av kompletterande nationell reglering vid personuppgiftsbehandling för forskningsändamål. Den möjlighet som dataskyddsförordningen ger för sådan kompletterande nationell reglering, som enligt utredningens bedömning är nödvändig för en ändamålsenlig personuppgiftsbehandling som beaktar skyddet för den registrerades fri- och rättigheter, ingår inte i Dataskyddsutredningens förslag till en generell kompletterande dataskyddslag.2

4.2.1. Överväganden och förslag

Utredningens förslag: En lag som kompletterar dataskydds-

förordningen vid personuppgiftsbehandling för forskningsändamål ska införas. Syftet med lagen ska vara att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.

Eftersom den aktuella EU-regleringen har förordningsform är möjligheterna att behålla eller införa nationella bestämmelser om dataskydd mycket begränsade. En förordning är i alla delar direkt tillämplig som lag i medlemsstaterna. Dataskyddsförordningen har dock i viss mån en direktivliknande karaktär genom att flera artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens bestämmelser. Det är också möjligt att införliva delar av förordningen i nationell rätt, enligt skäl 8, i de fall förordningen föreskriver förtydliganden eller begränsningar och det är nödvändigt för samstämmigheten samt

2SOU 2017:39.

för att göra de nationella bestämmelserna begripliga för de personer som ska tillämpa dem.

Enligt skäl 10 i dataskyddsförordningen utesluter inte förordningen att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där personuppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

Utredningen har funnit att dataskyddsförordningens utrymme för nationell kompletterande reglering är särskilt gynnat vad gäller personuppgiftsbehandling för forskningsändamål, vilket vi kommer att analysera närmare i betänkandets övriga delar. De bestämmelser som dataskyddsförordningen förutsätter och möjliggör och som utredningen föreslår i de olika delarna bör, enligt utredningens bedömning, samlas i en forskningsdatalag.

Den forskningsdatalag vi föreslår ska ha som syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Lagen ska tillämpas vid all behandling av personuppgifter för forskningsändamål, oavsett rättslig grund för behandlingen, och samla de kompletterande nationella bestämmelser som utredningen bedömt nödvändiga för att dataskyddsförordningen, den föreslagna dataskyddslagen och vår föreslagna forskningsdatalag sammantaget ska uppfylla det övergripande syftet att möjliggöra personuppgiftsbehandling för forskningsändamål och samtidigt skydda den enskildes fri- och rättigheter.

Begrepp och uttryck

I artikel 4 i dataskyddsförordningen definieras de centrala begrepp och uttryck som används i förordningen. De begrepp och uttryck som används i den föreslagna forskningsdatalagen har samma betydelse som i dataskyddsförordningen.

Hänvisningsteknik

Den föreslagna forskningsdatalagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hän-

visning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. De hänvisningar till dataskyddsförordningen som finns i vår föreslagna forskningsdatalag är dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Det är utredningens bedömning att detta är mest lämpligt. Detta innebär att ändringar i dataskyddsförordningen får omedelbart genomslag i den nationella rätten, även om ändringar i förordningen också kan komma att innebära behov av ändringar i den föreslagna forskningsdatalagen. Hänvisningarna till dataskyddsförordningen i den föreslagna forskningsdatalagen kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

4.3. Forskningsdatalagens förhållande till annan dataskyddsreglering

Den föreslagna forskningsdatalagen måste tillämpas i kombination med flera andra rättskällor. En utgångspunkt i detta avseende är att det är dataskyddsförordningen som utgör den centrala regleringen på området.

Det finns och kommer att finnas ytterligare tillämpliga författningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen medför ett förslag till en svensk kompletteringslag (dataskyddslagen). I enstaka fall kan bestämmelser i den av oss föreslagna lagen komma att avvika från bestämmelser i dataskyddslagen.

Utöver den föreslagna forskningsdatalagen kommer det att finnas författningar med karaktären av registerförfattningar, som innehåller bestämmelser som specifikt är inriktade på behandling av personuppgifter för forskningsändamål. I den mån sådana registerförfattningar innehåller avvikande bestämmelser, exempelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förutsättas att dessa bestämmelser är utformade efter de konkreta förutsättningar för den specifika behandlingen som regleras i registerförfattningen i fråga. En sådan registerförfattning bör därför tillämpas framför forskningsdatalagen.

4.3.1. Överväganden och förslag

Utredningens förslag: En upplysande bestämmelse om att denna

lag kompletterar dataskyddsförordningen ska tas in i forskningsdatalagen.

EU-rätten, som dataskyddsförordningen tillhör, har företräde framför nationell rätt. Med tanke på forskningsdatalagens tillämpningsområde, och att den ersätter den tidigare lagstiftning som genomförde det nuvarande dataskyddsdirektivet, är det befogat att ta in en upplysande bestämmelse av vilken det framgår att den föreslagna lagen måste läsas tillsammans med dataskyddsförordningen.

Utredningens förslag: En upplysande bestämmelse om att om

inte annat följer av denna lag så gäller lagen med kompletterande bestämmelser till dataskyddsförordningen (dataskyddslagen) ska tas in i forskningsdatalagen.

Den kompletterande dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår vi att det av forskningsdatalagen framgår att dataskyddslagen gäller om inte annat följer av forskningsdatalagen.

Utredningens förslag: Av forskningsdatalagen ska framgå att

om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.

Registerförfattningar som tar sikte på personuppgiftsbehandling för forskningsändamål förekommer i betydande utsträckning. För att tydliggöra att en registerförfattning eller en bestämmelse i en registerförfattning som specifikt är tillämplig på personuppgiftsbehandling för forskningsändamål ska ha företräde framför bestämmelserna i forskningsdatalagen föreslår vi att en särskild avgränsad subsidiaritetsbestämmelse tas in i forskningsdatalagen. Registerförfattningar som inte omfattar behandlingar för forskningsändamål bör däremot inte generellt gälla framför den föreslagna forskningsdatalagen. Vid be-

dömningen om en registerförfattning avser behandling för forskningsändamål får särskilt beaktas den breda definition av forskningsändamål som framgår av dataskyddsförordningen, exempelvis i skäl 159.

4.4. Sammanfattning

Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen, framför den kompletterande dataskyddslagen och vara subsidiär till andra lagar eller förordningar med bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatalagen.

5. Fastställande av rättslig grund

5.1. Inledning

När personuppgifter behandlas för forskningsändamål sker det i dagsläget normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d personuppgiftslagen (1998:204). Denna bestämmelse i personuppgiftslagen motsvaras av artikel 6.1 e i dataskyddsförordningen (EU 2016/679). Enligt artikel 6.3 i dataskyddsförordningen ska grunden för behandling av personuppgifter enligt bl.a. artikel 6.1 e fastställas i unionsrätten eller en medlemsstats nationella rätt. I detta avsnitt behandlas fastställande av den rättsliga grunden uppgift av allmänt intresse vid personuppgiftsbehandling för forskningsändamål.

5.2. Rättsliga förutsättningar

5.2.1. Nuvarande reglering

I dag är det framför allt personuppgiftslagen som reglerar hur forskare får behandla personuppgifter för forskningsändamål. Det finns också särskilda registerförfattningar som är tillämpliga på personuppgiftsbehandling för forskningsändamål.1 I en registerförfattning finns det bestämmelser om att personuppgifter får behandlas för visst eller vissa ändamål. Eftersom personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning har avvikande bestäm-

1 Till exempel lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

melser i dessa författningar, om bland annat tillåten behandling, företräde.

All behandling av personuppgifter måste uppfylla de grundläggande kraven i 9 § personuppgiftslagen. För att behandlingen ska vara tillåten krävs vidare giltigt samtycke från den enskilde, eller i annat fall att behandlingen är nödvändig enligt någon av de situationer som räknas upp i 10 § personuppgiftslagen. Vid behandling av personuppgifter för forskningsändamål kan det framför allt vara fråga om nödvändig behandling för att en arbetsuppgift av allmänt intresse ska kunna utföras (10 § d) eller nödvändig behandling efter en intresseavvägning (10 § f).

5.2.2. Dataskyddsförordningen

Allmänna principer i artikel 5

Grundläggande krav för all behandling av personuppgifter är de allmänna dataskyddsprinciperna som framgår av artikel 5.

Artikel 5 Principer för behandling av personuppgifter

1. Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1,

under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artiklarna 5 och 6 är helt grundläggande och kumulativa, genom att minst en av de rättsliga grunderna enligt artikel 6.1 måste vara tillämplig samtidigt som samtliga principer i artikel 5.1 måste följas vid all personuppgiftsbehandling.

Laglig behandling av personuppgifter enligt artikel 6.1

I dataskyddsförordningen återfinns bestämmelserna om laglig behandling av personuppgifter i artikel 6. Artikel 6.1 motsvaras i den nuvarande lagstiftningen huvudsakligen av 10 § personuppgiftslagen, som utgår från artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG). Artikel 6 är således central för all personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde.

Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Uppräkningen av vad som kan utgöra rättslig grund för behandling av personuppgifter i artikel 6.1 är uttömmande. Behandling av personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för forskningsändamål kan i teorin grundas på vilken som helst av punkterna i artikel 6.1, men framför allt torde punkt a och e bli aktuella att tillämpa. Punkt f är, som framgår av andra stycket, inte möjlig att åberopa för myndigheter när de fullgör sina uppgifter.

Det är den personuppgiftsansvariges ansvar att efterleva de allmänna principerna för behandling av personuppgifter samt att undersöka och ta ställning till om en behandling är tillåten enligt gällande rätt.

Utöver att behandlingen är laglig enligt artikel 6.1 krävs att övriga krav enligt förordningen är uppfyllda. För behandling av vad som i förordningen benämns särskilda kategorier av personuppgifter (känsliga personuppgifter) finns exempelvis ytterligare villkor i artikel 9, se kapitel 7.

Nödvändighetsrekvisitet

En behandling utan samtycke måste vara nödvändig för ett visst ändamål för att vara tillåten enligt artikel 6.1 b–f i dataskyddsförordningen. Rekvisitet gäller även enligt den nuvarande 10 § personuppgiftslagen. Nödvändighetsrekvisitet är således centralt i dataskyddslagstiftningen. Den enda vägledningen till hur nödvändig behandling ska tolkas enligt dataskyddsförordningen återfinns i skäl 39, som anger att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.

Det torde inte finnas anledning att anta att nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen ska ha någon annan innebörd än den har i dataskyddsdirektivet och personuppgiftslagen. Av skäl 9 i dataskyddsförordningen framgår också att samma mål och principer som gällde för dataskyddsdirektivet alltjämt ska vara giltiga. För förståelsen av begreppet nödvändighet kan det därför vara av intresse att se något närmare på såväl EU-domstolens uttalanden som förarbeten till nuvarande lagstiftning.

EU-domstolen har uttalat följande vad gäller tolkningen av begreppet nödvändighet i medlemsstaterna:

Med beaktande av målet att göra skyddsnivån likvärdig i alla medlemsstater kan begreppet nödvändighet, såsom det följer av artikel 7 e i direktiv 95/46, vars syfte just är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts, således inte förstås olika från medlemsstat till medlemsstat. Det rör sig därmed om ett självständigt gemenskapsrättsligt begrepp som ska tolkas så, att det till fullo uppfyller syftet med detta direktiv, såsom det definieras i artikel 1.1.2

I den aktuella domen ansågs vidare behandling av personuppgifter utan samtycke vara nödvändig eftersom den effektiviserade tillämpningen av viss lagstiftning kopplad till den aktuella registerföringen.

Av förarbetena till personuppgiftslagen framgår att Datalagskommittén ansåg att nödvändighetskravet inte rimligen kan innebära att det ska vara helt omöjligt att utföra till exempel en uppgift av allmänt intresse utan personuppgifter för att behandling av personuppgifter ska få ske:

Vad nödvändighetskravet närmare innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt. Som vi ser det kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.3

2 Dom den 16 december 2008 i mål C-524/06, REG 2008. 3SOU 1997:39 s. 361 f.

Nödvändighetskravet har också analyserats i senare lagstiftningsarbete, avseende en registerförfattning med företräde framför personuppgiftslagen:

Kan en arbetsuppgift lösas även om personuppgiften utelämnas eller avidentifieras är behandlingen inte nödvändig. Vidare skall det vara nödvändigt att behandla personuppgifterna på ett sätt som omfattas av lagens tillämpningsområde, dvs. genom helt eller delvis automatiserad behandling eller i manuellt behandlade register. Det krävs dock inte att det skall vara faktiskt omöjligt att utföra en uppgift enligt något ändamål utan att behandla personuppgifterna automatiserat eller i register. Det räcker att det innebär en påtaglig förenkling att personuppgifter behandlas automatiserat eller i register i stället för manuellt utanför register. Avsikten är att utlänningsdatalagens nödvändighetsrekvisit skall förstås på samma sätt som motsvarande rekvisit i 10 § personuppgiftslagen.4

I vissa registerförfattningar har begreppet nödvändig behandling bytts ut mot behandling som behövs för vissa angivna ändamål. I förarbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering återfinns t.ex. följande resonemang:

I personuppgiftslagen används begreppet nödvändig i ändamålsbestämmelsen eftersom detta uttryckssätt används i dataskyddsdirektivet. I de flesta registerlagar av den karaktär som nu föreslås för IFAU har dock ändamålsbestämmelserna formulerats på så sätt att myndigheten får behandla vissa uppgifter om det behövs för vissa angivna ändamål. I dessa sammanhang anses de båda uttryckssätten vara synonyma. För innebörden av en ändamålsbestämmelse spelar det således ingen roll vilket begrepp som används.5

Sammanfattningsvis innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen för forskningens del att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang torde den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet. Om kravet på nödvändighet kan anses uppfyllt är det viktigt att

4SOU 2003:40 s. 169. 5Prop. 2011/12:176 s. 30.

komma ihåg att först och främst måste de grundläggande allmänna principerna som framgår av artikel 5.1 vara uppfyllda för all behandling av personuppgifter.

Eftersom dataskyddsförordningen är direkt tillämplig som lag i medlemsstaterna, och till skillnad från ett direktiv därför inte ska införlivas i nationell rätt, torde det inte vara möjligt att använda ett annat begrepp än just nödvändig i kompletterande nationell lagstiftning.

Uppgift av allmänt intresse

Begreppet allmänt intresse definieras inte närmare vare sig i dataskyddsförordningen eller i det nuvarande dataskyddsdirektivet som ligger till grund för personuppgiftslagen. Någon praxis från EUdomstolen står inte heller att finna för tolkning av innebörden av begreppet i fråga. Forskningsuppgiften har hittills ansetts vara en uppgift av allmänt intresse, i den mening som avses i personuppgiftslagen. Det torde inte finnas någon anledning att anta att begreppet allmänt intresse ska tolkas annorlunda enligt dataskyddsförordningen. För förståelsen av bedömningen av forskning som en arbetsuppgift av allmänt intresse kan det vara av värde att undersöka något närmare i vilka sammanhang denna tolkning har förts fram.

I det nuvarande dataskyddsdirektivets skäl 34 framhålls vetenskaplig forskning som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter.

I förarbetena till personuppgiftslagen exemplifieras arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den.6

6SOU 1997:39 s. 364.

Flera centrala myndigheter inom forskningssektorn har gemensamt konstaterat att personuppgifter får behandlas för forskningsändamål efter samtycke eller om behandlingen är nödvändig för att forskningsuppgiften ska kunna utföras. I en informationsskrift framhålls t.ex. att:

En nödvändig behandling kan vara att personuppgifter hanteras för att en arbetsuppgift av allmänt intresse ska kunna utföras. Eftersom forskning normalt sett är en arbetsuppgift av allmänt intresse, är det tillåtet att behandla personuppgifter för forskningsändamål om behandlingen är nödvändig för att kunna utföra forskningen.7

Dataskyddsutredningen resonerar kring en något utvidgad definition av begreppet allmänt intresse i dataskyddsförordningen, jämfört med dagens lagstiftning. Bakgrunden till detta är dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet. Dataskyddsutredningens bedömning är därför att detta sammantaget talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.8 En bredare betydelse av begreppet allmänt intresse får för forskningens del antas innebära att det är än mer som talar för att uppgiften att forska också fortsättningsvis ska ingå i vad som anses vara av allmänt intresse.

Sammanfattningsvis bör således arbetsuppgiften forskning även fortsatt som huvudregel anses utgöra en uppgift av allmänt intresse i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d personuppgiftslagen (artikel 7 e i dataskyddsdirektivet), på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Forskning som är av allmänt intresse kan bedrivas av såväl offentliga som privata forskningsaktörer. Det är dock inte självklart att all

7 Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövningsnämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013, s. 4. 8SOU 2017:39 avsnitt 8.3.4.

forskning som bedrivs är av allmänt intresse. Utredningen har dock inte sett det som sin uppgift att försöka dra några exakta gränser för vilken slags forskning som är att anse som av allmänt intresse, utan detta får bedömas av rättstillämparen i varje enskilt fall.

Möjligheten att behålla eller införa mer specifika tillämpningsbestämmelser enligt artikel 6.2

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och 6.1 e. Sådana nationella bestämmelser får fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I dagsläget förekommer sådana mer specifika bestämmelser framför allt i registerförfattningar.

Artikel 6 Laglig behandling av personuppgifter

2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

Artikel 6.2 möjliggör för medlemsstaterna att uppfylla kravet på fastställande av den rättsliga grunden för artikel 6.1 c och e som gäller enligt artikel 6.3. Artikel 6.2 är således grundläggande för möjligheterna att komplettera förordningen med nationella bestämmelser avseende laglighet för behandling av personuppgifter för forskningsändamål.

Krav på fastställande av grunden i vissa fall enligt artikel 6.3

Artikel 6.1 i dataskyddsförordningen är direkt tillämplig i nationell rätt, men ytterligare villkor för att kunna tillämpa delar av bestämmelsen uppställs i artikel 6.3. Enligt artikel 6.3 ska den grund för behandlingen som avses i 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten.

Artikel 6 Laglig behandling av personuppgifter

3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Bestämmelsen i artikel 6.3 får antas innebära att det inte kommer att vara möjligt att enbart åberopa den generella regleringen i artikel 6.1 c och e vid sådan behandling av personuppgifter. Den rättsliga grunden måste dessutom vara fastställd i unionsrätten eller den nationella rätten på det sätt som anges i artikel 6.3. Syftet med behandlingen ska fastställas med utgångspunkt i den rättsliga grunden eller, i fråga om behandling enligt 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller vara ett led i den personuppgiftsansvariges myndighetsutövning. Detta begränsar tillämpningsområdet för den rättsliga grunden avseende uppgift av allmänt intresse, som är av särskild vikt i forskningssammanhang, eftersom det inte räcker med att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse, själva forskningsuppgiften (av allmänt intresse) måste också vara fastställd i enlighet med gällande rätt.

Enligt skäl 45 i dataskyddsförordningen medför inte bestämmelsen i artikel 6.3 något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för nödvändig behandling för att utföra en viss slags uppgift av allmänt intresse.

Det är dock viktigt att den fastställda rättsliga grunden är tydlig och precis och att tillämpningen av den bör vara förutsägbar för personer som omfattas av den, i enlighet med skäl 41 i förordningen.

Dataskyddsförordningens krav och villkor enligt artikel 6.3 för tillämpningen av artikel 6.1 e har varit föremål för analys av Dataskyddsutredningen.9 Dataskyddsutredningens tolkning av kravet på fastställande av den rättsliga grunden är att det inte krävs någon ytterligare kompletterande reglering på nationell generell nivå. Detta eftersom det redan framgår av direkt tillämpliga bestämmelser i förordningen att uppgiften måste utgöra ett allmänt intresse, att uppgiften måste vara fastställd i enlighet med unionsrätt eller nationell rätt och att behandlingen måste ske för ett ändamål som är nödvändigt för uppgiften. Med uppgiften av allmänt intresse menas i vårt fall arbetsuppgiften att forska. Denna slutsats gäller oavsett om aktören är offentlig eller privat.

Mot bakgrund av denna tolkning föreslås upplysande, och i viss mån förtydligande, bestämmelser föras in i den nya dataskyddslag som Dataskyddsutredningen föreslår och som kommer att komplettera dataskyddsförordningen på generell nivå. För artikel 6.1 e innebär detta således att dataskyddslagen förtydligar att:

Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.

Detta innebär i praktiken att för att åberopa rättslig grund enligt artikel 6.1 e för behandling av personuppgifter för forskningsändamål (allmänt intresse) kommer det att krävas att forskningsuppgiften följer av lag eller annan författning eller av beslut som meddelats med stöd av lag eller annan författning. Grunden måste således vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt, för att uppfylla förordningens krav.

Syftet med behandlingen ska enligt artikel 6.3 vara nödvändigt för att utföra en uppgift av allmänt intresse. Detta innebär att:

1. Den specifika behandlingen ska vara nödvändig för ett visst ändamål.

9SOU 2017:39 avsnitt 8.3.4.

2. Ändamålet ska i sin tur vara nödvändigt för att uppgiften av allmänt intresse ska kunna utföras.

I forskningssammanhang kan detta konkretiseras till att personuppgiftsbehandlingen ska vara nödvändig för att uppfylla forskningsändamålet, som i sig utgör den uppgift av allmänt intresse som forskningsaktören har i uppdrag att utföra. Det är således en bedömning av nödvändighet i två steg som dels tar sikte på själva behandlingen, dels på uppfyllandet av den reglerade forskningsuppgiften.

Ett tydligt angivet ändamål är som huvudregel en förutsättning för att det ska gå att bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. Dataskyddsförordningen ställer inte krav på att ändamålen, enligt artikel 5.1 b, ska fastställas i författning men det finns inga hinder mot att detta görs. Sådana bestämmelser ska, enligt artikel 6.3 andra stycket, uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas.

Ändamålet behöver således inte framgå i samband med att uppgiften av allmänt intresse fastställs, men ändamålet med varje enskild behandling måste vara nödvändigt för att utföra den fastställda uppgiften. I vårt fall är ändamålet med personuppgiftsbehandlingen forskningsändamålet, som måste vara nödvändigt i varje specifikt fall, samtidigt som uppgiften av allmänt intresse som måste fastställas är själva arbetsuppgiften att forska. Oavsett om ändamålen fastställts i författning eller inte är det enligt artikel 5.2 i dataskyddsförordningen alltid den personuppgiftsansvariges ansvar att följa och kunna visa att principerna i artikel 5.1 efterlevs.

Beträffande vilka aktörer som ska kunna anses utföra en uppgift av allmänt intresse kan viss vägledning återfinnas i skäl 45 där följande framgår:

Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

Denna skrivning öppnar för en nationell reglering av vilka rättssubjekt, såväl offentliga som privata, som kan utföra en uppgift av allmänt intresse. Utgångspunkten är att forskning bedrivs av såväl offentliga som privata forskningsaktörer, vilket innebär att nationell reglering i enlighet med skrivningen i skäl 45 kan bli aktuell.

Särskilda villkor för behandling av personuppgifter för forskningsändamål

För behandling av personuppgifter för forskningsändamål gäller dessutom särskilda villkor enligt artikel 89.1 som anger att behandlingen ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen. Detta gäller för alla slags personuppgifter och är således ett absolut krav vid behandling av personuppgifter för forskningsändamål. Dataskyddsförordningen ställer inte krav på att nationell rätt särskilt ska reglera skyddsåtgärderna när det inte är fråga om känsliga personuppgifter, men något hinder däremot uppställs inte.10

5.3. Rättslig grund utifrån forskningsaktör

5.3.1. Inledning

Utredningen använder sig av begreppet forskningsaktör. Begreppet återfinns inte i dataskyddsförordningen. I dataskyddsförordningen hänvisas genomgående till personuppgiftsansvarig och personuppgiftsbiträde. Personuppgiftsansvarig definieras i artikel 4.7 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde definieras i artikel 4.8 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Med forskningsaktör menar utredningen sådan aktör som behandlar personuppgifter för forskningsändamål. Vem som är personuppgiftsansvarig eller personuppgiftsbiträde får bedömas i varje enskilt fall.

10 Se vidare kapitel 12 Skyddsåtgärder.

Utredningen har vidare funnit det motiverat att i själva framställningen redogöra för offentligrättsliga och privaträttsliga aktörers förutsättningar var för sig. Denna bedömning baseras på att bestämmelserna i dataskyddsförordningen innebär att förutsättningarna för att tillämpa olika bestämmelser som rättslig grund för behandling av personuppgifter skiljer sig åt beroende på om aktören är offentlig eller privat. Såväl offentligrättsliga som privaträttsliga aktörer bedriver forskning och är personuppgiftsansvariga eller personuppgiftsbiträden enligt dataskyddsförordningen. Forskning finansieras dels av offentliga medel, dels av medel från privata finansiärer. Forskning utförd av en offentlig aktör kan finansieras av privata medel, och tvärt om. Finansieringsformen påverkar inte vem som utgör forskningsaktör.

Förutsättningarna när det gäller vilka rättsliga grunder en forskningsaktör kan åberopa för att behandla personuppgifter, i enlighet med dataskyddsförordningens artikel 6.1, är som redan framkommit i viss mån olika beroende på om forskningsaktören är offentlig eller privat. I det följande analyseras dessa skillnader.

5.3.2. Offentligrättsliga forskningsaktörer

En stor del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forskningsuppgift inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i regeringsformen, kommunallagen (1991:900) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Beträffande samtycke som rättslig grund, enligt artikel 6.1 a, innebär skrivningarna i skäl 43 i dataskyddsförordningen vissa begränsningar för myndigheter, vilket kräver en närmare analys. Se avsnitt 6.4.2.

För offentliga forskningsaktörer utgör den rättsliga grunden enligt artikel 6.1 e en central laglig utgångspunkt vid personuppgiftsbehandling för forskningsändamål. Forskning anses utgöra en uppgift av allmänt intresse och motsvarande reglering i 10 § d personuppgiftslagen utgör ofta rättslig grund för behandling av personuppgifter för forskningsändamål i dagsläget.

I enlighet med redogörelsen ovan ställer dock artikel 6.3 krav på att grunden för behandlingen enligt artikel 6.1 e, uppgiften av allmänt intresse, ska fastställas i enlighet med unionsrätten eller den nationella rätten. Det innebär att forskningsuppgiften – verksamheten – behöver fastställas i lag eller annan författning, dvs. förordning eller myndighetsföreskrift, alternativt beslut som meddelats med stöd av sådan författning. Detta krav skiljer sig från nuvarande reglering såtillvida att det i dagsläget är tillräckligt att forskning enligt en generell bedömning är av allmänt intresse för att nödvändig behandling av personuppgifter ska kunna ske utan samtycke, det finns alltså inget krav på en fastställd forskningsuppgift enligt gällande rätt.

Dataskyddsförordningen uppställer således krav på att forskningsuppgiften ska vara fastställd så att det går att åberopa den rättsliga grunden att behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Något krav på att forskningsuppgiften ska vara fastställd för respektive forskningsaktör i separata författningar finns dock inte. Avgörande är att forskningsuppgiften är fastställd i laga ordning för forskningsaktören för att laglig grund enligt artikel 6.1 e ska kunna åberopas.

Myndigheters verksamhetsuppgifter är beslutade i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. Myndigheternas verksamhet, som syftar till att utföra dessa uppgifter, torde därmed i sig ha en rättslig grund som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda uppgiften bör därmed som utgångspunkt kunna ske med stöd av artikel 6.1 e i dataskyddsförordningen. Dataskyddsutredningens tolkning av dataskyddsförordningens bestämmelser är därvid att någon ytterligare reglering av myndigheternas verksamhet inte krävs på generell nationell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

Enligt artikel 6.1 andra stycket gäller inte artikel 6.1 f, behandling av personuppgifter efter en intresseavvägning, för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot nuvarande lagstiftning, genom att motsvarande bestämmelse i 10 § f personuppgiftslagen får tillämpas även av myndigheter. Bakgrunden till denna begränsning beskrivs närmare i skäl 47 i förordningen, där det bland annat framhålls att:

Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.

Skrivningen syftar på artikel 6.1 f och innebär att myndigheter inte längre ska kunna göra en egen bedömning av lagligheten i behandlingen genom en intresseavvägning. För att en myndighet ska få behandla personuppgifter vid fullgörandet av sina uppgifter måste myndigheten finna en annan rättslig grund än intresseavvägning. Något utrymme för myndigheters egen bedömning av lagligheten efter en intresseavvägning i samband med varje enskild behandling finns således inte enligt dataskyddsförordningen.

I det följande belyses närmare de olika förutsättningarna för några olika kategorier av offentligrättsliga forskningsaktörer.

Universitet och högskolor med statlig huvudman

I 2 kap. 18 § andra stycket regeringsformen fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet, genom att ange allmänna principer för den delen av högskolornas verksamhet. Behandling av personuppgifter för forskningsändamål vid universitet och högskolor med staten som huvudman utförs således inom ramen för en forskningsuppgift som är fastställd i svensk lag.

Andra myndigheter

Många statliga myndigheter, utöver universitet och högskolor, behandlar personuppgifter för forskningsändamål. För flera av dessa myndigheter är forskningsuppgiften tydligt fastställd genom förordning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Om forskningsuppgiften inte framgår av en författning eller ett beslut grundat i en författning, som myndigheten omfattas av, kan myndigheten inte åberopa artikel 6.1 e i dataskyddsförordningen som grund för behandling av personuppgifter. Myndigheten måste då åberopa någon annan rättslig grund enligt artikel 6.1 för sin behandling.

Statliga forskningsinstitut

Statliga forskningsinstitut drivs ofta i myndighetsform vilket medför att samma resonemang gäller för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle.

Kommuner och landsting

Regeringsformens kapitel 14 anger ramarna för det kommunala självstyret. I 2 § anges att:

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.

Kommunallagen (1991:900) reglerar såväl kommuner som landsting på en övergripande nivå. Självstyret framgår av 2 kap. 1 § kommunallagen som stadgar att:

Kommuner och landsting får själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar och som inte skall handhas enbart av staten, en annan kommun, ett annat landsting eller någon annan.

Av ovanstående författningsreglering framgår att kommuner och landsting har laglig grund att utföra uppgifter av allmänt intresse, vilket torde innefatta forskningsuppgiften. Det är dock utredningens uppfattning att den relativt generella och oprecisa bestämmelsen inte kan anses uppfylla dataskyddsförordningens krav på tydlighet, precision och förutsägbarhet vid fastställandet av den rättsliga grunden uppgift av allmänt intresse. Det är också svårt att i detta fall bedöma proportionaliteten, vilket är ytterligare ett krav enligt artikel 6.3 i dataskyddsförordningen.

Sammanfattning

Offentliga forskningsaktörers forskningsuppgift har ofta angivits i tydliga, precisa och förutsebara bestämmelser i författningar. Grunden för behandling av personuppgifter i verksamheten har därigenom fastställts i nationell rätt för dessa forskningsaktörer. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda forskningsuppgiften kan därmed som utgångspunkt ske med stöd av artikel 6.1 e i dataskyddsförordningen. För sådana offentliga forskningsaktörer där forskningsuppgiften inte kan anses fastställd i enlighet med dataskyddsförordningen krävs dock kompletterande nationell reglering för att personuppgiftsbehandling för forskningsändamål med stöd av artikel 6.1 e ska få utföras.

5.3.3. Privaträttsliga forskningsaktörer

Privat bedriven forskning utförs såväl i små, medelstora och stora företag som i verksamheter som i allt övrigt liknar offentlig verksamhet, t.ex. hos en enskild utbildningsanordnare. En enskild utbildningsanordnare kan i princip bedriva samma slags forskning som universitet och högskolor med statlig huvudman.

Nuvarande dataskyddslagstiftning gör i allt väsentligt ingen åtskillnad mellan privata och offentliga forskningsaktörer. De grund-

läggande kraven och laglighetsgrunderna i framför allt 9 och 10 §§personuppgiftslagen är möjliga att åberopa oavsett forskningsaktörens organisationsform.

Kravet i artikel 6.3 i dataskyddsförordningen på att en uppgift av allmänt intresse ska vara fastställd i nationell rätt påverkar särskilt privata forskningsaktörer. Uppgiften av allmänt intresse är generellt sett inte rättsligt fastställd för privata aktörer som ägnar sig åt forskningsverksamhet i dag. Privat forskning som i dagsläget bedrivs med stöd i att forskningen utgör ett allmänt intresse sker i stället efter en bedömning av forskningsaktören. Forskningen i sig bedöms sedan på samma villkor som offentlig forskning när en extern bedömning av forskningen sker i samband med till exempel eventuell tillståndsprövning, finansiering och publicering.

En särskild fråga är hur man ska se på att en offentlig aktör uppdrar åt en privat aktör att utföra en uppgift av allmänt intresse som den offentliga aktören har fastställd i laga ordning. Den privata aktören skulle kunna anses utföra en uppgift av allmänt intresse på samma villkor som den offentliga aktören. Den privata aktören skulle då kunna åberopa artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, som stöd för sin behandling av personuppgifter som är nödvändig för att fullgöra uppdraget. Utfallet i en sådan situation beror dock på vem som är personuppgiftsansvarig i det enskilda fallet, så något generell bedömning låter sig inte göras. Frågan analyseras vidare av Dataskyddsutredningen.11

En avgörande skillnad mellan offentliga och privata forskningsaktörer i dataskyddsförordningen är också skrivningen i artikel 6.1 andra stycket, som förhindrar myndigheter att lägga en intresseavvägning till grund för behandling när de fullgör sina uppgifter. Detta hinder gäller således inte för privaträttsliga aktörer, som alltjämt kan åberopa intresseavvägning som rättslig grund för behandling av personuppgifter för forskningsändamål.

I det följande belyses närmare de olika förutsättningarna för några olika kategorier av privaträttsliga forskningsaktörer.

11SOU 2017:39 avsnitt 8.3.4.

Enskilda utbildningsanordnare

Enskilda utbildningsanordnare utgörs av lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt högskoleförordningen, på samma villkor som statliga utbildningsanordnare, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa utgör alla privaträttsliga forskningsaktörer. Dessa forskningsaktörer har möjlighet att lägga såväl samtycke som en intresseavvägning till grund för behandling av personuppgifter, även om en bedömning i varje enskilt fall alltid måste göras. För att få åberopa artikel 6.1 e, uppgift av allmänt intresse, krävs dock att forskningsuppgiften är fastställd i enlighet med dataskyddsförordningens krav.

Företag och stiftelser

Forskning bedrivs i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningshuvudmän som bedriver forskning med betydande användning av personuppgifter. Forskningsaktörer som utgörs av privata företag eller stiftelser kan i huvudsak åberopa samtycke och intresseavvägning som rättslig grund vid personuppgiftsbehandling enligt dataskyddsförordningen. Även forskning som utförs vid privata företag eller stiftelser kan dock vara av allmänt intresse, men då forskningsuppgiften i princip aldrig är fastställd i enlighet med dataskyddsförordningens krav kan privata företag eller stiftelser som huvudregel inte åberopa den rättsliga grunden allmänt intresse enligt artikel 6.1 e.

Sammanfattning

För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på. Samtidigt är det möjligt för privata forskningsaktörer att lägga såväl samtycke som intresseavvägning till grund för behandling av personuppgifter för forskningsändamål, efter en bedömning i varje enskilt fall.

5.3.4. Överväganden

Utredningens bedömning: Dataskyddsförordningens bestäm-

melser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål.

Av resonemanget hittills framgår att dataskyddsförordningens bestämmelser om rättslig grund för behandling av personuppgifter skiljer sig från dagens regelverk framför allt avseende samtycke, intresseavvägning och kravet i artikel 6.3 på fastställande av den rättsliga grunden avseende artikel 6.1 c och e. Dessa förändringar får konsekvenser på olika sätt för olika aktörer i forskningssammanhang.

Samtycke

Beträffande samtycke som rättslig grund är möjligheterna mer begränsade för offentliga aktörer än för privata genom skäl 43. Ett vidare resonemang kring detta återfinns i avsnitt 6.4.2.

Uppgift av allmänt intresse

Kravet enligt artikel 6.3 i dataskyddsförordningen på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell lag innebär en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling. För statliga universitet och högskolor är forskningsuppgiften fastställd i en och samma författning, högskolelagen. För andra myndigheter är det beroende på hur respektive myndighets uppdrag är formulerat, huruvida forskningsuppgiften är att anse som fastställd eller ej.

För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en

allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För privata aktörer innebär således villkoret i artikel 6.3 för att artikel 6.1 e ska kunna tillämpas ett hinder, när det gäller möjligheten att basera personuppgiftsbehandling på grunden uppgift av allmänt intresse, som inte finns i dagens lagstiftning.

Skillnaderna blir särskilt tydliga i en jämförelse mellan en offentlig och en privat aktör som bedriver verksamhet som är i allt väsentligt lika, till exempel för högskolor som kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken likvärdig vid de båda verksamheterna och personuppgiftsbehandlingen kan i dagsläget baseras på samma rättsliga grund.

Av skäl 45 i dataskyddsförordningen framgår att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket innebär att det är möjligt för såväl offentliga som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.

Intresseavvägning

Privata aktörer har, till skillnad från offentliga myndigheter, möjlighet att basera personuppgiftsbehandling för forskningsändamål på en intresseavvägning enligt artikel 6.1 f.

Bestämmelsen avseende nödvändig behandling efter intresseavvägning innebär att om intresset för en behandling av personuppgifter väger tyngre än intresset av integritetsskyddet är behandlingen tillåten. Eftersom det inte framgår tydligare än så av bestämmelsen vilka situationer som kan bli aktuella finns vägledning kring dagens reglering framför allt att få i rättspraxis. Den praxis som finns sammanfattas i lagkommentaren till personuppgiftslagen och rör bland annat direkt marknadsföring, arbetslivet, internetpublicering, behandling för att komma åt lagöverträdelser, fingeravtryck och andra biometriska uppgifter för identifiering och elektroniska inpasseringssystem.12

12 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentaren till 10 § f.

Behandling av personuppgifter efter en intresseavvägning har med dagens lagstiftning framför allt aktualiserats i samband med marknadsföring och inom arbetslivet. Att denna tillämpning fortfarande får anses vara aktuell framöver framgår av skäl 47 i dataskyddsförordningen, som anger kundrelation och arbetstagarrelation till den personuppgiftsansvarige som ett sådant förhållande som skulle kunna komma ifråga för behandling av personuppgifter efter intresseavvägning. Samma exempel återfinns i skäl 48, medan förordningen i skäl 49 framhåller säkerställande av nät- och informationssäkerhet som ett annat exempel på när en intresseavvägning skulle kunna resultera i laglig behandling av personuppgifter. Även om förordningens exempel inte på något sätt kan anses uttömmande ger dessa en tydlig indikation på vilken typ av relation mellan den personuppgiftsansvarige och den registrerade som avses. Redan föreliggande tolkning bör kunna tillämpas framöver beträffande intresseavvägning som rättslig grund för behandling av personuppgifter.

Det finns således inte anledning att anta att artikel 6.1 f ska tolkas på annat sätt än dataskyddsdirektivets artikel 7 f, som införlivats i svensk rätt genom 10 § f personuppgiftslagen. Enligt lagkommentaren till personuppgiftslagen är bestämmelsen ett slags generalklausul som innebär att behandling som inte nämnts i tidigare punkter i 10 § kan genomföras om den är befogad enligt vad som anges i 10 § f. Detta betyder i praktiken att intresseavvägning ska tillämpas i sista hand, om behandlingen inte är laglig enligt någon av de andra punkterna. Samma resonemang bör enligt utredningens bedömning kunna föras vid tillämpning av artikel 6.1 i dataskyddsförordningen. Först om behandlingen av personuppgifter för forskningsändamål inte är laglig enligt artikel 6.1 a–e kan en bedömning av laglighet utifrån punkten f bli aktuell.

Artikel 6.1 f och 6.1 andra stycket är direkt tillämpliga och förordningen tillåter inte nationell lagstiftning avseende tillämpningsområdet i detta avseende. Det finns därför ingen möjlighet att genom nationell lagstiftning tillåta myndigheter att tillämpa 6.1 f eller att begränsa privata aktörers tillämpning. Det är alltid den personuppgiftsansvariges ansvar att visa på aktuell rättslig grund enligt artikel 6.1 för sin behandling av personuppgifter. Detta innebär att nationell kompletterande lagstiftning inte kan tvinga en privat forskningsaktör att tillämpa 6.1 e genom att helt utesluta möjligheten att tillämpa någon annan rättslig grund enligt artikel 6.1. Om

den personuppgiftsansvarige kan visa att artikel 5.1 efterlevs samt att artikel 6.1 f utgör tillåten rättslig grund för den aktuella behandlingen av personuppgifter för forskningsändamål är behandlingen tillåten.

För all behandling av personuppgifter för forskningsändamål, oavsett vilken grund behandlingen baseras på, krävs det enligt artikel 89.1 i dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder, men något krav på fastställda skyddsåtgärder framgår inte direkt av artikeln. I skäl 156 förtydligas dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bland annat vetenskapliga eller historiska ändamål, vilket öppnar för möjligheten att i nationell rätt reglera lämpliga skyddsåtgärder för all behandling av personuppgifter för forskningsändamål. För att behandling av känsliga personuppgifter för forskningsändamål ska vara laglig ställs det vidare i artikel 9.2 j upp ett direkt krav på att nationell rätt ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen och detta gäller oavsett vilken grund behandlingen baseras på.

I nationell kompletterande lagstiftning både kan och förutsätts det således införas krav på skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det gäller även behandling baserad på intresseavvägning. I de fall privata aktörer anser det möjligt att lägga en intresseavvägning till grund för sin behandling av personuppgifter för forskningsändamål måste de alltså ändå tillämpa bestämmelser i nationell kompletterande lag avseende skydd för den enskilde.

Sammanfattande analys

Dataskyddsförordningens bestämmelser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rättsliga grun-

derna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, är enligt utredningens uppfattning rimligen inte avsiktligt.

Utredningen återkommer till hur denna situation bör åtgärdas, i syfte att skapa ändamålsenliga förutsättningar för personuppgiftsbehandling för forskningsändamål oavsett forskningsaktörens organisationsform, i avsnitt 5.5.2 nedan.

5.4. Ytterligare behandling av personuppgifter för forskningsändamål

5.4.1. Inledning

Personuppgifter får bara samlas in för tydligt angivna och berättigade ändamål. Personuppgifter får vidare inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Denna finalitetsprincip, tillsammans med reglerade undantag från denna princip, sätter ramarna för de ändamål för vilka personuppgifter lagligen får behandlas. Finalitetsprincipen kommer till uttryck i såväl det nuvarande dataskyddsdirektivet och personuppgiftslagen som i dataskyddsförordningen. För forskningens del är finalitetsprincipen och reglerade undantag från denna av särskild betydelse.

5.4.2. Nuvarande reglering

Huvudregeln i 9 § d personuppgiftslagen är att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling för vetenskapliga ändamål ska dock inte anses oförenlig med de ändamål för vilka uppgifterna samlades in, enligt 9 § andra stycket personuppgiftslagen. Ytterligare behandling av personuppgifter för forskningsändamål är därmed särskilt gynnad i dagens lagstiftning. Även om det nya ändamålet är förenligt med det ursprungliga, och därför uppfyller det grundläggande kravet enligt 9 § d personuppgiftslagen, måste den nya behandlingen dock alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § personuppgiftslagen.

5.4.3. Dataskyddsförordningen

I dataskyddsförordningen återfinns motsvarande huvudregel i artikel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I samma punkt anges även att ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen (forskningsundantaget). Dataskyddsförordningen använder således begreppet ”ytterligare behandling”, vilket utredningen därför huvudsakligen använder i stället för begreppet ”vidarebehandling” som i dagsläget ofta används i sammanhanget. Skrivningen i artikel 5.1 b innebär att ytterligare behandling av personuppgifter för forskningsändamål är särskilt gynnad även i dataskyddsförordningen.

Av skäl 50 i dataskyddsförordningen framgår bland annat att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter:

Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. [---]

5.4.4. Sammanfattande analys

Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsaktör får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterli-

gare forskningsändamål utan krav på ny rättslig grund, vilket skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar. För ett utförligare resonemang kring denna situation se avsnitt 6.4.

I samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgiftsansvarige måste dock åberopa en ny rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.

Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Ytterligare behandling av personuppgifter för forskningsändamål är tillåten endast om det är nödvändigt för att uppnå ändamålet, dvs. forskningen, och dessutom måste behandlingen vara korrekt, i betydelsen skälig eller rimlig, i förhållande till den registrerade. Behovet av ytterligare behandling måste alltså alltid vägas mot den registrerades legitima intresse av personlig integritet. Vid fråga om behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda.

Vid all behandling av personuppgifter för forskningsändamål aktualiseras även artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta framgår också direkt av undantaget för ytterligare behandling för forskningsändamål i artikel 5.1 b.

5.5. Överväganden och förslag

5.5.1. Inledning

Utredningen har i uppdrag att föreslå den kompletterande reglering av personuppgiftsbehandling för forskningsändamål som kan behövas utöver den generella kompletterande reglering som Dataskyddsutredningen föreslår. Syftet med den kompletterande regleringen ska vara att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. En rimlig utgångspunkt är att befintliga förutsättningar för en ändamålsenlig behandling i vart fall inte ska försämras, samtidigt som skyddet för den enskilde ska upprätthållas.

Förordningens bestämmelser är direkt tillämpliga i medlemsstaterna från och med den 25 maj 2018. Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende artikel 6.1 c och e. Eftersom artikel 6.1 e är central i forskningssammanhang har utredningen i uppdrag att särskilt beakta och, om det behövs, komplettera Dataskyddsutredningens förslag.

Avseende tillämpningen av den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, gör Dataskyddsutredningen följande bedömning som vi har att beakta:

  • Artikel 6.1 e i dataskyddsförordningen är direkt tillämplig.
  • Kravet i artikel 6.3, dvs. att grunden för behandlingen ska vara fastställd i unionsrätten eller den nationella rätten, utgör ytterligare ett villkor för tillämpning som ska vara uppfyllt.
  • Med grunden för behandlingen avses i detta sammanhang uppgiften som är av allmänt intresse.

Mot bakgrund av bedömningen ovan är Dataskyddsutredningens slutsats att det inte krävs någon generell nationell reglering som fastställer den rättsliga grunden enligt artikel 6.1 e. I den nya kompletterande dataskyddslagen föreslår Dataskyddsutredningen enbart ett tydliggörande av att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller

annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.13

Dataskyddsförordningens bestämmelser innebär således att alla myndigheter måste ha en tydlig uppgift avseende forskning fastställd i enlighet med gällande rätt för att kunna behandla personuppgifter för forskningsändamål med åberopande av artikel 6.1 e. Detta skulle låta sig göras genom att förordningarna med instruktioner för de myndigheter som i praktiken är forskningsaktörer ses över och forskningsuppgiften vid behov förs in. Dataskyddsförordningen medger dock en mer övergripande nationell reglering där uppgiften fastställs, så länge den omfattar alla berörda aktörer, enligt skäl 45.

Även privata aktörer kan som konstaterats utföra forskning av allmänt intresse. Om inte forskningsuppgiften fastställs i författning även för dem innebär dock förordningens bestämmelser att de måste åberopa någon annan rättslig grund enligt artikel 6.1 för behandling av uppgifter för forskningsändamål. Förordningen medger nationell reglering av vilka slags personuppgiftsansvariga som ska kunna utföra en uppgift av allmänt intresse. Av skäl 45 framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning.

Artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör nationella bestämmelser som anpassar tillämpningen av den rättsliga grunden i artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, och specificerar villkoren för när behandling av personuppgifter får ske och hur det ska gå till. Den rättsliga grunden kan vid fastställandet t.ex. innehålla allmänna villkor för den specifika behandlingen. Detta kan enligt artikel 6.3 avse vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX i

13SOU 2017:39 avsnitt 8.3.4.

dataskyddsförordningen. I kapitel IX finns bland annat artikel 89 som anger särskilda villkor för behandling av personuppgifter för forskningsändamål.

Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.

5.5.2. Fastställande av den rättsliga grunden allmänt intresse

Utredningens förslag: Personuppgifter ska med stöd av artikel

6.1 e i dataskyddsförordningen få behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Det är av avgörande betydelse för forskning att kunna behandla personuppgifter. Inte sällan innebär detta för såväl offentliga som privata forskningsaktörer att forskning måste ges möjligheter att behandla personuppgifter även utan samtycke.

Som utredningen konstaterat kan den rättsliga grunden uppgift av allmänt intresse, i vårt fall forskningsuppgiften, fastställas i instruktion eller särskilt beslut för varje enskild myndighet. Mot bakgrund av att det inte enbart är universitet och högskolor, utan även ett flertal andra myndigheter, som bedriver forskning skulle arbetet med att fastställa den rättsliga grunden för var och en av dessa myndigheter separat kräva en omfattande arbetsinsats. Vidare skulle ett kontinuerligt arbete med att hålla detta system uppdaterat behöva utföras, så att inte forskning av allmänt intresse omöjliggörs p.g.a. att den rättsliga grunden inte är fastställd för en viss myndighet.

I dagsläget är det forskningsaktören själv som bedömer huruvida aktuell personuppgiftsbehandling är nödvändig för att utföra en forskningsuppgift av allmänt intresse så att behandlingen är tillåten enligt 10 § d personuppgiftslagen. Eftersom dataskyddsförordningen möjliggör en övergripande reglering som fastställer den rättsliga grunden, är det utredningens samlade bedömning att ett sådant förfarande är att föredra. Detta innebär att forskningsaktören även fortsatt har att bedöma att den forskning som utförs är av

allmänt intresse, och att personuppgiftsbehandlingen är nödvändig för att utföra forskningen, och därmed kan stödja sig på att den rättsliga grunden för detta är fastställd i den övergripande lagen som forskningsaktören omfattas av.

Utredningen har vidare konstaterat att för privata forskningsaktörer krävs att åtgärder vidtas för att fastställa forskningsuppgiften som en uppgift av allmänt intresse om privata aktörer ska kunna åberopa den rättsliga grunden. Att dataskyddsförordningen skulle medföra sådana betydande skillnader som utredningen redogjort för avseende möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, har enligt utredningens bedömning rimligen inte varit avsikten.

Eftersom också privata aktörer bedriver forskning som är av allmänt intresse är det rimligt att all sådan forskning ska kunna tillämpa samma rättsliga grund för laglig behandling. Ett bärande argument för att möjliggöra även för privata forskningsaktörer att behandla personuppgifter för forskningsändamål genom att tillämpa artikel 6.1 e som rättslig grund är vidare att forskning ofta bedrivs i samverkan mellan offentliga och privata forskningsaktörer. Att gemensamt bedriven forskning inte skulle kunna utföras på samma rättsliga grund, enbart beroende på respektive forskningsaktörs rättsliga status, får inverkan på forskningens bedrivande och resultat.

Forskningsdatalagen ska ge en rättslig grund för behandlingen av personuppgifter för forskningsändamål för samtliga forskningsaktörer, oavsett om de är offentliga eller privata, genom att fastställa att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare

Det är själva arbetsuppgiften av allmänt intresse som ska fastställas i en forskningsdatalag, inte varje behandling av personuppgifter som utförs i syfte att utföra uppgiften. Detta innebär att det är uppgiften att utföra forskning som ska fastställas i forskningsdatalagen för att denna lag ska kunna utgöra rättslig grund för behandling av personuppgifter för forskningsändamål för de aktörer som omfattas av lagen. I forskningsdatalagen ska vidare villkor för

behandling av personuppgifter för ändamålet forskning oavsett rättslig grund, specificeras inom ramen för de möjligheter som finns att i nationell lag specificera de direkt tillämpliga bestämmelserna i förordningen.

I samband med fastställande av rättslig grund enligt dataskyddsförordningen framgår av skäl 41 att en sådan rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Av skäl 33 framgår vidare att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning. Mot denna bakgrund är det utredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse. Detta låter sig mer specifikt göras i en forskningsdatalag som är tillämplig för alla slags forskningsaktörer som bedriver sådan forskning.

5.5.3. Inledande upplysningsbestämmelse

Utredningens förslag: Forskningsdatalagen ska innehålla en be-

stämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

För förståelsen av den ovan föreslagna bestämmelsen, om fastställande av den rättsliga grunden i artikel 6.1 e med stöd av artikel 6.2 och 6.3, behövs det enligt utredningens bedömning en inledande upplysningsbestämmelse som påminner tillämparen om att personuppgifter får behandlas bara om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt. Detta tydliggör också att forskningsdatalagen omfattar all personuppgiftsbehandling för forskningsändamål, oavsett rättslig grund för behandlingen.

5.6. Sammanfattning

Dataskyddsförordningens bestämmelser innebär att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid personuppgiftsbehandling för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid personuppgiftsbehandling för forskningsändamål. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd.

Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att åberopa uppgift av allmänt intresse som rättslig grund för behandling av personuppgifter för forskningsändamål.

6. Behandling av personuppgifter med samtycke

6.1. Inledning

I föregående kapitel 5 behandlas de allmänna förutsättningarna för behandling av personuppgifter för forskningsändamål, behovet av nationell lagstiftning med anledning av artikel 6.2 och 6.3 i dataskyddsförordningen (EU 2016/679), samt hur de aktuella forskningsaktörerna i möjligaste mån kan likställas genom införandet av en nationell forskningsdatalag. Den föreslagna regleringen inriktas på att laglig behandling för forskningsändamål baseras på den rättsliga grunden allmänt intresse enligt artikel 6.1 e, men även intresseavvägning enligt artikel 6.1 f kan komma ifråga. Personuppgiftsbehandling för forskningsändamål kan också grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ändamål enligt artikel 6.1 a i dataskyddsförordningen.

Samtycke ska enligt definitionen i artikel 4.11 i dataskyddsförordningen vara frivilligt, specifikt, otvetydigt och vad gäller känsliga personuppgifter uttryckligt. Det ska vidare vara baserat på att den som lämnar samtycket har fått tillräcklig information, samt utgöra ett uttalande eller en entydig bekräftande handling. Dessa begrepp behandlas i följande avsnitt med avsikten att, utifrån en jämförelse med kraven på samtycke i det nuvarande dataskyddsdirektivet och personuppgiftslagen, bedöma de konsekvenser dataskyddsförordningen kan medföra med avseende på förändringar av samtyckets ställning och innebörd vid personuppgiftsbehandling för forskningsändamål.

6.2. Rättsliga förutsättningar

6.2.1. Nuvarande reglering

Artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG) anger samtycke som en av ett antal uppräknade förutsättningar för att en personuppgiftsbehandling ska vara tillåten. Dataskyddsdirektivet införlivades i svensk rätt genom personuppgiftslagen. I 10 § personuppgiftslagen anges att personuppgifter får behandlas om den registrerade har lämnat sitt samtycke. Vid samtycke enligt detta lagrum krävs det inte att behandlingen är nödvändig i lagens mening.

I 10 § personuppgiftslagen följer därefter en uppräkning av sex ändamål för vilka behandlingen måste vara nödvändig för att ändamålet ska kunna uppfyllas och behandlingen därmed vara tillåten. Även om behandling med stöd av samtycke kan ske utan att den är nödvändig måste den i övrigt vara förenlig med de grundläggande krav på personuppgiftsbehandling som föreskrivs i 9 §. Detta gäller för all behandling som är tillåten enligt 10 §.

Om det är fråga om känsliga personuppgifter gäller enligt 13 § personuppgiftslagen som huvudregel att behandling är förbjuden. Undantag från förbudet mot behandling av känsliga personuppgifter föreskrivs i 14 §. Enligt 15 § får exempelvis känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Känsliga personuppgifter får enligt 19 § behandlas för forskningsändamål om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Av 3 och 6 §§ etikprövningslagen framgår att forskning som innefattar behandling av känsliga personuppgifter får utföras bara om den har godkänts vid en etikprövning. Detta krav omfattar således även behandling av känsliga personuppgifter som grundas på samtycke.

Samtycke ska enligt 3 § personuppgiftslagen vara frivilligt, särskilt, otvetydigt och beträffande känsliga personuppgifter även vara uttryckligt för att vara giltigt. Det ska också vara baserat på att den som lämnar samtycket har fått tillräcklig information. Kravet på uttrycklighet vad gäller känsliga personuppgifter utgör en markering av vikten av att just i det fallet säkerställa att ett giltigt samtycke har inhämtats.

Samtycke kan för en vuxen person enbart lämnas av den registrerade själv. När det gäller personer som på grund av sjukdom, psykisk störning eller försvagat hälsotillstånd är ur stånd att vårda sig själva är möjligheten till att ge samtycke för personuppgiftsbehandling begränsad. För personer som helt saknar eller har nedsatt förmåga att hantera sina egna angelägenheter, t.ex. när det gäller att bevaka sin rätt, förvalta sin egendom eller sörja för sin person, kan en god man eller förvaltare förordnas enligt 11 kap. 7 § föräldrabalken. Personer som har nedsatt förmåga att själva ta ställning till vård eller behandling inom hälso- och sjukvården eller tandvården kan med gällande regler sällan få hjälp av en god man eller förvaltare i beslutsfattandet. Reglerna om de gode männens och förvaltarnas befogenheter tillåter normalt inte ställningstaganden av det slaget. I betänkandet Stöd och hjälp till vuxna vid ställningstaganden till vård, omsorg och forskning (SOU 2015:80) föreslogs en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg. Betänkandet bereds för närvarande i Regeringskansliet.

Om individen är ett barn ska samtycket i vissa fall inhämtas av en vårdnadshavare eller av både vårdnadshavaren och barnet. Det finns ingen klart fastställd åldersgräns för när samtycke kan ges. Datainspektionen lämnar följande vägledning:

En ungdom/barn som inte själv kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. I sådana fall ska samtycket istället inhämtas från vårdnadshavaren. Frågan om en person förstår innebörden av informationen måste bedömas från fall till fall med utgångspunkt i den enskilda individens mognad.1

Den registrerade kan när som helst återkalla samtycket. Förbud gäller då för fortsatt personuppgiftsbehandling enligt 12 § personuppgiftslagen. Behandling av de personuppgifter som redan samlats in på grundval av tidigare lämnat samtycke är dock fortfarande tillåten. Personuppgifterna måste enligt 9 § g personuppgiftslagen fortsatt vara riktiga och, om det är nödvändigt, aktuella, vilket kan vara svårt att tillgodose efter viss tid. Det är exempelvis inte tillåtet att registrera ett namnbyte om samtycket har återkallats.

1 http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagonaldersgrans-for-samtycke1/

6.2.2. Dataskyddsförordningen

I dataskyddsförordningen anges grundläggande principer för behandling av personuppgifter i artikel 5. Bestämmelser om när behandling av personuppgifter är laglig finns i artikel 6 och villkor avseende särskilda kategorier av personuppgifter (känsliga personuppgifter) i artikel 9. I artiklarna 6 och 9 räknas samtycke upp bland andra villkor för laglig behandling av personuppgifter:

Artikel 6

Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. …

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2. Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. …

I likhet med det nuvarande dataskyddsdirektivet är samtycke i artikel 6 en av flera jämställda alternativa rättsliga grunder för personuppgiftsbehandling. Formuleringen i dataskyddsdirektivet avviker från personuppgiftslagens bestämmelse i 10 § där samtycke tas upp före uppräkningen i punkterna a–f. I samband med att dataskyddsdirektivet införlivades i svensk rätt, genom personuppgiftslagen, gavs således samtycket en formulering som skulle kunna tolkas som att detta sätt att göra en behandling tillåten har en särskild ställning

i förhållande till andra rättsliga grunder. Detta skulle då gälla utöver den särställning det har genom att behandling grundad på samtycke inte måste vara nödvändig. Huruvida personuppgiftslagen ska tolkas på detta sätt kan dock diskuteras.

Det förefaller emellertid inte som om samtycke enligt dataskyddsförordningen skulle ha en särställning i förhållande till andra rättsliga grunder. Den s.k. artikel 29-gruppen2 kommenterar att det finns olikheter i synen på samtyckets ställning mellan medlemsstaterna och anser att en harmonisering kan åstadkommas genom dataskyddsreformen.3

Samtycke särskiljs dock i förordningen, i likhet med nuvarande bestämmelser, genom att behandling enligt artikel 6.1 a inte behöver vara nödvändig. Den rättsliga grunden samtycke behöver inte heller, till skillnad från exempelvis allmänt intresse (artikel 6.1 e), vara fastställd i unions- eller nationell rätt (artikel 6.3). Den rättsliga grunden samtycke är reglerad genom artikel 6.1 a och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.

Barns samtycke som rättslig grund enligt dataskyddsförordningen har behandlats utförligt av Dataskyddsutredningen.4

Beträffande samtycke vid behandling av känsliga personuppgifter regleras detta särskilt i artikel 9.2 a i dataskyddsförordningen.

6.3. Samtycke och känsliga personuppgifter

Utredningens bedömning: Med utgångspunkt i artikel 9.2 a i

dataskyddsförordningen är det möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.

2 Artikel 29-gruppen är skapad under artikel 29 i det nuvarande dataskyddsdirektivet, för en utförligare beskrivning se avsnitt 3.3.1. 3 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 7. 4SOU 2017:39 kapitel 9.

Enligt artikel 9.1 i dataskyddsförordningen är behandling av känsliga personuppgifter5 förbjuden. Undantag från förbudet ges dock för vissa typer av behandling enligt artikel 9.2 a–j. Om den registrerade uttryckligen har lämnat sitt samtycke kan detta enligt artikel 9.2 a upphäva detta förbud, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas.

Enligt 3 och 6 §§ etikprövningslagen får forskning som innefattar känsliga personuppgifter utföras bara om den har godkänts vid en etikprövning.6 En möjlig tolkning av formuleringen i artikel 9.2 a är att denna artikel tillsammans med 3 och 6 §§ etikprövningslagen förhindrar behandling av känsliga personuppgifter med samtycke som rättslig grund, så att den rättsliga grunden i stället måste sökas i allmänt intresse enligt artikel 6.1 e.

En alternativ tolkning av denna situation är dock att samtycke kan upphäva förbudet mot behandling av känsliga personuppgifter för forskningsändamål, men endast om det kompletteras med etikgodkännande enligt etikprövningslagen.7 Samtycke kan i sådana fall användas som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål. Denna tolkning ligger närmare den rättstillämpning som för närvarande gäller och synes kunna förenas med de intentioner som uttrycks i förarbetena till den ändring som genomfördes av etikprövningslagen år 2008 och som innebar införandet av obligatorisk etikprövning av all forskning som innefattar behandling av känsliga personuppgifter.8

Mot denna bakgrund är det utredningens bedömning att artikel 9.2 a i dataskyddsförordningen, tillsammans med etikprövningslagen, innebär att det är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen. Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige.

5 I dataskyddsförordningens terminologi de ”särskilda kategorier av personuppgifter” som räknas upp i artikel 9.1. 6 Utredningen föreslår i kapitel 14 att dagens hänvisning till 13 § personuppgiftslagen i etikprövningslagen ska ersättas med en hänvisning till artikel 9.1 i dataskyddsförordningen. 7 Detta gäller inom etikprövningslagens geografiska tillämpningsområde. Enligt 5 § etikprövningslagen ska den tillämpas på forskning som ska utföras i Sverige. 8Prop. 2007/08:44 s. 20 f.

6.4. Samtyckets innehåll och de krav som ställs på giltigt samtycke

6.4.1. Inledning

I detta avsnitt görs en närmare jämförande analys av definitionen av samtycke i dataskyddsförordningen med definitionen i personuppgiftslagen. Därefter följer en genomgång av vart och ett av de begrepp som definierar samtycke i dataskyddsförordningen. Denna del beskriver således de krav som ställs på ett giltigt samtycke. I samband med detta behandlar olika avsnitt innebörden av de skäl i dataskyddsförordningen som tar upp samtyckets bredd (skäl 33) och dess giltighet när betydande ojämlikhet råder mellan den personuppgiftsansvarige och den registrerade, exempelvis när den personuppgiftsansvarige är en myndighet (skäl 43).

Personuppgiftslagen

I 3 § personuppgiftslagen anges att samtycke är varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I 13 § föreskrivs ett principiellt förbud mot behandling av känsliga personuppgifter som dock omgärdas av ett antal undantag enligt 14 §. Med stöd i 15 § får t.ex. känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Dessutom krävs enligt 3 och 6 §§ etikprövningslagen etikgodkännande när det är fråga om all behandling av känsliga personuppgifter för forskningsändamål.

Dataskyddsförordningen

Artikel 4.11 i dataskyddsförordningen definierar samtycke enligt följande.

Artikel 4

Definitioner

I denna förordning avses med … 11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, …

Utöver detta föreskrivs i artikel 9.2 a krav på uttryckligt samtycke vid behandling av känsliga personuppgifter.

Dataskyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen.

6.4.2. Frivillig viljeyttring Personuppgiftslagen

Samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma.

Det finns situationer där frivilligheten i samband med ett medgivande till personuppgiftsbehandling kan diskuteras. Ofta är det då inte fråga om samtycke i personuppgiftslagens mening. Det kan till exempel vara nödvändigt att man för att få ta del av en tjänst ingår ett avtal som innebär personuppgiftsbehandling. Detta förekommer bland annat vid köp av olika varor och tjänster eller vid anställning. Bestämmelser om detta finns i 10 § personuppgiftslagen, dvs. tillåtligheten baseras inte på den registrerades samtycke utan på att behandlingen är nödvändig exempelvis för fullgörande av ett avtal.

I vissa sammanhang där det är aktuellt med en samtyckesbaserad behandling enligt 10 § personuppgiftslagen kan det förekomma att den registrerade befinner sig i ett beroendeförhållande till den som efterfrågar samtycke, eller att det på annat sätt råder ojämlikhet mellan dessa parter. Problemet har föranlett skäl 43 i dataskyddsförordningen, vilket behandlas i det följande.

Dataskyddsförordningen

Kravet på frivillighet är i dataskyddsförordningen formulerad på samma sätt som i personuppgiftslagen. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen.

För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

Trots likheterna mellan bestämmelserna i dataskyddsförordningen och personuppgiftslagen föranleder detta skäl nya överväganden för den personuppgiftsbehandling som sker vid bland annat de universitet och högskolor som utgör offentligrättsliga organ. Formuleringen anger att det ska vara fråga om ”ett särskilt fall där det råder betydande ojämlikhet” och nämner att detta gäller, eller kan gälla, särskilt när den personuppgiftsansvarige är en ”offentlig myndighet”.9

Det kan noteras att ett så tydligt omnämnande av myndigheters begränsade möjlighet att använda samtycke som rättslig grund under vissa omständigheter hittills saknats i svensk gällande rätt, även om beroendeförhållanden redan i dag har betydelse för bedömningen av samtyckets giltighet.

Skrivningen kan tolkas som att ett särskilt fall alltid föreligger när en myndighet efterfrågar samtycke. Den kan alternativt tolkas som att särskilda fall ofta, men inte alltid, förekommer när den personuppgiftsansvarige är en myndighet.

I ett yttrande om samtycke som artikel 29-gruppen publicerat behandlas sådana situationer.

Typen av registeransvarig kan också vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av uppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse enligt artikel 7 c, eller utförandet av en arbetsuppgift av allmänt intresse som anges i artikel 7 e. Att använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna utgör följaktligen inte en lämplig rättslig grund. Detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag.10 (Författningshänvisningarna hänför sig till det nuvarande dataskyddsdirektivet, vår anm.)

Begränsningen ska, enligt detta yttrande, framför allt gälla personuppgiftsansvariga som behandlar personuppgifter i samband med fullgörandet av en rättslig förpliktelse eller för att utföra en arbets-

9 Detta torde motsvaras av det svenska begreppet myndighet, och innefattar då såväl statliga som kommunala myndigheter. 10 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 16.

uppgift av allmänt intresse. Artikel 29-gruppen framhåller här särskilt offentliga myndigheter som har officiella maktbefogenheter. Detta kan tolkas som att inte alla förhållanden mellan myndigheter och enskilda präglas av betydande ojämlikhet.

Artikel 29-gruppen för vidare ett resonemang om beroendeförhållanden vid anställning. Detta resonemang är tillämpligt oavsett den rättsliga ställningen hos huvudmannen och också när man avser att behandla personuppgifter för forskningsändamål.

… om samtycke krävs från en anställd och en verklig eller potentiell skada kan uppkomma genom att samtycke inte ges är samtycket inte giltigt i den meningen att det inte uppfyller kraven i vare sig artikel 7 eller artikel 8, eftersom det inte lämnats frivilligt. Om den anställde inte har möjlighet att vägra är det inget samtycke … En svårighet uppkommer om samtycket är ett villkor för anställningen. Den anställde kan teoretiskt sett vägra ge sitt samtycke, men konsekvensen kan vara att möjligheten till anställning går förlorad. Under sådana omständigheter har samtycket inte getts frivilligt och är därför inte giltigt. Situationen är ännu tydligare om, vilket ofta sker, alla arbetsgivare tillämpar samma eller ett liknande anställningsvillkor.11

Artikel 29-gruppens yttranden hänför sig till det nuvarande dataskyddsdirektivet, som inte innehåller någon motsvarande skrivning till skäl 43 i dataskyddsförordningen. I avsaknad av ytterligare vägledning är det utredningens bedömning att artikel 29-gruppens yttranden kan utgöra utgångspunkt för tolkningen av skäl 43 i dataskyddsförordningen.

Betydande ojämlikhet vid samtycke lämnat till offentliga forskningsaktörer

När det gäller offentliga forskningsaktörer kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För till exempel statliga forskningsinstitut med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant institut.

11 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 13 f där man hänvisar till

yttrande 8/2001 (WP48) on the processing of personal data in the employment context.

Statliga lärosäten får i många situationer inte anses kunna utöva någon speciell påtryckning gentemot individen enbart genom att man är en myndighet. Behandling av personuppgifter för forskningsändamål från personer utan tydlig relation till lärosätet präglas inte självklart av betydande ojämlikhet eftersom lärosätet inte kan utöva några påtryckningar gentemot dessa personer och det är osannolikt att forskningspersonerna själva upplever att en ojämlik situation föreligger. Det kan exempelvis gälla ett representativt urval av personer ur totalbefolkningen som deltar i en undersökning som del av ett forskningsprojekt. Som exempel kan nämnas SOM-institutets vid Göteborgs universitet opinionsundersökningar som beskrivs på följande sätt på institutets hemsida: ”Varje år svarar nästan 20 000 svenskar på SOM-institutets frågor om allt från politik och massmedier till ämnen som livsstil, hälsa och fritidsvanor.”12

En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet.

Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. Man driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och nationella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse.

Sammanfattningsvis innebär ovanstående resonemang att det kan finnas betydande hinder för myndigheter att använda samtycke för personuppgiftsbehandling med tanke på den ojämlikhet som påtalas i skäl 43. Detta kan gälla också vid behandling för forskningsändamål. I många fall föreligger dock inte någon sådan ojämlikhet vid forskning. Hindren gäller därför inte alltid utan behöver prövas från fall till fall. Det ankommer på den personuppgiftsansvarige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.

Utgångspunkten för en sådan prövning är rimligen att hinder föreligger. I många fall kan dock den personuppgiftsansvarige när

12 Se vidare http://som.gu.se/undersokningar. SOM-institutet beskriver sig som en opartisk undersökningsorganisation vid Göteborgs universitet.

det gäller forskning, enligt utredningens bedömning, kunna visa att frivillighet råder. Inhämtande av ett giltigt samtycke behöver då inte förhindras av detta skäl.

Betydande ojämlikhet vid samtycke lämnat till privata forskningsaktörer

En genomgång av aktuella kategorier av forskningsaktörer, och en analys av de möjliga rättsliga grunderna för olika aktörer, finns i avsnitt 5.3. De privata forskningsaktörer som i exemplifierande syfte anges där är enskilda utbildningsanordnare samt företag och stiftelser.

Enskilda utbildningsanordnare borde i väsentliga delar kunna likställas med offentliga. För företag, stiftelser och andra medlemsorganisationer som utför forskning torde samtycke kunna användas gentemot alla som inte har någon anknytning till organisationen, genom att vara exempelvis anställda, intressenter och/eller medlemmar.

Privaträttsliga forskningsaktörer bör med hänvisning till formuleringen av skäl 43 kunna betraktas på annat sätt än de offentligrättsliga. Utgångspunkten är att det här normalt inte råder betydande ojämlikhet när personuppgifter behandlas för forskningsändamål, men att detta kan vara fallet i det som benämns ”en särskild situation”. En sådan särskild situation kan vara när den personuppgiftsansvarige vill använda ett kund- eller anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis kan sägas att det resonemang om ojämlikhet som förs i skäl 43 normalt inte torde innebära hinder för privaträttsliga forskningsaktörer att använda samtycke för personuppgiftsbehandling för forskningsändamål. Det bör dock även här prövas om det föreligger sådana hinder som gör samtycket ogiltigt. Det ankommer på den personuppgiftsansvarige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.

6.4.3. Specifik viljeyttring

Personuppgiftslagen

En specifik viljeyttring, enligt dataskyddsförordningens definition, motsvaras av det som i 3 § personuppgiftslagen benämns ”särskild … viljeyttring”. I 9 § personuppgiftslagen finns ett krav på att all personuppgiftsbehandling ska äga rum för ”särskilda, uttryckligt angivna och berättigade ändamål” (den s.k. ändamålsbegränsningen). Denna begränsning har sin motsvarighet i definitionen av samtycke genom att samtycket ska vara ”särskilt”, dvs. det ska stå klart att samtycke har lämnats för ett särskilt ändamål.

Hur brett ett forskningsändamål kan vara, för vilket samtycke kan ges utan att kravet på särskildhet och otvetydighet går förlorat, har varit föremål för diskussion i olika sammanhang. En vägledning inför den framtida tolkningen av detta återfinns i skäl 33 i dataskyddsförordningen.

Dataskyddsförordningen

I dataskyddsförordningen ersätts den tidigare termen ”särskild” i det nuvarande dataskyddsdirektivet och personuppgiftslagen med ”specifik”. Termerna kan språkligt sett betraktas som synonymer.13Detta stöds också av att den engelska formuleringen i artikel 2 i det nuvarande dataskyddsdirektivet använder begreppet ”specific” medan den svenska översättningen av samma direktiv använder ”särskild”. Det framstår således inte som om förändringen i terminologi skulle innebära någon avsiktlig betydelseförändring. Frågan om samtyckets tillåtliga bredd behandlas i skäl 33 i dataskyddsförordningen. Det resonemang som förs där medför, trots att termerna får anses ha samma betydelse, en förändrad syn på bestämmelsens innebörd.

Specifika och breda samtycken

Ett samtycke definierar gränserna för vad som är tillåtet att behandla och måste därför vara tydligt specificerat redan vid insamling av personuppgifter. En klar ändamålsbeskrivning när det gäller

13 Svenskt synonymlexikon online: synonymer.se

känsliga personuppgifter har i svensk rättstillämpning också utgjort en förutsättning för att en etikprövningsnämnd ska kunna avgöra huruvida den avsedda personuppgiftsbehandlingen utgör forskning och därmed måste bli föremål för etikprövning. Detta gäller oavsett om behandlingen grundas på samtycke eller någon annan rättslig grund.

Bredden på ett samtycke liksom möjligheten att samla in personuppgifter för mer allmänt hållna forskningsändamål har föranlett mycket diskussion och debatt, inte minst under senare år i samband med bland annat Vetenskapsrådets strävanden efter att skapa effektiva databasinfrastrukturer för forskningsändamål.14 Problemet tydliggjordes bland annat vid bedömningar av projektet LifeGene vid Karolinska Institutet.15 Projektet, som rör de långsiktiga hälsokonsekvenserna av arv och miljöpåverkan, har ett mångårigt perspektiv med en bred ändamålsbeskrivning. Personuppgifter samlas in genom provtagning och frågeformulär vid personliga besök vid mottagningar. Uppgifterna kan kompletteras med uppgifter från register insamlade för andra primära ändamål än forskning. En del av dessa uppgifter avses bestå av uppföljningar av hälsorelaterad information från hälso- och sjukvården under många år framöver. Preciserade ändamål med själva forskningen kan inte beskrivas vid insamlingstillfället. Medverkan i projektet grundas på de registrerades samtycke.

Personuppgiftsbehandlingen i LifeGene godkändes av en regional etikprövningsnämnd, men med villkor att barn under sex års ålder skulle undantas från blodprovstagning. Detta villkor överklagades av företrädare för LifeGene till Centrala etikprövningsnämnden (CEPN). CEPN konstaterade vid sin granskning att etikprövning inte behövdes, eller snarare inte kunde genomföras, på grund av att det aktuella projektet i sig inte ansågs innefatta någon forskning, utan i stället syftade till att bygga upp en infrastruktur för eventuell framtida forskning. Mot denna bakgrund undanröjde CEPN den regionala etikprövningsnämndens beslut.16

Datainspektionen tog upp ärendet inom ramen för sin tillsynsverksamhet. Man konstaterade att det genom undanröjandet av den

14 Vetenskapsrådets guide till infrastrukturen 2014, s. 12–13, 25–26. 15 Se vidare http://www.lifegene.se. 16 CEPN beslut 2011-03-04, dnr Ö 28-2010.

regionala etikprövningsnämndens beslut inte längre fanns ett godkännande efter etikprövning, samt att det syfte som angivits för LifeGene utgjorde ett alltför opreciserat ändamål för att uppfylla kraven i 9 § personuppgiftslagen. Datainspektionen förelade därför de ansvariga för projektet att upphöra med insamlingen och övrig behandling av personuppgifter. Man framhöll i samband med detta att frågan om hantering av känsliga personuppgifter som sparas för framtida forskning är av sådan vikt att det borde bli föremål för politisk beredning.17

Ärendet behandlades av regeringen som med hänvisning till liknande regleringar i registerförfattningar föreslog en tidsbegränsad särskild lag som gjorde det möjligt för projektet att samla in och behandla personuppgifter för det angivna ändamålet.18 Förslaget antogs av riksdagen.19 I propositionen anförde regeringen att den föreslagna lagen var angelägen eftersom den avsåg att reglera ett specifikt område som omgärdades av rättslig osäkerhet. Ett vägande argument var att det var fråga om personuppgiftsbehandling som skapar bättre förutsättningar för svensk registerbaserad forskning. Datainspektionen ifrågasatte dock fortsatt om ändamålsbeskrivningen i lagen var förenlig med dataskyddsdirektivet.20

En bredare syn på samtycke jämfört med Datainspektionens och CEPN:s uppfattning efterfrågades i 2014 års Registerforskningsutredning.21 Osäkerhet om hur brett ett ändamål kan beskrivas låg, tillsammans med andra hänsynstaganden, till grund för Registerforskningsutredningens förslag att införa en särskild lag om forskningsdatabaser. Därefter har det blivit vårt uppdrag att i ett andra skede av utredningen ta ställning till och utveckla Registerforskningsutredningens förslag. Utredningens förslag till nödvändiga anpassningar av den s.k. LifeGene-lagen till dataskyddsförordningen behandlas i kapitel 15 i detta betänkande.

Artikel 29-gruppen tog redan år 2011 upp frågan om samtyckets bredd. Man konstaterade då att samtycke inte kan tillämpas på ”en

17 Datainspektionen 2011-12-16. Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene, dnr 766-2011, s. 4 f. 18Prop. 2012/13:163 Vissa register för forskning om vad arv och miljö betyder för människors hälsa. 19 SFS 2013:794 utfärdad den 5 november 2013. 20Prop. 2012/13:163, s. 25 f. 21SOU 2014:45 Unik kunskap genom registerforskning, s. 357 f.

allmän uppsättning behandlingsaktiviteter”, men införde begreppet ”rimliga förväntningar” och yttrade följande:

Samtycket bör avse en behandling som är rimlig och nödvändig i förhållande till syftet. Det bör i princip vara tillräckligt om den registeransvarige erhåller samtycke endast en gång för olika operationer om samtliga omfattas av den registrerades rimliga förväntningar.22

I dataskyddsförordningen uttrycks detta i skäl 33:

Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Det kan konstateras att det förtydligande som följer av förordningens skäl 33 öppnar upp för en bredare syn på samtycke än vad som hittills tillämpats. En förutsättning är dock att detta kan ske utan att det görs avkall på kraven att specificera ändamålen i enlighet med artiklarna 5.1 b och 6.1 a samt skäl 32 där det anges att samtycke bör gälla all behandling för samma ändamål och att samtycke ska lämnas för varje syfte för sig om flera syften finns. Forskningsändamålen kan således vid samtycke både vara specifika och någorlunda breda.

6.4.4. Otvetydig viljeyttring

Personuppgiftslagen

Samtycke ska enligt 3 § personuppgiftslagen vara en otvetydig viljeyttring som är knuten till det ändamål för vilket behandlingen ska ske. Samtycket ska alltså tydligt kunna kopplas till den personuppgiftsbehandling som avses. Detta kräver att ändamålet är tydligt beskrivet och att det inte får föreligga tveksamhet om att viljeyttringen verkligen avser den aktuella personuppgiftsbehandlingen.

22 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 17 f.

Samtycke som en logisk konsekvens av ett handlande som klart innebär att en individ accepterar personuppgiftsbehandlingen (så kallat konkludent handlande) har ansetts vara tillräckligt otvetydigt under vissa omständigheter. Ett exempel inom forskningens område kan vara att besvara ett frågeformulär där syftet att använda svaren för ett avgränsat forskningsändamål har klargjorts för forskningspersonen i samband med datainsamlingen.

Dataskyddsförordningen

Dataskyddsförordningen föreskriver i likhet med nuvarande reglering att samtycke baseras på en otvetydig viljeyttring. Det finns därmed ingen grund för att anta att tolkningen av begreppet ska skilja sig från nuvarande praxis. I otvetydigheten ligger att handlingen ska vara tydligt inriktad på personuppgiftsbehandlingen och inte blandas samman med andra förklaringar och ställningstaganden från individen i fråga. Definitionen i artikel 4.11 i dataskyddsförordningen förtydligar dessutom att samtycket ska vara ”ett uttalande eller en entydig bekräftande handling”. Uttrycket ”bekräftande handling” tyder på att konkludent handlande är en acceptabel samtyckesyttring, åtminstone när det inte är fråga om känsliga personuppgifter.

I skäl 32 i dataskyddsförordningen anges att samtycke bör gälla all behandling inom samma ändamål, och att om flera syften finns bör samtycke inhämtas för samtliga syften. Bekräftelsen ska inte enbart bestå i passivitet, dvs. underlåtenhet att invända mot personuppgiftsbehandlingen. Tystnad eller inaktivitet är således inte tillräckligt. Det krävs någon form av aktiv bekräftelse för att samtycket ska vara giltigt. Detta krav särskiljer samtycket från rätten att under vissa omständigheter motsätta sig en redan påbörjad behandling och utesluter därmed bland annat så kallad ”opt out”. För känsliga personuppgifter gäller dessutom att samtycket enligt artikel 9.2 a i dataskyddsförordningen ska vara uttryckligt.

I situationer där flera viljeyttringar förekommer (eller bör förekomma därför att det finns flera syften) krävs enligt artikel 7.2 i dataskyddsförordningen att dessa tydligt särskiljs. Detta framgår även av skäl 32 om samtyckets innebörd och skäl 33 om samtycke som lämnas till vissa forskningsområden eller delar av forsknings-

projekt. Den personuppgiftsansvarige ska kunna visa att den registrerade på förhand har lämnat samtycke för all personuppgiftsbehandling som avses på sätt som föreskrivs i förordningen (artikel 7.1). Här uppstår i praktiken ett utökat krav på den personuppgiftsansvarige att dokumentera samtycket i jämförelse med personuppgiftslagen, där samtycke inte är omgärdat av några formkrav. Behovet av dokumentation aktualiseras oavsett om samtycket lämnats muntligt eller skriftligt.

6.4.5. Informerad viljeyttring

Personuppgiftslagen

I 3 § personuppgiftslagen anges att ett giltigt samtycke innebär att den registrerade godtar behandlingen efter att ha fått information. Informationen ska vara tillräcklig för att en frivillig, särskild och otvetydig viljeyttring ska kunna lämnas.

En vägledande utgångspunkt i detta sammanhang kan vara de allmänna bestämmelser om informationsskyldighet som finns i 2327 §§personuppgiftslagen. Detta gäller i första hand sådan information som lämnas på förhand. Den personuppgiftsansvarige ska enligt huvudregeln på eget initiativ lämna information till den registrerade om behandlingen. Detta kan ske i samband med insamling av personuppgifter från den registrerade själv, eller i det fall insamling har skett från någon annan källa, vid registreringstillfället om detta inte är omöjligt eller innebär en oproportionerligt stor arbetsinsats. I 25 § personuppgiftslagen anges att information ska lämnas om den registrerades identitet, ändamålet med behandlingen, samt all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter.

För att ett samtycke ska anses giltigt behöver i första hand information av det slag bestämmelserna i 23–25 §§ anger vara uppfyllda. Till bilden hör att den registrerade enligt 26 § en gång per kalenderår efter en skriftlig ansökan gratis har rätt att få information om bland annat vilka uppgifter som behandlas, ändamålet med behandlingen, varifrån uppgifterna hämtats, samt till vilka de lämnats ut. Detta betecknas ibland som en rätt till registerutdrag.

Mer utförliga rekommendationer om förfaringssättet när det gäller personuppgiftsbehandling för forskningsändamål finns i infor-

mationsmaterial från några myndigheter som ansvarar för omfattande register med personuppgifter eller övervakar hanteringen av personuppgifter.23

Dataskyddsförordningen

De krav på information som finns i artiklarna 12–15 i dataskyddsförordningen överensstämmer i sin allmänna inriktning med vad som stadgas i personuppgiftslagen, men är mer detaljerade.

Ett giltigt samtycke enligt dataskyddsförordningen förutsätter att den registrerade fått tillräcklig information. Artikel 12 anger att den information som ges till den registrerade ska vara klar, tydlig, begriplig och lätt tillgänglig. Den information som ska lämnas i samband med insamling föreskrivs i artikel 13 för personuppgifter insamlade direkt från den registrerade och i artikel 14 för personuppgifter som har erhållits från annan än den registrerade.

I huvudsak handlar skyldigheten att lämna information innan det att behandlingen inleds om att lämna besked om att personuppgifter kommer att behandlas och om vilken behandling som ska göras. I 25 § personuppgiftslagen anges att all den information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen ska lämnas. Motsvarande allmänna formulering återfinns inte i förordningen, men det får antas att bedömningen av huruvida kravet på information vid inhämtande av samtycke inbegriper en sådan avvägning.

Utredningen bedömer att den allmänna informationsskyldigheten som regleras i artiklarna 13 och 14 i dataskyddsförordningen, och som ska lämnas på initiativ av den personuppgiftsansvarige innan behandlingen påbörjas, är relevant för vad som krävs för inhämtande av ett giltigt samtycke.

Artikel 15 i dataskyddsförordningen ger utöver detta en fortsatt rätt till registerutdrag. Den registrerade har alltså rätt att på eget initiativ få reda på om en behandling pågår och, om så är fallet, information om den aktuella behandlingen för att kunna ta tillvara sina rättigheter samt att få kopior på de personuppgifter som behandlas. Denna rätt till tillgång blir i praktiken aktuell först efter

23 Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövningsnämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013.

det att behandlingen har inletts och, om behandlingen grundas på samtycke, först efter det att samtycke har lämnats.

Fullgörande av informationsrätten enligt artikel 15 kan därför inte inbegripas i bedömningen av samtyckets giltighet. Enligt artiklarna 13.2 b och 14.2 c ska dock den registrerade på förhand informeras om denna rättighet, vilket ingår i den information som ska lämnas för att ett giltigt samtycke ska kunna inhämtas.

6.4.6. Uttrycklig viljeyttring gällande känsliga personuppgifter

Behandling av känsliga personuppgifter för forskningsändamål behandlas övergripande i kapitel 7. Samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål har behandlats i avsnitt 6.3. I det avsnittet gjordes bedömningen att det är förenligt med artikel 9.2 a i förordningen att använda samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål, givet att det kompletteras med etikgodkännande enligt etikprövningslagen. I detta avsnitt berörs samtycke när behandlingen avser känsliga personuppgifter med anledning av det krav på uttrycklighet som gäller redan i dag, och som kommer att gälla även när dataskyddsförordningens bestämmelser ska tillämpas.

Personuppgiftslagen

Personuppgiftslagen innehåller särskilda regler för behandling av känsliga personuppgifter i 13–20 §§. I 15 § personuppgiftslagen anges att samtycke till behandling av känsliga personuppgifter ska vara uttryckligt. Begreppet uttryckligt samtycke har enligt vad som framgår av förarbetena till personuppgiftslagen en EU-gemensam innebörd.24 Hur uttrycklighetskravet mer precist ska tolkas i Sverige har endast i begränsad utsträckning diskuterats.25 Enligt artikel 29-gruppen omfattar uttryckligt samtycke enligt nuvarande bestämmelser ”alla situationer där enskilda personer uppmanas välja mellan att samtycka till eller vägra användning eller offentliggörande av sina personuppgifter och de besvarar en sådan begäran muntligt eller skriftligt”.26

24Prop. 1997/98:44 s. 116. 25 Se vidare t.ex. Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 3 §. 26 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 26.

Utöver kravet på uttrycklighet i personuppgiftslagen föreskriver etikprövningslagen etikgodkännande för forskning som innefattar behandling av känsliga personuppgifter (3 och 6 §§). Etikprövningslagens tillämpningsområde omfattar all behandling av känsliga personuppgifter för forskningsändamål när forskningen utförs i Sverige. Kravet på etikgodkännande enligt etikprövningslagen gäller således även om det finns ett inhämtat samtycke.

Dataskyddsförordningen

Känsliga personuppgifter omfattar enligt artikel 9.1, utöver de uppgifter som anges i 13 § personuppgiftslagen, även sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. I detta betänkande används begreppet känsliga personuppgifter för hela denna utökade kategori.

Oklarheten om innebörden i uttryckligt samtycke med avseende på graden av aktivt handlande hos den registrerade kan ha reducerats genom den hänvisning till ”entydigt bekräftande handling” som finns i artikel 4.11. Något undantag från denna del av bestämmelsen vad gäller uttryckligt samtycke går inte att finna.

6.4.7. Överväganden

Utredningens bedömning: Dataskyddsförordningen innebär inga

betydande förändringar av ett samtyckes innebörd.

I det ovanstående har de olika kraven på giltigt samtycke i dataskyddsdirektivet och personuppgiftslagen jämförts med motsvarande krav i dataskyddsförordningen. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen. Något undantag från denna del av bestämmelsen vad gäller uttryckligt samtycke går inte att finna.

Utredningens bedömning: Möjligheten att använda samtycke

som rättslig grund för personuppgiftsbehandling för forskningsändamål när det kan råda en betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade behöver prövas i varje enskilt fall, som en del av bedömningen av giltigheten av det inhämtade samtycket.

Utgångspunkten för en sådan prövning är att forskningsaktören som en del av bedömningen ska kunna visa att samtycket lämnats frivilligt. En betydande ojämlikhet kan medföra att samtycket inte uppfyller kravet på frivillighet. Hinder för ett giltigt samtycke föreligger av denna anledning i allmänhet vid personuppgiftsbehandling när den personuppgiftsansvarige är en myndighet. Detta utesluter dock inte att myndigheter baserar sin personuppgiftsbehandling för forskningsändamål på just samtycke, förutsatt att det inte föreligger en betydande ojämlikhet av det slag som avses i skäl 43.

6.5. Ytterligare behandling av personuppgifter som lämnats med stöd av samtycke

6.5.1. Inledning

Ytterligare behandling av personuppgifter för forskningsändamål undantas i såväl personuppgiftslagen som dataskyddsförordningen från vissa delar av de krav som är förknippade med finalitetsprincipen. Vid bedömningen av undantaget tillkommer dock vissa särskilda överväganden som blir aktuella bara när personuppgiftsbehandlingen grundas på samtycke.

6.5.2. Personuppgiftslagen

Ytterligare behandling av personuppgifter för forskningsändamål har enligt 9 § andra stycket personuppgiftslagen en gynnad ställning när det gäller undantag från den s.k. finalitetsprincipen. Denna princip fastställer att personuppgifter som huvudregel inte får behandlas för ändamål som är oförenligt med det ursprungliga ändamål för vilket uppgifterna samlades in. Behandling för vetenskap-

liga ändamål ska dock enligt det andra stycket inte anses oförenligt med de ändamål för vilka uppgifterna samlades in.

Detta medför att personuppgifterna vanligen får användas av samma personuppgiftsansvarig utan att ett nytt ändamål behöver anges. När det gäller användning av personuppgifter som lämnats med samtycke finns dock i förarbeten och kommentarer till personuppgiftslagen resonemang som innebär en strängare tolkning i detta avseende. Det anförs att det som regel inte är acceptabelt att det förtroende som den registrerade visat genom det lämnade samtycket kränks genom att uppgifterna används för ett helt annat projekt med väsentligt annorlunda inriktning och syften. Såväl förarbeten27som lagkommentaren till 9 § personuppgiftslagen28 anger att något förbud för återanvändning dock inte införts eftersom det kan finnas undantagsfall där samhällsintresset överväger.

Vad som utgör ett forskningsprojekt där ytterligare behandling har en väsentligt annorlunda inriktning och syften är en tolkningsfråga. Exempel på gränsdragningsproblematiken kan tas från den epidemiologiska forskningen om risker för specifika sjukdomar och för tidig död där det kan finnas anledning att granska såväl biologiska som sociala orsaker till ohälsa. Man kan exempelvis tänka sig att uppgifter som lämnats med samtycke avseende ändamålet att undersöka sambandet mellan fetma, kolesterolnivåer och hjärtsjukdom också, om information om socioekonomiska förhållanden läggs till, kan användas för att undersöka sambandet mellan sociala variabler som utbildning, inkomst, yrke och förekomsten av hjärt- och kärlsjukdom. Hela denna orsaksbild kan utgöra väsentlig information när det gäller hjärt- och kärlsjukdomarnas epidemiologi.

Huruvida ytterligare behandling i ett sådant socialmedicinskt projekt skulle anses vara av väsentligt annan karaktär än det ursprungliga är en bedömningsfråga som det enligt nuvarande praxis ankommer på en etikprövningsnämnd att ta ställning till. Etikprövningsnämnden i fråga kan som villkor för den ytterligare behandlingen kräva att ett nytt samtycke inhämtas. Etikprövningsförfarandet behandlas närmare i kapitel 14.

27SOU 1997:39 s. 312 f. 28 Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 9 § andra stycket.

6.5.3. Dataskyddsförordningen

Såsom beskrivs i avsnitt 5.4 är personuppgiftsbehandling för forskningsändamål genom artikel 5.1 b i likhet med dagens lagstiftning särskilt gynnad i dataskyddsförordningen genom att ytterligare behandling för forskningsändamål inte ska anses strida mot de ursprungliga ändamål för vilka uppgifterna samlades in. Vidare anges i skäl 50 i dataskyddsförordningen att detta ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Observera dock att undantaget från den s.k. finalitetsprincipen gäller i det fall behandlingen sker hos samma personuppgiftsansvarig, se avsnitt 5.4.4 för vidare resonemang kring denna förutsättning.

Vägledning kan utöver detta finnas i Europarådets rekommendation nr R(83) 10 om skydd för personuppgifter som används för vetenskaplig forskning och statistik:

4. Use of the data 4.1. Personal data obtained for research should not be used for any purpose other than research. In particular, they should not be used to make any decision or take any action directly affecting the person concerned, except within the context of the research or with the express consent of the person concerned. 4.2. Personal data collected for the purpose of a given research project and with the consent of the persons concerned should not be used in connection with another research project substantially different in its nature or objects from the first, except with their consent. However, where would be impracticable to obtain such consent by reason of the lapse of time or because of the large number of persons concerned, the previously collected data may be used in conformity with other safeguards laid down by domestic law. 4.3. Both public and private bodies should have the right to use for their own research purposes the personal data which they hold for administrative purposes. If in the course of such research personal data are added to files already held by the administrative body, or its files are altered, these new files should not be made available to administrative personnel dealing with individual cases, except with the consent of the person concerned. 4.4. Personal data may be released by public or private bodies for the purpose of research only with the consent of the person concerned or in accordance with other safeguards laid down by domestic law.

Artikel 4.2 i Europarådets rekommendation förefaller överensstämma väl med överväganden i etikprövningsnämnderna där man tar hänsyn till de praktiska möjligheterna att inhämta ett nytt samtycke.

6.5.4. Överväganden

Utredningens bedömning: Ytterligare behandling av person-

uppgifter för forskningsändamål hos densamme personuppgiftsansvarige ska inte anses vara oförenligt med de ursprungliga ändamålen även när uppgifterna samlats in med stöd av samtycke. Den personuppgiftsansvarige bör dock följa Europarådets rekommendation att inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet utan att ett nytt samtycke inhämtats där detta är lämpligt och praktiskt möjligt.

Enligt utredningens bedömning kan det, även om specifik reglering i förordningen saknas, finnas anledning att också i fortsättningen uppmärksamma de resonemang som tidigare förts om samtyckets särskilda ställning när det gäller rätten att ytterligare behandla personuppgifter som lämnats med samtycke. Europarådets rekommendation bör utgöra vägledning vid ytterligare behandling av personuppgifter lämnade med samtycke.

6.6. Samtycke tillsammans med annan rättslig grund

6.6.1. Inledning

I ovanstående avsnitt har utredningen tagit ställning till att samtycke kan användas som rättslig grund enligt artikel 6.1 a för alla slags personuppgifter, även med hänsyn taget till formuleringarna i artikel 9.2 a. I detta avsnitt belyses samtyckets ställning och användning när en annan rättslig grund samtidigt föreligger.

All laglig behandling av personuppgifter förutsätter en rättslig grund. Det kan samtidigt finnas mer än en rättslig grund för samma behandling. När den ena tillämpliga rättsliga grunden är samtycke kompliceras situationen, eftersom det knappast kan anses vara förenligt med god sed vid personuppgiftsbehandling för forsknings-

ändamål att först grunda sin behandling på samtycke för att sedan vid behov åberopa till exempel allmänt intresse som grund för aktuell behandling. Formellt sett är dock detta tillåtet redan i dag och problematiken är känd. Förklaringen ligger i att det inte är möjligt att förbjuda behandling enligt någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen om villkoren i dem är uppfyllda.

Vid viss personuppgiftsbehandling kan således osäkerhet uppstå om vad som faktiskt utgör den rättsliga grunden för behandlingen. Artikel 29-gruppen har behandlat frågan om s.k. hybridsituationer avseende rättslig grund och beskriver detta som att det ofta kan vara svårt att avgöra om de offentliga myndigheternas behandling av personuppgifter på ett korrekt sätt bygger på den registrerades samtycke. Som exempel på en hybridsituation har artikel 29-gruppen beskrivit folkbokföring när en viss del av registreringen bygger på lagstadgat uppgiftslämnande medan andra delar är frivilliga.29

6.6.2. Samtidig förekomst av de rättsliga grunderna samtycke och allmänt intresse

Av skäl 43 i dataskyddsförordningen framgår, som beskrivits ovan, att det många gånger kan råda en betydande ojämlikhet mellan den som efterfrågar samtycke och den som lämnar det. Skäl 43 pekar på att ojämlikhetsproblemet särskilt föreligger för ”offentliga myndigheter”. Detta blir tydligt när myndigheten har en verksamhet som innebär myndighetsutövning gentemot den enskilde eller inom hälso- och sjukvård.

I enlighet med det resonemang som förs i kapitel 5 omfattas forskning normalt av den rättsliga grunden allmänt intresse. Om forskningen av allmänt intresse är fastställd i nationell rätt gäller denna lagstadgade rättsliga grund redan innan dess ett eventuellt samtyckesförfarande övervägs. Det torde enligt tidigare resonemang inte föreligga någon prioritetsordning mellan de olika rättsliga grunder som anges i artikel 6.1. Det finns därmed inte skäl att ge den rättsliga grunden samtycke företräde framför allmänt intresse.

Ett giltigt samtycke innebär en frivillig, specifik, informerad och otvetydig viljeyttring (artikel 4.11). Den registrerade ska ha lämnat

29 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 38.

sitt samtycke för att behandlingen ska vara tillåten (artikel 6.1 a och 9.2 a), och har rätt att återkalla samtycket när som helst (artikel 7.3). Att ett återkallat samtycke verkligen innebär att behandlingen upphör är ett av de oavvisliga kriterier som enligt utredningens bedömning bör användas för att avgöra om ett samtycke är giltigt och fungerar fullt ut.30 Om personuppgiftsbehandlingen skulle fortsätta att vara laglig genom att någon annan rättlig grund (exempelvis uppgift av allmänt intresse) samtidigt föreligger och åberopas kan inte rätten till återkallelse beaktas. Det kan därmed ifrågasättas huruvida samtycke är giltigt i dessa situationer.

6.7. Sammanfattning

Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Förordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska ges genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med personuppgiftslagen.

Utredningen bedömer att artikel 9.2 a i dataskyddsförordningen, tillsammans med etikprövningslagen, innebär att det är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.

Skäl 33 innebär en utvidgning av det möjliga utrymmet för samtycke när syftet inte fullt ut kan identifieras vid insamlingstillfället. Skäl 43 innebär begränsningar, särskilt för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här om den i nationell rätt fastställda rättsliga grunden uppgift av allmänt intresse samtidigt förekommer.

Ytterligare behandling av personuppgifter för forskningsändamål, där behandlingen ursprungligen grundats på samtycke, bör

30 A.a. s. 35.

enligt utredningens uppfattning normalt omfattas av inhämtande av nytt samtycke, oavsett om behandlingen sker hos samma eller hos en ny personuppgiftsansvarig forskningsaktör.

Dataskyddsförordningen erbjuder ingen slutlig lösning på de situationer när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, och som innebär att samtyckets giltighet kan ifrågasättas.

7. Känsliga personuppgifter

7.1. Inledning

Av utredningens direktiv framgår följande:

Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.1

Detta kapitel inleds med en genomgång av begreppet ”känsliga personuppgifter”, för att sedan gå igenom relevanta bestämmelser i dataskyddsförordningen (EU 2016/679) samt förslag från Dataskyddsutredningen (Ju 2016:04). Utifrån detta lämnar vi sedan överväganden och förslag över kompletterande bestämmelser.

7.1.1. Terminologi

Dataskyddsförordningen använder i rubriken till artikel 9 termen ”Särskilda kategorier av personuppgifter” för att hänvisa till personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

1 Dir. 2016:65 s. 11.

Denna terminologi återkommer i förordningen, exempelvis i artikel 6.4 c, 27.2 a, 30.5, 35.3 b, 37.1 c och 47.2 d, samt även skäl 10, 51–54, 71, 80, 91, 97 och 112.

Samma term användes även i det nuvarande dataskyddsdirektivet (95/46/EG) med en definition i artikel 8. Jämfört med dataskyddsdirektivet är dataskyddsförordningens definition något utökad och inkluderar även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning.

I det svenska genomförandet av det nuvarande dataskyddsdirektivet valdes termen ”känsliga personuppgifter” för att beteckna det som direktivet benämner ”särskilda kategorier av personuppgifter”.2Anledningen till att man frångick direktivets terminologi i denna del har inte närmare berörts i personuppgiftslagens förarbeten,3men termen ”känsliga uppgifter” har använts i den tidigare datalagens förarbeten för att beteckna uppgifter med särskilt skyddsvärde.4

Dataskyddsutredningen har i sitt förslag valt att behålla den inarbetade termen ”känsliga personuppgifter”, särskilt i ljuset av att den fått visst fäste även på europeisk nivå, se t.ex. dataskyddsförordningens skäl 10 samt den s.k. artikel 29-gruppens Advice paper on special categories of data (“sensitive data”).5 Eftersom vårt uppdrag i denna del är att analysera behovet av kompletterande bestämmelser utöver vad bl.a. Dataskyddsutredningen kommer att föreslå har vi valt att använda Dataskyddsutredningens terminologi i denna del, även om förordningens direkta tillämplighet medför att rättstillämpningen måste hantera två olika termer för samma begrepp. Med ”känsliga personuppgifter” avses således detsamma som dataskyddsförordningen avser med ”särskilda kategorier av personuppgifter”.

2 I sammanhanget bör nämnas att skäl 34 till direktivet använder termen ”känsliga kategorier av uppgifter” för att avse uppgifter på områden som exempelvis folkhälsa och socialskydd. Även skäl 70 till direktivet använder termen ”känsliga uppgifter”, dock utan närmare förklaring till vad som avses. 3 Jfr SOU 1997:39 och prop. 1997/98:44. 4Prop. 1973:33 s. 121 f. 5 Jfr SOU 2017:39, avsnitt 10.2.

7.2. Rättsliga förutsättningar

7.2.1. Nuvarande reglering

Utgångspunkten i det nuvarande dataskyddsdirektivet är enligt artikel 8.1 att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

I artikel 8.2–8.4 finns det sedan undantag från förbudet att behandla känsliga personuppgifter. Artikel 8.2 a innehåller ett undantag för när den registrerade lämnat sitt uttryckliga samtycke till sådan behandling utom när det enligt medlemsstatens lagstiftning anges att förbudet inte kan upphävas genom den registrerades samtycke. Artikel 8.4 tillåter medlemsstaterna att besluta om andra undantag under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. Att kunna genomföra samhällsintressant forskning anses utgöra ett sådant viktigt allmänt intresse.6

När dataskyddsdirektivet infördes i svensk rätt genom personuppgiftslagen (1998:204) fanns inte någon reglerad verksamhet med etikprövningsnämnder. Enligt den ursprungliga lydelsen av 19 § personuppgiftslagen fick känsliga personuppgifter behandlas för forsknings- och statistikändamål, om behandlingen var nödvändig på sätt som sägs i 10 § samma lag och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Det infördes en legaldefinition av forskningsetikkommitté i personuppgiftslagen, vilken anknöt till ett existerande system för forskningsetisk granskning.7Bestämmelsen i 19 § personuppgiftslagen utformades så att det fanns en presumtion för att ett godkännande av personuppgiftsbehandlingen från en sådan kommitté också innebar att samhällsintresset av forskningsprojektet klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära (avvägningsnormen).

Enligt 9 § fjärde stycket personuppgiftslagen fick (och får) personuppgifter som behandlas för bl.a. vetenskapliga ändamål användas

6Prop. 1997/98:44 s. 68. 7 A.a. s. 71.

för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt förarbetena till personuppgiftslagen utgjorde denna regel en sådan skyddsåtgärd som avsågs i direktivets artikel 8.4. Även befintliga regler om sekretess och tystnadsplikt ansågs utgöra lämpliga skyddsåtgärder.8

Det system som reglerades i den ursprungliga lydelsen av 19 § personuppgiftslagen, med en frivillig godkännandeprocess genom en oberoende part i form av en forskningsetisk kommitté, benämndes dock inte i detta skede uttryckligen som en skyddsåtgärd i direktivets mening. Enligt förarbetena till personuppgiftslagen var det i första hand den personuppgiftsansvarige som hade att på eget ansvar tillämpa avvägningsnormen.9 I de fall där granskning av en forskningsetisk kommitté inte kommit till stånd infördes i stället ett krav i personuppgiftsförordningen (1998:1191) att behandlingen måste anmälas för förhandskontroll till Datainspektionen senast tre veckor i förväg.10

För undantag från förbudet att behandla känsliga personuppgifter för forskningsändamål krävdes vidare att behandlingen skulle vara nödvändig enligt 10 § personuppgiftslagen. Nödvändighetskravet i 10 § går ut på att behandlingen ska vara nödvändig för att t.ex. en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan utgöra ett sådant allmänt intresse.11

I samband med inrättandet av etikprövningsnämndsinstitutet och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ändrades reglerna i 19 § personuppgiftslagen på så sätt att känsliga personuppgifter får behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen. Därmed försvann forskarens möjlighet att själv tillämpa avvägningsnormen.12

Genom en senare lagändring innefattades även behandling av känsliga personuppgifter för forskningsändamål med den registrerades samtycke i etikprövningslagens tillämpningsområde. Det faktum att personerna själva hade haft möjlighet att ta ställning till behand-

8Prop. 1997/98:44 s. 68. 9 A.a. s. 127. 10Prop. 2002/03:50 s. 62. 11SOU 1997:39 s. 296 samt prop. 1997/98:44 s. 68 och 124. 12Prop. 2002/03:50 s. 173.

lingen av personuppgifterna utgjorde enligt regeringens bedömning inte tillräcklig grund för att undandra forskningen från den kontroll som en etikprövning innebar.13

Rättspraxis

Frågan om behandling av känsliga personuppgifter för just forskningsändamål, och följdfrågor om lämpliga skyddsåtgärder, har inte varit föremål för domstolsavgöranden i högre instanser. Praxis från EU-domstolen ger dock viss vägledning i hur begreppet känsliga personuppgifter ska tolkas.14

I mål C-101/01 (konfirmandlärarmålet) klargjordes bl.a. att uttrycket ”uppgifter som rör hälsa” ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa, och att en uppgift om att en person har skadat sin fot och är halvt sjukskriven utgör en personuppgift om hälsa.

I mål T-190/10 uttalade domstolen att ett påstående om att en person arbetat för en viss europaparlamentsledamot inte visats avslöja denna persons politiska åsikter.15 Detta mål rörde inte tillämpningen av det nuvarande dataskyddsdirektivet, utan den förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Bedömningen av huruvida den aktuella uppgiften utgjorde en uppgift om en persons politiska åsikter torde dock vara tillämplig även för det nuvarande dataskyddsdirektivet, utifrån skäl 11–14 i den aktuella förordningen.

I mål F-46/09, som rörde en anställningsansökan till Europaparlamentet, avhandlades bl.a. överföring av medicinska uppgifter till tredje man utan den registrerades samtycke. Domstolen fann att parlamentets intresse av att försäkra sig om att den person som anställs kommer att klara av att utföra de arbetsuppgifter som han eller hon anförtros ska vägas mot hur allvarligt intrånget i den berörda personens rätt till respekt för privatlivet är, och att parlamen-

13Prop. 2007/08:44 s. 24 f. och 51. 14 Då EU-domstolen i sina domskäl förhåller sig till det nuvarande dataskyddsdirektivet så används termen ”särskilda kategorier av personuppgifter”. 15 T-190/10, punkt 101.

tet kunde ha fullgjort sin uppgift på något annat sätt som hade varit mindre kränkande för sökandens grundläggande rättigheter.16

EU-domstolens praxis är inte heltäckande i frågan hur känsliga personuppgifter ska hanteras. Med vägledning från ovanstående kan man dock dra slutsatsen att begreppet, åtminstone vad gäller uppgifter om hälsa, ska ges en vid tolkning, och att man, även med ett legitimt intresse att behandla känsliga personuppgifter, som vid all personuppgiftsbehandling måste överväga möjliga mindre integritetskränkande sätt att tillgodose ett sådant intresse.

7.2.2. Dataskyddsförordningen

Även enligt dataskyddsförordningen är huvudregeln i artikel 9.1 att behandling av känsliga personuppgifter är förbjuden. Från den huvudregeln finns sedan i artikel 9.2 en lång rad undantag, där framför allt 9.2 a, g och j kan vara relevanta för forskningsändamål.

Behandling med stöd av samtycke

Det första av dessa undantag (artikel 9.2 a) anger att behandling får ske om den registrerade lämnat sitt uttryckliga samtycke för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade. I sammanhanget bör uppmärksammas förordningens skäl 43 som, även om det inte är bindande likt artikel 9.2 a,17 understryker att ett samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Se vidare avsnitt 6.4.2.

16 F-46/09, punkt 124–125. 17 Se bilaga 3 för en översiktlig beskrivning av skillnaderna mellan skäl och artiklar.

Nödvändig behandling av hänsyn till ett viktigt allmänt intresse

Ett annat undantag från förbudet att behandla känsliga personuppgifter finns i artikel 9.2 g i dataskyddsförordningen, som möjliggör behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätt eller medlemsstaternas nationella rätt.

Personuppgiftsbehandling för forskningsändamål har vanligen sin rättsliga grund i artikel 6.1 e, eftersom forskning anses vara en uppgift av allmänt intresse. Frågan uppstår därför om behandling av känsliga personuppgifter för forskningsändamål i vissa fall kan anses vara nödvändig av hänsyn till ett viktigt allmänt intresse och därför tillåten med stöd av lagstiftning enligt artikel 9.2 g.

Som redovisats ovan har det nuvarande dataskyddsdirektivet en liknande utformning i artikel 8.4, där behandling av känsliga personuppgifter kan tillåtas med stöd av nationell lagstiftning eller genom beslut av tillsynsmyndigheten, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. Det är med stöd av denna bestämmelse som 19 § personuppgiftslagen har införts.

Med tanke på att det i dataskyddsförordningens artikel 9.2 j finns en mer specialiserad bestämmelse som avser just behandling för bl.a. forskningsändamål gör vi bedömningen att nationell lagstiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål ska anses göra det med stöd av den bestämmelsen, inte artikel 9.2 g. Artikel 9.2 j behandlas i det nedanstående. Det bör dock understrykas att bägge dessa bestämmelser ställer upp samma funktionella krav på sådan nationell lagstiftning.

Nödvändig behandling för forskningsändamål

För forskning finns som ovan redovisats ett ytterligare undantag av betydelse i artikel 9.2 j, som anger att förbudet mot behandling av känsliga personuppgifter inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål och sker i enlighet med artikel 89.1. Behandlingen ska vidare ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Artikel 9.2 j ställer alltså upp en rad

villkor för sådan nationell lagstiftning som kan innehålla undantag från huvudregeln om att behandling av känsliga personuppgifter är förbjuden.

Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Artikeln framhåller vidare pseudonymisering som en sådan åtgärd, och anger att om forskningsändamålen går att uppfylla utan uppgifter som medger identifiering av de registrerade så ska dessa ändamål uppfyllas på det sättet. Uppgifter som inte medger identifiering får enligt utredningen anses vara samma typ av information som i skäl 26 omnämns ”anonym information”, och omfattas alltså inte av förordningen.

Det är en förutsättning för laglig behandling av känsliga personuppgifter för forskningsändamål att det föreligger ett giltigt undantag enligt artikel 9.2 j, och att behandlingen även omfattas av sådana skyddsåtgärder m.m. som krävs enligt artikel 89.1. Behandlingen måste, som all personuppgiftsbehandling för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5,18 och det måste finnas en rättslig grund för behandlingen enligt artikel 6.

7.2.3. Dataskyddsutredningens förslag

Av utredningens direktiv framgår bl.a. följande:

Som nämnts tidigare finns det i personuppgiftslagen vissa undantagsbestämmelser från förbudet mot att behandla känsliga personuppgifter. […] I direktiven för Dataskyddsutredningen (dir. 2016:15) konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgiftslagen. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.19

18 För bl.a. forskningsändamål finns dock vissa undantag vad gäller principerna om ändamålsbegränsning och lagringsminimering. 19 Dir 2016:65, s. 10 f.

Dataskyddsförordningens krav på stöd i nationell rätt samt samtycke

Dataskyddsutredningen föreslår i den generella regleringen, angående undantag från förbudet att behandla känsliga personuppgifter, i huvudsak följande. Förordningens krav på stöd i nationell rätt20bör tolkas som att vissa av undantagen i sig ska föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Detta särskilt utifrån skäl 52:

Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta.

Vidare föreslår Dataskyddsutredningen att den registrerades samtycke även fortsättningsvis bör medföra att känsliga personuppgifter får behandlas.

Viktiga allmänna intressen och sökbegrepp som avslöjar känsliga personuppgifter

Angående möjligheten i artikel 9.2 g att göra undantag för viktiga allmänna intressen föreslår Dataskyddsutredningen att ett generellt undantag ska införas som tillåter myndigheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det eller om uppgifter har lämnats till myndigheten och behandlingen krävs enligt annan lag.

Dessutom ska myndigheter få behandla känsliga personuppgifter om behandlingen är absolut nödvändig för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Dock föreslås ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter införas.

Enligt förslaget kommer regeringen att kunna meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

20 Detta torde främst röra sig om artikel 9.2 b, g, h, i, j samt 9.3.

7.3. Behandling av känsliga personuppgifter

7.3.1. Gränsdragningen mellan känsliga och övriga personuppgifter

Dataskyddsförordningen förutsätter att det går att avgöra om en viss uppgift är känslig eller inte. Om uppgiften avslöjar vissa i artikel 9.1 angivna förhållanden är den känslig och ytterligare reglering i förordningen blir tillämplig. En praktisk svårighet med denna avgränsning är att en viss uppgift, som i isolation inte avslöjar ett sådant förhållande, ändå tillsammans med andra uppgifter sammantaget kan avslöja sådana förhållanden som gör att det är fråga om en känslig uppgift.

Med stora datamängder ökar förstås denna möjlighet. Inte minst möjligheten att göra förutsägelser om en persons förhållanden gör att gränsdragningen mellan vanliga och känsliga uppgifter blir oklar, särskilt i s.k. ”big data”-sammanhang.21

När det gäller frågan om huruvida en viss uppgift alls utgör en personuppgift ska man beakta om den avser en fysisk person som direkt eller indirekt går att identifiera. Detta leder till att en sammanställning av olika uppgifter, som var och en för sig inte utgör personuppgifter, tillsammans ändå kan identifiera en viss fysisk person. Konstellationen av uppgifter utgör därmed personuppgifter.

När det däremot gäller gränsdragningen mellan ”övriga” och känsliga personuppgifter återfinns inte någon skrivning om huruvida uppgiften ”direkt eller indirekt” avslöjar något av de i artikeln angivna förhållandena. I svensk rätt har det dock i flera fall ansetts att uppgifter i kombination har utgjort känsliga personuppgifter.22

Denna svårighet att avgöra om en samling personuppgifter utgör eller kan avslöja känsliga uppgifter kan förväntas vara särskilt relevant i forskningssammanhang, särskilt när forskningen undersöker samband mellan olika variabler.

21 Se särskilt SOU 2016:41, s. 576 ff. 22 Se exempelvis SOU 2001:100 s. 93 (språkkunskaper i kombination med namn kan avslöja etnisk härkomst) och prop. 2008/09:70 s. 142 (passhandlingar innehåller bild som i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung).

7.3.2. Krav på lagstiftning om undantag

Det nuvarande dataskyddsdirektivet innehåller, som framkommit ovan, ingen uttrycklig reglering av undantag från förbudet att behandla känsliga personuppgifter för forskningsändamål. I stället har den svenska regleringen använt sig av möjligheten till undantag enligt artikel 8.4, som förutsätter hänsyn till ett viktigt allmänt intresse, samt lämpliga skyddsåtgärder för att medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten ska få besluta ett sådant undantag.

Dataskyddsförordningen ger däremot en explicit möjlighet till undantag för behandling av känsliga personuppgifter för forskningsändamål i artikel 9.2 j, under förutsättning att behandlingen är nödvändig för forskningsändamål och att den sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Dataskyddsförordningens krav på den nationella lagstiftningen för att motsvarande behandling ska vara tillåten är således betydligt mer detaljerade än det nuvarande dataskyddsdirektivet. Det saknas även möjligheter för tillsynsmyndigheten att i enskilda fall besluta om undantag. Det är därför nödvändigt att göra en förutsättningslös bedömning av vad som krävs för att uppfylla förordningens krav, utan att förlita sig på den nuvarande nationella lagstiftningens förenlighet med nuvarande dataskyddsdirektiv.

Krav i artikel 9.2 j i dataskyddsförordningen

Artikel 9.2 har i relevanta delar följande lydelse:

2. Punkt 1 ska inte tillämpas om något av följande gäller: […]

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Första delen av vår bedömning utgår från hur artikel 9.2 j är formulerad, och går igenom varje led i den formuleringen för sig. Varje underrubrik i det följande motsvarar ett led i artikel 9.2 j.

Behandlingen är nödvändig

Begreppet ”nödvändig” i det nuvarande dataskyddsdirektivet har tolkats som att det, för att en behandling ska anses nödvändig, inte krävs att det ska vara faktiskt omöjligt att underlåta behandlingen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna.23 Begreppets användning i dataskyddsförordningens artikel 6.1 har analyserats i avsnitt 5.2.2. Utredningen har inte funnit något som tyder på att begreppet ska tolkas annorlunda i det nu aktuella sammanhanget. Det torde således inte finnas någon anledning att anta att begreppet skulle ha någon annan innebörd i dataskyddsförordningen.

För vetenskapliga eller historiska forskningsändamål

En utgångspunkt för bedömningen av vad som utgör forskningsändamål är skäl 159 i dataskyddsförordningen, som bl.a. anger att behandling av personuppgifter för vetenskapliga forskningsändamål i denna förordning bör ges en vid tolkning. För utredningens bedömning av vad som utgör forskningsändamål hänvisas till kapitel 3 om begreppen forskning och forskningsändamål.

På grundval av unionsrätten eller medlemsstaternas nationella rätt

Med ”medlemsstaternas nationella rätt” bedömer vi, i enlighet med Dataskyddsutredningen, att detta kräver att undantagen föreskrivs i nationell rätt (jfr skäl 52).

23SOU 1997:39 s. 362.

Som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd

Dessa kriterier torde inte ha någon självständig betydelse, utan utgör just en allmän påminnelse om proportionalitetsprincipen samt att nationell rätt måste vara förenlig med unionsrätten och vikten av detta i bedömningen av undantag reglerade i nationell rätt. Frågan om den föreslagna regleringens proportionalitet behandlas i kapitel 13.

Samt innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen

Ett föreskrivet undantag från huvudregeln att behandling av känsliga personuppgifter är förbjuden måste förses med skyddsåtgärder. Av artikelns sista led följer att dessa skyddsåtgärder måste föreskrivas i unionsrätten eller i den nationella rätten. Den enda skyddsåtgärd som regleras i dataskyddsförordningen i någon närmare utsträckning är pseudonymisering, som definieras i artikel 4.5.

Med åtgärder kan förstås såväl tekniska som organisatoriska åtgärder samt det som vi betecknar som rättsliga skyddsåtgärder, exempelvis lagkrav på etikprövning eller sekretessbestämmelser. Eftersom kravet är att åtgärderna ska finnas reglerade i författning är utgångspunkten att det är fråga om åtgärder i form av sådana rättsliga skyddsåtgärder, men att dessa i sin tur kan medföra krav på tekniska och organisatoriska åtgärder. Dessa åtgärder behandlas mer ingående i kapitel 12.

Krav i artikel 89.1

Artikel 89.1 har följande lydelse:

1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

De skyddsåtgärder som krävs av artikel 89.1 behöver enligt artikelns lydelse inte införas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.

Kravet på skyddsåtgärder gäller behandling av alla kategorier av personuppgifter för forskningsändamål, inte bara känsliga personuppgifter. Att det dessutom finns en hänvisning till dessa krav från artikel 9.2 j torde inte ha en självständig betydelse, utan i stället utgöra en påminnelse om att dessa krav är grundläggande för all personuppgiftsbehandling för forskningsändamål. Varje underrubrik i det följande motsvarar ett led i artikel 89.1.

Behandling ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter

Kraven på skyddsåtgärderna är i första hand att de ska vara lämpliga, och att de är till just för att skydda den registrerades grundläggande rättigheter och friheter. I detta sammanhang kan då särskilt uppmärksammas att vissa specifika rättigheter i artiklarna 15–18 samt 21 kan inskränkas just för forskningsändamål, enligt artiklarna 89.2 samt 17.3 d. Undantagen får dock inte medföra att lämpliga skyddsåtgärder inte tillämpas.

Vad gäller lämplighetsbedömningen ställer artikel 32.1 upp ett antal kriterier för säkerställande av lämplig säkerhetsnivå, bl.a. utifrån de risker som behandlingen medför. Dessa behandlas närmare i kapitel 12.

Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas

Principen om uppgiftsminimering framgår av artikel 5.1 c och fastställer att uppgifter som inte behöver behandlas för det definierade ändamålet inte heller ska behandlas. Det framgår även vidare av artikel 25.2 att den personuppgiftsansvarige generellt ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. I forsknings-

sammanhang kan det emellertid vara svårt att på förhand avgränsa den mängd uppgifter som är adekvata och relevanta. I sammanhanget bör påpekas att det för bl.a. forskningsändamål går att göra undantag från den närliggande principen om lagringsminimering enligt artikel 5.1 e, under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs.

Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet

Detta krav framhåller pseudonymisering som skyddsåtgärd på ett sådant sätt att det finns anledning att i nationell reglering särskilt föreskriva att pseudonymisering ska övervägas. Meningens andra led tydliggör dock att pseudonymisering inte behöver användas om forskningsändamålet inte kan uppfyllas med en sådan skyddsåtgärd. I avsnitt 12.3.3 beskrivs pseudonymisering närmare, bl.a. i vilka fall användandet av denna skyddsåtgärd kan försvåra eller omöjliggöra forskning.

När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet

Det avslutande kravet i artikel 89.1 får anses vara en påminnelse om nödvändighetskravet i artikel 6.1 e och 9.2 j, eftersom behandlingen av personuppgifter inte kan anses nödvändig om ändamålet kan uppnås med uppgifter som inte längre medger identifiering.

När forskningsändamålet kan uppnås genom behandling av uppgifter som inte längre medger identifiering är det, enligt skäl 26, fråga om anonym information, och alltså inte längre fråga om personuppgiftsbehandling. I sammanhanget kan uppmärksammas att artikel 89.1 är det enda stället i förordningen där ”further processing” översätts med ”vidare behandling” i den svenska versionen. I övriga delar av förordningen översätts samma uttryck med ”ytterligare behandling” (jfr exempelvis artikel 5.1 b).

7.4. Överväganden och förslag

7.4.1. Tillåten behandling av känsliga personuppgifter

Utredningens förslag: En bestämmelse ska införas i forsknings-

datalagen som anger att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor.

Som framgått behövs det kompletterande reglering i nationell rätt för att behandling av känsliga personuppgifter för forskningsändamål ska vara möjlig.

Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan behandling när denna är nödvändig för att uppnå ändamålet. Med nödvändig behandling avses detsamma som i dataskyddsförordningens artikel 9.2 j.

Dataskyddsförordningen anger vidare att sådan nationell reglering ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Utredningens bedömning av lämplig och särskild skyddsåtgärd för behandling av känsliga personuppgifter för forskningsändamål behandlas i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehandling för forskningsändamål.

7.5. Sammanfattning

I detta avsnitt har vi behandlat känsliga personuppgifter, dess betydelse i forskningssammanhang och dataskyddsförordningens krav på lagstiftning som tillåter behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en generell tillåtlighetsregel när känsliga personuppgifter behandlas för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.

8. Personuppgifter om lagöverträdelser m.m.

8.1. Inledning

I artikel 10 i dataskyddsförordningen (EU 2016/679) regleras ”personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Motsvarande term i det nuvarande dataskyddsdirektivet (95/46/EG) finns i artikel 8.5 och lyder ”uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder”. Det framgår inte om någon saklig skillnad är avsedd i förordningen jämfört med direktivet. Skillnaden i de engelska språkversionerna är ännu mindre, ”personal data relating to criminal convictions and offences or related security measures” respektive ”data relating to offences, criminal convictions or security measures”. Sverige har lämnat in en begäran om rättelse av den svenska språkversionen av dataskyddsförordningen till rådet, där “överträdelser” föreslås ersättas av “lagöverträdelser som innefattar brott”. Någon rättelse har i nuläget inte skett.

Dataskyddsdirektivets bestämmelser har genomförts genom 21 § personuppgiftslagen (1998:204), som under rubriken ”Uppgifter om lagöverträdelser m.m.” anger ”personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden”.

Vi har i det nedanstående valt att använda oss av en förtydligande variant av den beteckning som används i personuppgiftslagen, nämligen ”personuppgifter om lagöverträdelser m.m.”

Vad gäller den nuvarande svenska regleringen infördes ”administrativa frihetsberövanden” i begreppet med stöd av direktivets möjlighet i artikel 8.5 för medlemsstater att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också

ska behandlas under kontroll av en myndighet. Vi återkommer nedan till vilket utrymme förordningen ger för en liknande reglering.

8.2. Rättsliga förutsättningar

8.2.1. Nuvarande reglering

Behandling av personuppgifter om lagöverträdelser m.m. regleras i dag i 21 § personuppgiftslagen, som har följande lydelse:

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

När dataskyddsdirektivet införlivades i svensk rätt genom personuppgiftslagen fanns det ursprungligen en möjlighet när det gällde behandling av känsliga personuppgifter för forskningsändamål för forskare att själva tillämpa en avvägning mellan värdet av forskningen och intrånget i den enskildes integritet (avvägningsnormen). Känsliga personuppgifter fick behandlas för forsknings- och statistikändamål, om behandlingen var nödvändig på sätt som sägs i 10 § personuppgiftslagen och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Hade behandlingen godkänts av en forskningsetikkommitté skulle de angivna förutsättningarna anses vara uppfyllda. Motsvarande möjlighet fanns inte för uppgifter om lagöverträdelser m.m., utan i stället infördes ett bemyndigande för regering och tillsynsmyndighet att meddela undantag från förbudet för andra än myndigheter att behandla sådana uppgifter, antingen i föreskriftsform eller

genom beslut om enskilda behandlingar.1 Lagens förarbeten tog inte upp frågan om behandling av sådana uppgifter för forskningsändamål.

Någon förändring ägde inte rum i samband med att etikprövning infördes vad gäller personuppgiftslagens reglering för personuppgifter om lagöverträdelser m.m. För känsliga personuppgifter ändrades regleringen så att ett godkännande enligt etikprövningslagen i sig utgjorde tillräcklig grund för att behandla sådana uppgifter. Däremot innehöll den nya etikprövningslagen en bestämmelse i 3 § som angav att lagen var tillämplig på uppgifter om lagöverträdelser m.m. För att behandla sådana uppgifter för forskningsändamål utan den registrerades samtycke krävdes därmed dels ett tillämpligt undantag meddelat av regeringen eller tillsynsmyndigheten, dels ett godkännande enligt etikprövningslagen.2

När etikprövningslagen ändrades år 2008 infördes en bestämmelse i 21 § personuppgiftslagen som tog bort dessa dubbla krav och innebar att personuppgifter om lagöverträdelser m.m. fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen.3 Detta motiverades av att forskningshuvudmän som inte är myndigheter inte skulle behöva såväl beslut av regering eller tillsynsmyndighet om undantag som godkännande från etikprövningsnämnd. I sammanhanget uttalades även att etikprövning fick anses uppfylla direktivets krav på tillräckliga skyddsåtgärder, och att det därför inte också behövdes ett särskilt undantagsbeslut från regering eller tillsynsmyndighet.4

Rättspraxis

EU-domstolen har inte särskilt behandlat dataskyddsdirektivets artikel 8.5. Svenska domstolar har i några fall berört frågor om behandling av uppgifter om lagöverträdelser m.m. I HFD 2014:32 rörde frågan domstols publicering av uppropslistor i bl.a. brottmål på internet. I NJA 2015 s. 180 var fråga om privat behandling av uppgifter om brott. Slutligen berördes i HFD 2016:8 tillsynsmyndig-

1Prop. 1997/98:44 s. 73 f. 2Prop. 2002/03:50 s. 102 och 112. 3 Lag (2008:187) om ändring i personuppgiftslagen (1998:204). 4SOU 2005:78 s. 70 f. (det är dock värt att notera att direktivet ställer kravet att skyddsåtgärder ska vara ”lämpliga och särskilda”, inte ”tillräckliga”).

hetens möjlighet att meddela undantag från förbud att behandla uppgifter om lagöverträdelser. Inget av dessa mål tar dock särskilt sikte på behandling av uppgifter om lagbrott för just forskningsändamål. Sammanfattningsvis har svenska domstolar tolkat det tillåtna utrymmet för behandling av uppgifter om lagöverträdelser m.m. relativt snävt.

8.2.2. Dataskyddsförordningen

Personuppgifter om lagöverträdelser m.m. regleras i dataskyddsförordningens artikel 10, som har följande lydelse:

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Skäl 97 i dataskyddsförordningen anger bl.a. att när den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning.

Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling för forskningsändamål är möjliga i nationell lagstiftning, precis som alla andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda.

Behandlingen måste dock alltjämt, som vid all behandling av personuppgifter för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5, och det måste finnas en rättslig grund för behandlingen enligt artikel 6.

En viktig begränsning av dataskyddsförordningens definition, jämfört med det nuvarande dataskyddsdirektivet, är att endast fällande domar i brottmål omfattas. Friande domar i brottmål faller

därmed utanför definitionen. I praktiken synes det dock vanskligt att dra en sådan gräns. Uppgifter som förekommer i en friande brottmålsdom kan ofta fortfarande utgöra uppgifter om överträdelser, exempelvis i de fallen där den friande domen bygger på att preskription inträtt.

Dataskyddsdirektivet inkluderar ”lagöverträdelser” i definitionen, medan dataskyddsförordningen endast hänvisar till ”överträdelser”. Någon förändring i sak torde dock inte vara avsedd.5 I svensk rätt har faktiska iakttagelser av en persons handlande inte ansetts utgöra uppgifter om lagöverträdelser,6 men däremot uppgifter om misstankar i de fall som ligger nära faktiska iakttagelser.7

För att forskningsaktörer som inte är myndigheter alls ska kunna behandla uppgifter om lagöverträdelser m.m. för forskningsändamål måste alltså detta tillåtas i unionsrätten eller nationell rätt.

8.2.3. Regleringen i 2016 års dataskyddsdirektiv

Personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten är undantagna från dataskyddsförordningens tillämpningsområde.8 För sådan behandling är i stället 2016 års dataskyddsdirektiv tillämpligt.9 Direktivet får betydelse för forskningen eftersom det kommer vara direktivet som styr hur dessa myndigheter får lämna ut uppgifter för forskningsändamål. Den utredning (Ju 2016:06) som tillsattes för att föreslå hur detta direktiv ska genomföras i svensk rätt har bl.a. haft i uppdrag att lämna förslag till en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde.10 Utredningen överlämnade betänkandet Brottsdatalag (SOU 2017:29) till regeringen den 5 april 2017.

5SOU 2017:39 avsnitt 11.3. 6SOU 1997:39 s. 380. 7 Datainspektionens beslut 2005-08-30, dnr 1020-2005 och 2011-05-11, dnr 1563-2010, se även HFD 2016:8. 8 Se artikel 2.2 d i dataskyddsförordningen. 9 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 10 Dir. 2016:21.

8.2.4. Dataskyddsutredningens förslag

Av våra direktiv framgår bl.a. följande:

Dataskyddsutredningen har i uppdrag att analysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.11

Dataskyddsutredningen har gjort bedömningen att den möjlighet för regering eller tillsynsmyndighet att meddela undantag från förbudet att behandla uppgifter om lagöverträdelser m.m. som i dag finns i 21 § tredje och fjärde stycket personuppgiftslagen ska kvarstå.

Dataskyddsutredningen har vidare gjort bedömningen att det inte finns stöd i förordningen för att föreskriva ett förbud för andra än myndigheter mot behandling av personuppgifter om administrativa frihetsberövanden. Sådana uppgifter ingår i dag i tillämpningsområdet för 21 § personuppgiftslagen.

8.3. Kraven på behandlingen och lagstiftningen

Vi analyserar i denna del de krav som framställs i dataskyddsförordningens artikel 10, led för led. Varje underrubrik i det följande motsvarar ett led i artikel 10.

Får endast utföras under kontroll av myndighet

I förarbetena till motsvarande bestämmelser i personuppgiftslagen uttalades bl.a. att myndigheter mycket ofta behöver hantera uppgifter om lagöverträdelser m.m. för att kunna fullgöra de samhällsuppdrag som lagts på dem, och att myndigheter får hantera denna typ av uppgifter i sådan mån som framgår av de föreskrifter som reglerar respektive myndighets verksamhet.12 Det framgår inte från förordningen att tillåten behandling är begränsad till behandling i samband med myndighetsutövning. Vår bedömning är därför att behandling även för forskningsändamål under kontroll av myndighet kan falla in under tillåten behandling enligt huvudregeln. Som alltid gäller dock att kraven i både artikel 5 och 6 måste vara uppfyllda.

11 Dir. 2016:65 s. 11. 12SOU 1997:39 s. 382.

Eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt

Motsvarande reglering finns i artikel 8.5 i nuvarande dataskyddsdirektivet, men direktivet ger endast möjlighet att föreskriva tillåten behandling i nationell rätt.

Där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Motsvarande formulering i artikel 8.5 i dataskyddsdirektivet är ”som innehåller lämpliga och specifika skyddsåtgärder”. Det framgår inte om ändringen från ”lämpliga och specifika” till endast ”lämpliga” är avsedd att utgöra någon reell skillnad. Frågan om direktivets ramar för undantag utreddes inte särskilt inför införandet av personuppgiftslagen.13

Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet

Begränsningen av möjligheten till undantag vad gäller förbudet för annan än myndighet att föra fullständigt register över fällande domar i brottmål är i princip oförändrat jämfört med nuvarande dataskyddsdirektiv.14 Det framgår inte på vilket sätt ett register kan vara fullständigt – är ett register som har fällande brottmålsdomar för samtliga domstolar i medlemsstaten under en begränsad tidsperiod ”fullständigt” i förordningens betydelse, eller hur mycket historisk information krävs? Är ett register över samtliga överinstansers fällande brottmålsdomar fullständigt, eller krävs även samtliga underinstanser? Vad gäller svenska förhållanden finns ingen myndighet som har ett fullständigt register om man kräver fullständighet både vad gäller tidsperioder och instanser. Däremot strävar flera kommersiella rättsinformationsdatabaser efter att erbjuda samtliga domar.15

13SOU 1997:39 s. 381. 14 Lydelsen i artikel 8.5 i nuvarande dataskyddsdirektiv är ”Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet” – jämfört med artikel 10 i dataskyddsförordningen har endast ordet ”dock” strukits. 15 Pressmeddelande från InfoTorg: ”Förutom att tjänsten innehåller samtliga domar från de högsta instanserna samt hovrätts- och kammarrättsavgöranden kommer InfoTorg Juridik att under våren 2012 utökas med fler domar från tingsrätterna. Vi får en totalteckning på även brott- och tvistemål vilket är mycket efterfrågat.”, www3.infotorg.se/Kampanjer/Forbattringar-i-InfoTorg-Juridik-2012/

I sammanhanget kan även uppmärksammas ”Rådets slutsatser om uppmaning att införa European Case Law Identifier (ECLI) och en minimiuppsättning enhetliga metadata för rättspraxis”,16som bl.a. förordar att ett gemensamt gränssnitt i den europeiska e-juridikportalen införs, och att det via detta gränssnitt ska vara möjligt att göra alla medlemsstaternas tillhandahållna rättsliga avgöranden sökbara.17

8.4. Överväganden och förslag

Utredningens förslag: En bestämmelse ska införas i forsknings-

datalagen som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen om etikprövning av forskning som avser människor.

Som framgått behövs kompletterande reglering i nationell rätt för att behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål av andra än myndigheter ska vara möjlig.

Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan behandling när denna är nödvändig för att uppnå forskningsändamålet. Artikel 10 innehåller inte något krav på att behandlingen ska vara nödvändig, detta följer dock av artikel 6.1 e.

Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Utredningens bedömning av lämplig skyddsåtgärd för behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål behandlas i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehandling för forskningsändamål.

Tillämpningsområdet för artikel 10 är, som ovan beskrivits, snävare än för nuvarande reglering i 21 § personuppgiftslagen.

16 Detta inkluderar bl.a. uppgifter om domstolens fullständiga namn, territoriell behörighet, avgörandedatum, språk, och typen av avgörande. 17 EUT C 127, 29.4.2011, s. 1–7, punkt 17.

Framför allt faller friande domar i brottmål samt uppgifter om administrativa frihetsberövanden utanför tillämpningsområdet för artikel 10. Att i vår kompletterande reglering till dataskyddsförordningen använda tillämpningsområdet för artikel 10 innebär att behandling av vissa personuppgifter som i dag omfattas av särskilda skyddsåtgärder enligt 21 § personuppgiftslagen inte är förenade med samma skydd. Vi anser inte att en sådan försämring av den registrerades skydd är befogat, även med beaktande av intresset av en harmoniserad reglering av persondataskyddet. Vi anser vidare att det går att införa krav på sådana särskilda skyddsåtgärder även för behandling av uppgifter som faller utanför tillämpningsområdet för artikel 10, med stöd av nationell rätt i form av etikprövningslagen, se utredningens överväganden och förslag i avsnitt 14.4.5.

8.5. Sammanfattning

I detta avsnitt har vi behandlat personuppgifter om lagöverträdelser m.m., hur detta begrepp har förändrats gentemot dagens reglering, och vilka förutsättningar som gäller för forskning som innefattar behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en tillåtlighetsregel när sådana personuppgifter behandlas av andra än myndigheter för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.

9. Personnummer och samordningsnummer

9.1. Inledning

Personnummer eller samordningsnummer utgör formellt sett inte känsliga personuppgifter, men har ända sedan datalagen (1973:289) specialreglerats i samband med personuppgiftsbehandling. Regeringen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samkörning av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.1

För forskningens behov har personnummersystemet möjliggjort inte minst avancerad registerforskning med exempelvis insamlat forskningsmaterial, som tack vare personnummer kan kombineras med information från myndighetsregister, och historiska uppgifter som kan användas för nytillkomna frågeställningar med tillförande av ny information insamlad från de registrerade. Viktiga frågeställningar kan därmed belysas snabbt och kostnadseffektivt med hjälp av redan insamlat material.2 Samtidigt har det utvecklats en praxis som innebär att personnummerhantering omgärdas av omfattande skyddsåtgärder, med registerhållande myndigheter som ofta undviker att lämna ut personnummer direkt till forskare, för att i stället ersätta dessa med exempelvis löpnummer eller andra identifierare som inte kan härledas till personnumret.

1Prop. 1990/91:60 s. 69. 2SOU 2014:45 s. 103.

9.2. Rättsliga förutsättningar

9.2.1. Nuvarande reglering

Det nuvarande dataskyddsdirektivet (95/46/EG) innehåller inte några regler om personnummer eller samordningsnummer som är tvingande för medlemsstaterna. Artikel 8.7 i dataskyddsdirektivet anger dock att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller andra vedertagna identifierare får behandlas.

Artikel 8.7 har genomförts genom 22 § personuppgiftslagen (1998:204), som anger att personnummer eller samordningsnummer endast får behandlas med samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Regeringen har i 50 § c samma lag bemyndigats att meddela närmare föreskrifter om hur och när personnummer eller samordningsnummer får behandlas.

Det saknas särskild reglering kring behandling av personnummer för just forskningsändamål. Personnummer är inte heller en kategori av uppgifter som enligt 3 § lagen (2003: 460) om etikprövning av forskning som avser människor (etikprövningslagen) medför särskilt krav på etikprövning när personuppgifter behandlas för forskningsändamål.

9.2.2. Dataskyddsförordningen

Artikel 87 i dataskyddsförordningen (EU 2016/679) motsvarar artikel 8.7 i det nuvarande dataskyddsdirektivet och anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Sådana uppgifter får i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder.

9.2.3. Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår en generell reglering som motsvarar dagens bestämmelse i personuppgiftslagen, med identiska kriterier för när personnummer och samordningsnummer får behandlas.

Dataskyddsutredningen föreslår även att regeringen ska bemyndigas att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten, vilket även det motsvarar det bemyndigande som återfinns i personuppgiftslagen.3

9.3. Överväganden

Den reglering som Dataskyddsutredningen föreslår innehåller samma direkt tillämpliga villkor som återfinns i gällande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.

Den föreslagna regleringen innehåller, likt den nuvarande, ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om i vilka fall användning av personnummer är tillåten. Datainspektionen har tidigare inte meddelat sådana föreskrifter, men regeringen har i förordningsform beslutat vissa registerförfattningar som särskilt anger att personnummer får behandlas.

Vi gör bedömningen att rättsläget för användning av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten, och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar eller för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.

9.4. Sammanfattning

Beroende på forskningens inriktning och metodik kan behandling av personnummer vara central. Samtidigt har behandling av personnummer sedan länge betraktats som något som om möjligt bör undvikas av integritetshänsyn.

Utredningen anser att den reglering som Dataskyddsutredningen föreslår, och som väsentligen överensstämmer med dagens

3SOU 2017:39 avsnitt 12.4.

reglering, är ändamålsenlig och att de villkor som ställs upp för när behandling av personnummer är tillåten även stämmer överens med forskningens generella behov.

Utredningen finner därför inte något behov av att föreslå kompletterande lagstiftning i denna del.

10. Vissa begränsningar av registrerades rättigheter

10.1. Inledning

I tredje kapitlet (artiklarna 12–23) i dataskyddsförordningen (EU 2016/679) anges den registrerades rättigheter i samband med att personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas.

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstiftningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1.

10.1.1. Utredningens uppdrag

Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter beaktas. Detta för att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Utredningen har mot denna bakgrund i uppdrag att analysera om det, utöver den generella reglering på nationell nivå som Dataskyddsutredningen (Ju 2016:04) föreslår, finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för forskningsändamål och hur sådana undantag i så fall bör utformas.

10.1.2. Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår undantag från registrerades rättigheter med stöd av två olika artiklar i dataskyddsförordningen.

För det första har Dataskyddsutredningen analyserat behovet av att göra undantag i syfte att säkerställa vissa särskilt viktiga intressen i enlighet med artikel 23.1. Det rör sig om undantag för den nationella säkerheten (punkt a), försvaret (punkt b), den allmänna säkerheten (punkt c), åtgärder med anknytning till brottsbekämpning (punkt d), viktiga mål av generellt allmänt intresse (punkt e), skydd av rättsväsendet (punkt f), etiska regler för lagreglerade yrken (punkt g), vissa tillsyns-, inspektions- eller regleringsfunktioner (punkt h), skydd av den registrerades eller andras rättigheter och friheter (punkt i) samt verkställighet av civilrättsliga krav (punkt j).

Med stöd av ovanstående föreslår Dataskyddsutredningen generella undantag från rätten till tillgång för uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade, att rätten till registerutdrag inte ska omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning (med vissa undantag), samt att regeringen ska bemyndigas att meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter.1

För det andra har Dataskyddsutredningen analyserat behovet av undantag från registrerades rättigheter enligt artikel 89.2 och 89.3 när personuppgifter behandlas för statistiska ändamål respektive arkivändamål av allmänt intresse.

Vad gäller behandling för statistiska ändamål finner Dataskyddsutredningen att det inte bör införas något generellt undantag från registrerades rättigheter, samt uttalar att vid behov, och om det bedöms vara lämpligt, bör sådana undantag i stället införas i sektorsspecifika författningar.

Vad gäller behandling för arkivändamål föreslår Dataskyddsutredningen att rätten till s.k. registerutdrag inte heller i fortsättningen bör omfatta personuppgifter i arkivmaterial som tagits emot för förvaring av Riksarkivet eller andra arkivmyndigheter, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna sådan information. Vidare föreslår man

1SOU 2017:39 avsnitt 13.4.

att en arkivmyndighet inte ska behöva rätta eller komplettera personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, eller behöva begränsa behandlingen av personuppgifterna. Slutligen föreslår man att rätten att göra invändningar inte ska gälla vid arkivmyndigheters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.2 Dataskyddsutredningen föreslår att dessa undantag från registrerades rättigheter införs i svensk lagstiftning med stöd av artikel 89.3.

10.2. Rättsliga förutsättningar

Detta avsnitt inleds med en översikt över i vilken utsträckning det är möjligt att i nationell rätt göra undantag från de rättigheter som enligt dataskyddsförordningens tredje kapitel tillkommer de registrerade. Dessa motsvarar till stor del de rättigheter som anges i det nuvarande dataskyddsdirektivet (95/46/EG) samt personuppgiftslagen (1998:204).

Vad gäller just behandling för forskningsändamål finns grunden för undantag i bl.a. nationell lagstiftning i artikel 89.2 i dataskyddsförordningen, som ger en möjlighet att göra undantag i vissa, uppräknade, rättigheter. Även i det nuvarande dataskyddsdirektivet och i personuppgiftslagen finns möjligheten att göra undantag från dessa rättigheter för bl.a. forskningsändamål.

Avsnittet avslutas med en genomgång av vilka direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter som följer direkt av dataskyddsförordningen.

10.2.1. Möjligheter att göra undantag från vissa rättigheter i nationell rätt

De rättigheter som omfattas av möjligheten till undantag i nationell rätt genom artikel 89.2 i dataskyddsförordningen är följande.

  • Rätt till tillgång (tidigare ofta kallad rätt till registerutdrag). Enligt artikel 15 har den enskilde rätt att få veta om den personuppgiftsansvarige behandlar uppgifter om den enskilde, och i så fall vilka uppgifter som behandlas, samt annan information om behandlingen.

2SOU 2017:39 avsnitt 14.4.5.

  • Rätt till rättelse. Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter rättade, och även att få ofullständiga personuppgifter kompletterade.
  • Rätt till begränsning av behandling (motsvarar vad som tidigare kallats blockering). Enligt artikel 18 har den registrerade i vissa uppräknade situationer rätt att begära att behandlingen av dennes uppgifter begränsas. Enligt artikel 4.3 avses med uttrycket ”begränsning av behandling” att lagrade personuppgifter markeras med syftet att begränsa behandlingen av dessa i framtiden.3
  • Rätt att göra invändningar. Enligt artikel 21 har den registrerade rätt att göra invändningar mot behandling av dennes personuppgifter på vissa rättsliga grunder, bl.a. allmänt intresse, av skäl som hänför sig till den registrerades specifika situation.

Undantag från dessa rättigheter får enligt artikel 89.2 endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Även vissa av de övriga rättigheterna kan påverkas av regler i nationell rätt. Den rätt till information som den registrerade har när personuppgifterna inte erhållits från denne enligt artikel 14 ska inte tillämpas i den mån erhållande eller utlämnande av uppgifter föreskrivs i bl.a. nationell rätt, eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt (inbegripet lagstadgad sekretess) enligt bl.a. nationell rätt. Utöver detta innehåller artikel 14.5 även direkt tillämpliga undantag som behandlas i följande underavsnitt.

Rätten till radering enligt artikel 17 ska inte gälla i den utsträckning behandlingen är nödvändig för att uppfylla bl.a. en rättslig förpliktelse. Även denna artikel innehåller i 17.3 direkt tillämpliga undantag vilka behandlas i det följande.

Rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering enligt artikel 22,

3 Detta kan framstå som en cirkeldefinition. Den engelska språkversionen definierar motsvarande uttryck på följande sätt: ”’restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future”.

ska inte tillämpas om ett sådant beslut är tillåtet i bl.a. nationell rätt och denna reglering fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.

10.2.2. Direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter

Vissa av de registrerades rättigheter, så som de anges i artiklarna 13–22 har direkt tillämpliga undantag i själva förordningen. När sådana undantag finns anges de i sista punkten i respektive artikel.

När personuppgifterna samlas in från den registrerade har denne rätt att bli informerad i enlighet med artikel 13. Denna rättighet ska dock inte tillämpas om den registrerade redan förfogar över denna information.

När personuppgifterna som behandlas inte har erhållits från den registrerade har denne rätt till information i enlighet med artikel 14. I artikelns punkt 5 anges dock ett stort antal undantag från den rättigheten, exempelvis om ett sådant tillhandahållande av information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vad gäller behandling för bl.a. forskningsändamål. När det är fråga om forskning baserad på befolkningsregister kan antalet registrerade vara mycket stort, eller baseras på uppgifter insamlade långt innan de ska användas i forskningen, och därför göra ett tillhandahållande oproportionerligt ansträngande. I praktiken har etikprövningsnämnder i vissa sådana fall meddelat villkor att information om behandlingen ska spridas på annat sätt, exempelvis genom annonsering eller via forskningsprojektets hemsida.

Rätten att bli raderad enligt artikel 17 innehåller en direkt tillämplig möjlighet till undantag om det är nödvändigt för bl.a. forskningsändamål (artikel 17.3 d).

Slutligen saknas helt möjlighet att i nationell lagstiftning göra undantag från den personuppgiftsansvariges anmälningsskyldighet (artikel 19) samt rätten till dataportabilitet (artikel 20) när uppgifter behandlas för forskningsändamål. När uppgifter behandlas för arkivändamål kan nationell lagstiftning dock innehålla undantag från även dessa skyldigheter och rättigheter (artikel 89.3).

10.2.3. Rättigheter när den enskilde inte kan identifieras

En viktig och direkt tillämplig grundregel i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen (artikel 11, jfr även skäl 57). Det är vanligt att det saknas direkt identifierande uppgifter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en identifierad person behandlas.

Enligt andra punkten i artikel 11 ska den personuppgiftsansvarige, om denne kan visa att han eller hon inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. Denna informationsskyldighet får antas röra det fall när den registrerade kontaktar den personuppgiftsansvarige i syfte att utöva sina rättigheter.

Om den personuppgiftsansvarige kan visa att denne inte är i stånd att identifiera den registrerade ska artiklarna 15–20 inte gälla, förutom om den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig.

10.2.4. Andra möjligheter till undantag för särskilda ändamål

Det är möjligt att i nationell lagstiftning begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. kapitel 3 med stöd av artikel 23.1. Detta under förutsättning att sådana begränsningar sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa i artikeln uppräknade mål. Forskningsändamål och närliggande mål återfinns inte i denna uppräkning, även om forskning i vissa fall torde utgöra ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e. Som angivits ovan har Dataskyddsutredningen funnit anledning att med stöd av artikel 23.1 föreslå ett antal bestämmelser som begränsar de registrerades rättigheter i viss utsträckning.

10.3. De aktuella rättigheterna, och behov av att göra undantag från dem

10.3.1. Artikel 15 – Rätt till tillgång (registerutdrag)

Innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna, samt även bl.a. information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en ”rätt till tillgång”. Motsvarande rättighet i dataskyddsdirektivet och personuppgiftslagen har, utifrån den äldre datalagens (1973:289) begreppsanvändning, betecknats som en rätt till registerutdrag.4

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska ge denne bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas och i så fall förse honom eller henne med en kopia av uppgifterna, samt viss, i artikeln föreskriven, information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat (dock ska denna rätt inte inverka menligt på andras rättigheter och friheter). Denna rätt bör kunna utövas av den registrerade med rimliga intervall (skäl 63). Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får dock den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5).

4Prop. 1997/98:44 s. 80.

Nuvarande reglering

En motsvarande rättighet regleras i artikel 12 i det nuvarande dataskyddsdirektivet, vilken har genomförts genom 26 § personuppgiftslagen. Dataskyddsförordningens reglering innebär i jämförelse med äldre bestämmelser en utökad rätt till information om lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3) Någon motsvarande angiven tidsgräns finns inte angiven i det nuvarande dataskyddsdirektivet, som endast anger att informationen ska ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § personuppgiftslagen angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

Behov av undantag

Utredningens bedömning: Det behövs inga ytterligare undan-

tag från rätten till tillgång utöver de undantag som Dataskyddsutredningen föreslår när personuppgifter behandlas för forskningsändamål.

Rätten till tillgång gäller, som ovan angivet, inte om den personuppgiftsansvarige kan visa att denne inte kan identifiera den enskilde, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade uppgifter.

I samband med viss forskning kan det tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få ut de uppgifter som behandlas. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om av skäl som hänför sig till pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter torde regelmässigt omfattas av sekretess med stöd av 25 kap. offentlighets- och sekretesslagen (2009:400) (OSL). Det kan också vara fråga om information som kräver tolkning för att bli begriplig för den registrerade och där sådant tolkningsbistånd skulle innebära en oproportionerlig ansträngning för den personuppgiftsansvarige.

Det bör understrykas att den enskilde i motsvarande situation i samband med sjukvård inte alltid har en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL).

Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskyddsförordningen följer att den personuppgiftsansvarige inte på eget initiativ behöver tillhandahålla information till den registrerade om uppgifterna omfattas av sekretess eller tystnadsplikt. Som ovan angivet föreslår Dataskyddsutredningen en motsvarande reglering för rätten till tillgång enligt artikel 15. Enligt det föreslagna undantaget ska artikel 13–15 inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.5

I andra situationer, där det går att identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sina rättigheter, gör utredningen bedömningen att denna rättighet kan och bör respekteras.

5SOU 2017:39 avsnitt 13.4.1.

Med hänsyn till den befintliga sekretessregleringen, som med Dataskyddsutredningens förslag gäller framför denna rätt till tillgång, gör utredningen bedömningen att inget ytterligare behov av begränsning av denna rättighet finns.

10.3.2. Artikel 16 – Rätt till rättelse

Innehållet i rättigheten

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Det finns också en möjlighet att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande yttrande. I sammanhanget bör uppmärksammas att korrekta och om nödvändigt uppdaterade uppgifter är en förutsättning för laglig behandling enligt artikel 5.1 d i dataskyddsförordningen.

Nuvarande reglering

En motsvarande rättighet framgår av artikel 12 b i det nuvarande dataskyddsdirektivet, vilken har genomförts i 28 § personuppgiftslagen. Enligt denna reglering är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Enligt 9 § g personuppgiftslagen krävs att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Denna grundläggande del av rättigheten är alltså oförändrad i dataskyddsförordningen gentemot tidigare reglering.

Den rätt för den registrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är dock ny i förhållande till dataskyddsdirektivet.

Behov av undantag

Utredningens förslag: Den registrerades rätt till rättelse när

personuppgifter behandlas för forskningsändamål ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

En utgångspunkt för utredningens bedömning är att forskning ska utgå från korrekt information. Rätten till rättelse är därför även i forskningens intresse. Det finns dock aspekter som kan göra utövandet av denna rättighet komplicerad.

Den första aspekten är att det kan föreligga oenighet mellan den registrerade och den personuppgiftsansvarige om vad som egentligen är en korrekt uppgift. Risken för detta ökar ju mer uppgifterna innefattar subjektiva bedömningar. Det är viktigt att rätten till rättelse inte innebär en rätt för den registrerade att diktera vilka uppgifter som ska behandlas om denne. Korrektheten måste kunna verifieras.6 Det bör vara den personuppgiftsansvarige, som är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter, som har att ställa upp krav kring de riktlinjer som ska användas för att avgöra vilka objektiva kriterier som ska tillämpas för att fastställa en uppgifts korrekthet. Med denna tolkning av rätten till rättelse föreligger inget ytterligare behov av att begränsa densamma.

Den andra aspekten är att för forskningsprojekt som är avslutade och där resultaten är publicerade, finns det ändå ett behov av att bevara det forskningsmaterial, inklusive personuppgifter, som resultaten baserat sig på. Det tillhör god forskningssed att dokumentera sin forskning så att den kan granskas i efterhand.7 Riksarkivet har meddelat föreskrifter och allmänna råd om gallring av allmänna handlingar i statliga myndigheters forskningsverksamhet, som anger att en förutsättning för att gallra handlingar i forskningsverksamhet är att handlingar inte gallras innan rimlig tid har

6 I samband med detta bör uppmärksammas rättigheten till begränsning av behandling under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är korrekta (artikel 18.1 a, se nedan). 7 Se SOU 2017:10 s. 188.

förflutit för att det ska ha funnits möjlighet att granska handlingar för att verifiera forskningsresultat.8 Att tillåta rättning i sådant arkiverat forskningsmaterial skulle avsevärt försvåra verifiering, och därmed strida mot syftet att bevara forskningsmaterialet.

Dataskyddsutredningen föreslår en bestämmelse som anger att en arkivmyndighet inte behöver rätta eller komplettera personuppgifter enligt artikel 16 när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. Tillämpningsområdet för den av Dataskyddutredningen föreslagna bestämmelsen är begränsat till arkivmyndigheter.

Forskningsaktörer kommer i många fall att ha behov av att inom sin egen organisation bevara forskningsmaterial som innehåller personuppgifter. Eftersom sådant bevarande inte täcks av Dataskyddsutredningens förslag finns det därför ett behov av en begränsning av rätten till rättelse vad gäller sådana personuppgifter som bevaras under längre perioder än vad som är nödvändigt för de primära forskningsändamål för vilka personuppgifterna behandlats, när detta bevarande sker i syfte att dokumentera den utförda forskningen, för att exempelvis verifiering av forskningsresultat ska vara möjlig. Denna begränsning ska enbart vara tillämplig när forskningen i någon mening är utförd så att den nått den nivå av färdigställande att det skulle strida mot god forskningssed att ändra forskningsmaterialet. Det kan exempelvis vara fråga om resultat som lämnats för publicering i en vetenskaplig tidskrift. Bevarandet får då anses ske för forskningsändamål, oavsett om personuppgifterna anses vara arkiverade eller ej.

I forskningssammanhang, där material som har legat till grund för forskningsresultat som har publicerats eller som av annat skäl måste kunna verifieras, även lagras och behandlas i syfte att uppnå nya, framtida forskningsresultat (exempelvis i en databas som uppdateras löpande) är begränsningen av rätt till rättelse inte lika självklar. För att uppnå målet att verifiering ska vara möjlig och samtidigt säkerställa att ny forskning utgår från korrekt information bör den personuppgiftsansvarige se till att data lagras så att det exempelvis är möjligt att ta fram materialet så som det såg ut vid en viss tidpunkt, även om uppgifter har ändrats eller tillkommit vid senare tillfällen. Detta kan ske genom att en ändringshistorik för

8 8 § RA-FS 1999:1.

varje enskild uppgift lagras. En sådan lösning bör enligt vår bedömning vara förenlig med den grundläggande rätten till rättelse i aktuellt forskningsmaterial samtidigt som den möjliggör replikering utifrån arkiverat forskningsmaterial.

10.3.3. Artikel 18 – Rätt till begränsning av behandling

Innehållet i rättigheten

Den registrerade har enligt artikel 18.1 en rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om någon av följande förutsättningar är uppfyllda.

a) Om den registrerade bestrider personuppgifternas korrekthet.

b) Om behandlingen är olaglig och den registrerade motsätter sig

att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c) Om den personuppgiftsansvarige inte längre behöver person-

uppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d) Om den registrerade har invänt mot behandling i enlighet med

artikel 21.1.

Rättigheten medför alltså inte en generell möjlighet för den registrerade att begränsa behandling av personuppgifter i exempelvis hälsodataregister eller myndighetsregister, utan det krävs att någon av de fyra förutsättningarna är uppfyllda. Med begränsning av behandling avses enligt artikel 4.3 att markera lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Av artikel 18.2 framgår vidare att begränsningen innebär att personuppgifter, med undantag för lagring, endast får behandlas med den registrerades samtycke eller för rättsliga anspråk, annans rättigheter eller för viktiga allmänintressen.

Nuvarande reglering

I förhållande till det nuvarande dataskyddsdirektivet innebär artikel 18.1 bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.

Rätten till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämns som blockering och som genomförts genom 28 § personuppgiftslagen (samt definierats i 3 § samma lag).

Det nuvarande dataskyddsdirektivets reglering av dessa rättigheter är inte lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga. Enligt artikel 12 c ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

Behov av undantag

Utredningens förslag: När personuppgifter behandlas för forsk-

ningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta.

Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Rätten till begränsning av behandling syftar till att skydda den registrerades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Led a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Led b och c i samma författning ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansvarige att radera uppgifterna.

Att hindra den personuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen. Utredningen bedömer därför inledningsvis att det saknas rättsliga förutsättningar till att införa ett undantag från artikel 18.1 b och c.

Rättigheten att begränsa behandling av personuppgifter under tiden den personuppgiftsansvarige kontrollerar om det i det konkreta fallet föreligger en rätt till rättelse eller till invändning (artikel 18.1 a) medför i praktiken att uppgifterna är undantagna från vidare behandling under denna utredningsperiod. Samma sak gäller under väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).

Effekten av att enskilda personers uppgifter är undantagna från behandling i forskningen under en period kan medföra skevhet (bias) i materialet som forskningen utförs med användning av under samma period, eller, om forskningen inriktas på att undersöka material som kan hänföras till en eller ett fåtal enskilda personer, att forskningen omöjliggörs.9 Denna risk minskar ju fler individer som forskningsmaterialet omfattar, men kan variera med hur forskningsprojektet utformats. Risken ökar i motsvarande mån ju fler individer som åberopar rättigheten Beroende på vilket stadium som forskningen befinner sig i kan detta i undantagsfall göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet,

9 Exempelvis om den tilltalade i ett mål i Högsta domstolen vill begränsa behandlingen och därmed blockerar möjligheten att göra en rättsvetenskaplig analys av rättsfrågan i målet.

särskilt om det tar lång tid att utreda personuppgifternas korrekthet.

Utredningen gör därför bedömningen att det bör införas ett begränsat undantag från denna rättighet, vilket medför att personuppgifter inte behöver blockeras med stöd av artikel 18.1 a eller d. Begränsningen ska dock endast vara tillämplig om en sådan blockering skulle medföra att ett pågående forskningsprojekt inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Det är den personuppgiftsansvarige som har att visa att sådana förutsättningar föreligger.

10.3.4. Artikel 21 – Rätt att göra invändningar

Innehållet i rättigheten

Den registrerade har enligt artikel 21.1 rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respektive myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Enligt artikel 21.6 ska dock den registrerade endast ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse när personuppgifter behandlas för bl.a. forskningsändamål.

Artikelns lagtekniska konstruktion innebär att huvudregeln i artikel 21.1 begränsar regelns tillämpningsområde till bara sådan behandling som sker med stöd av artikel 6.1 e eller f. Specialregeln för bl.a. forskningsändamål i artikel 21.6 är i stället utformad så att dess tillämpningsområde är behandling som sker med annat stöd än den del av artikel 6.1 e som rör allmänt intresse. Det framgår inte tydligt om tillämpningsområdet för artikel 21.6 är tänkt att utgå från tillämpningsområdet för artikel 21.1 eller om den ska läsas fristående.

Detta tolkningsproblem leder till två tänkbara omfång för tillämpningsområdet av artikel 21.6. Läser man den tillsammans med arti-

kel 21.1 innebär det att den registrerade skulle kunna ha rätt att göra invändningar enbart när behandlingen sker med stöd av intresseavvägning (artikel 6.1 f) eller myndighetsutövning (den del av artikel 6.1 e som inte omfattar uppgift av allmänt intresse). Läser man den i stället fristående skulle den registrerade kunna ha rätt att göra invändningar när behandlingen sker med stöd av samtliga rättsliga grunder som anges i artikel 6.1, inklusive bl.a. samtycke, förutom allmänt intresse.

Vi bedömer att artiklarna bör läsas tillsammans, och att tillämpningsområdet för rättigheten vid personuppgiftsbehandling för forskningsändamål därmed är begränsat till de fall där behandlingen sker med stöd av intresseavvägning eller myndighetsutövning. Vidare ska en intresseavvägning mellan den personuppgiftsansvariges berättigade skäl och den registrerades berättigade skäl göras i enlighet med artikel 21.1, även när artikel 21.6 tillämpas. Vid denna bedömning har vi beaktat att förordningens artiklar, särskilt vad gäller rättigheterna i artikel 12–22, ofta är uppbyggda så att en huvudregel anges i artikelns första punkt, som sedan preciseras eller görs undantag från i följande artiklar. Forskning specialregleras även på flera ställen i förordningen på så sätt att flera bestämmelser som utgör skydd för den registrerade inte ska tillämpas eller endast tillämpas i begränsad utsträckning när det är fråga om behandling för forskningsändamål (se allmänt den strukturerade genomgången av förordningen i bilaga 3). Det framstår då inte som motiverat att just detta skydd för den registrerade skulle vara mer vidsträckt när det är fråga om forskningsändamål än för andra ändamål.

Nuvarande reglering

I det nuvarande dataskyddsdirektivet regleras rätten att göra invändningar i artikel 14 a. Av bestämmelsen framgår att medlemsstaterna ska tillförsäkra den registrerade en rätt att när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation, motsätta sig behandling av personuppgifter som rör honom eller henne, åtminstone i de fall behandlingen sker med stöd av grunderna allmänt intresse, myndighetsutövning eller intresseavvägning.

Regleringen i dataskyddsförordningen skiljer sig alltså från den i dataskyddsdirektivet på så sätt att det inte längre är den registre-

rade som ska ha berättigade skäl, utan i stället den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få äga rum.

Till skillnad från dataskyddsförordningen ställer dataskyddsdirektivet inte upp några särskilda villkor på sådan nationell lagstiftning som innehåller undantag från rätten att motsätta sig behandlingen.

Behov av undantag

Utredningens bedömning: Det behövs inga ytterligare undan-

tag från rätten att göra invändningar när uppgifter behandlas för forskningsändamål.

I avsnitt 12.4.2 föreslår vi som skyddsåtgärd att den registrerade ska ha rätt att motsätta sig personuppgiftsbehandling. En sådan rätt har stora likheter med rätten att göra invändningar enligt artikel 21. För att bedöma om det finns ett behov av att göra undantag från rätten att göra invändningar måste vi därför först se om denna rätt i något avseende går längre än vår föreslagna rätt att motsätta sig personuppgiftsbehandling. Om vår föreslagna skyddsåtgärd i alla avseenden skyddar den registrerade på samma sätt som rätten att göra invändningar så kan det inte finnas något behov av att göra undantag från den senare.

Som utgångspunkt ger vår föreslagna skyddsåtgärd en rätt att motsätta sig behandling ovillkorligt, till skillnad från rätten att göra invändningar enligt artikel 21.1. Vårt förslag är dock förenat med vissa undantag, exempelvis om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas.

Rätten att göra invändningar när personuppgifter behandlas för forskningsändamål är avhängig med vilken rättslig grund som själva personuppgiftsbehandlingen utförs. I praktiken kommer personuppgiftsbehandling för forskningsändamål ske med stöd av artikel 6.1 a (samtycke), e (allmänt intresse) eller f (intresseavvägning). Vi behandlar därför enbart dessa tre rättsliga grunder i det nedanstående.

Rätten att göra invändningar gäller enligt artikel 21.6 inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Vi har i avsnitt 5.5.2 föreslagit att det i forskningsdatalagen ska framgå att personuppgifter får behandlas för forskningsändamål med stöd av artikel 6.1 e om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. I de fall forskningen utförs med denna rättsliga grund finns alltså inte någon rätt att invända mot behandlingen, och därmed inte heller något behov av att begränsa den.

I de fall där grunden för personuppgiftsbehandlingen i stället är den registrerades samtycke finns inte heller någon rätt för den registrerade att invända mot behandlingen, utöver den rätt att dra tillbaka samtycket som följer av artikel 7.3.

Enligt vår tolkning av artikel 21 finns det dock en rätt för den registrerade att invända mot behandlingen när denna sker med stöd av intresseavvägning enligt artikel 6.1 f. Denna rättsliga grund är enligt andra stycket samma punkt inte tillämplig för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom behandling då inte får utföras saknar den registrerades rätt att invända mot behandlingen i dessa fall betydelse.

För sådan forskning som utförs av andra forskningsaktörer än offentliga myndigheter med stöd av intresseavvägning har dock den enskilde en rätt att invända. Intresseavvägningen ska göras mellan å ena sidan den personuppgiftsansvariges eller en tredje parts berättigade intressen och å andra sidan den registrerades intressen eller grundläggande rättigheter och friheter. Om den registrerade invänder mot behandlingen får detta anses tala för att behandlingen strider mot den registrerades intressen. Det kan därför inte anses nödvändigt att göra någon begränsning i den registrerades rätt att invända i dessa fall.

Sammantaget bedömer vi att det inte finns något sammanhang där det är motiverat att begränsa den registrerades rätt att göra invändningar.

10.4. Sammanfattning

I detta kapitel har vi gjort en bred beskrivning av de rättigheter som tillkommer de registrerade enligt dataskyddsförordningen, de möjligheter som förordningen ger att inskränka dessa möjligheter, och vilka inskränkningar som Dataskyddsutredningen föreslår.

Vi har sedan analyserat de fyra olika rättigheter som enligt artikel 89.2 kan begränsas för personuppgiftsbehandling för forskningsändamål.

För två av dessa – rätten till rättelse och rätten till begränsning av behandling – föreslår vi vissa begränsningar i forskningsdatalagen.

Rätten till rättelse ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i syfte att dokumentera utförd forskning. Rätten till rättelse ska i övrigt gälla utan undantag.

Rätten till begränsning av behandling när den registrerade bestrider uppgifternas korrekthet ska inte gälla under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta eller, när denne invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl, om detta medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Det saknas behov av undantag från rätten till tillgång när personuppgifter behandlas för forskningsändamål, utöver vad Dataskyddsutredningen föreslagit, samt från rätten att göra invändningar.

11. Tillsyn och sanktioner

11.1. Inledning

Utredningen har vad gäller tillsyn och sanktioner inget specifikt uppdrag att analysera vilket behov av kompletterande nationell reglering som behövs utöver vad som framgår direkt av dataskyddsförordningen (EU 2016/679) och Dataskyddsutredningens (Ju 2016:04) förslag till kompletterande reglering. Eftersom vi har att föreslå en reglering som ska möjliggöra en ändamålsenlig personuppgiftsbehandling med avseende på forskning, samtidigt som den skyddar den enskildes fri- och rättigheter, är det dock utredningens övergripande uppdrag att göra en så heltäckande analys av regelverket som möjligt. Utredningen har därmed att analysera vilken reglering som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen föreslår. I det följande kommer därför frågorna om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål att behandlas översiktligt.

11.2. Tillsyn

Av artikel 28 i det nuvarande dataskyddsdirektivet (95/46/EG) följer att medlemsstaterna ska utse en eller flera myndigheter som har till uppgift att inom medlemsstatens territorium övervaka tillämpningen av de bestämmelser som följer av direktivet. Sverige har genom 2 § personuppgiftsförordningen (1998:1191) fastställt att det är Datainspektionen som är tillsynsmyndighet enligt personuppgiftslagen (1998:204). Artikel 28 i det nuvarande dataskyddsdirektivet motsvaras av artikel 51.1 i dataskyddsförordningen, som utöver språkliga förändringar har motsvarande innebörd.

Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) har föreslagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen.1 I betänkandet redovisar utredningen även följande bedömning avseende tillsynsmyndighetens befogenheter enligt dataskyddsförordningen:

Förordningens uppräkning av vilka befogenheter en tillsynsmyndighet ska ha är omfattande och såvitt vi kan bedöma tillräckliga för att myndigheten ska kunna fullgöra sina uppgifter. På grundval av det vi i dag känner till och kan överblicka saknas det därmed behov av att på nationell nivå föreskriva att Datainspektionen ska ha ytterligare befogenheter utöver dem som följer av förordningen.2

Dataskyddsutredningen föreslår i linje med detta att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den nationella dataskyddslagen, som kompletterar dataskyddsförordningen på generell nivå, genom en bestämmelse i 3 § i den nationella förordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskyddsutredningens bedömning är att en reglering i vilken Datainspektionen utses till tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av de andra nationella författningar som kompletterar dataskyddsförordningen.3

Tillsynsmyndighetens befogenheter återges i artikel 58 i dataskyddsförordningen. Bestämmelsen i artikel 58 avser enligt dess lydelse endast tillsynen över tillämpningen av förordningens bestämmelser. Det är Dataskyddsutredningens bedömning att för att förordningens intentioner ska få fullt genomslag krävs att tillsynsmyndigheten kan vidta samma åtgärder vid sin tillsyn över tillämpningen av de nationella bestämmelser som kompletterar förordningen. Dataskyddsutredningen föreslår därför en bestämmelse i dataskyddslagen som anger att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.4

1SOU 2016:65 s. 142 f. 2 A.a. s. 157. 3SOU 2017:39 avsnitt 6.4.3. 4 A.a. avsnitt 19.5.3.

Eftersom vår föreslagna forskningsdatalag kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

I sammanhanget finns dock anledning att även belysa vilket tillsynsansvar som föreligger för etikprövningslagen, vilken anknyter till vår föreslagna forskningsdatalag. Av 34 § etikprövningslagen framgår att Centrala etikprövningsnämnden har tillsyn över efterlevnaden av etikprövningslagen och föreskrifter som har meddelats med stöd av lagen, utom i de fall tillsynen faller inom någon annan myndighets ansvarsområde. I förarbetena pekas bland annat Datainspektionen ut.5 Detta innebär att en gränsdragning vad gäller tillsyn behöver göras vid tillsyn av forskning som omfattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. och som därigenom kräver etikgodkännande.

Utredningen om tillsynen över den personliga integriteten har analyserat det befintliga tillsynsansvaret över etikprövningslagen och gränsdragningen mellan Centrala etikprövningsnämndens och Datainspektionens ansvar. Den utredningen gör i sitt betänkande följande bedömning:

Om personuppgifter behandlas inom forskning på ett sådant sätt att personuppgiftslagens bestämmelser blir tillämpliga kan och bör Datainspektionen utöva tillsyn över behandlingen. Är det exempelvis fråga om känsliga personuppgifter och behandlingen sker med stöd av 19 § personuppgiftslagen, kan Datainspektionen kontrollera om någon etikprövning har skett. Detta är enligt bestämmelsen en förutsättning för att behandlingen ska få ske. Om etikprövning krävs men något etikgodkännande inte har lämnats av en etikprövningsnämnd, kan Datainspektionen förelägga den personuppgiftsansvariga att upphöra med behandlingen, eftersom den då strider mot personuppgiftslagen. Detsamma gäller om ett etikprövningsgodkännande har lämnats med villkoret att behandlingen förutsätter den enskildes samtycke men något samtycke inte har lämnats. Gemensamt för dessa frågeställningar är att syftet är att granska om den personuppgiftsbehandling som utförs inom ramen för forskningen är förenlig med personuppgiftslagen. Är det i stället fråga om exempelvis att ta ställning till om forskningen i fråga behöver godkännas genom etikprövning eller om forskningen bedrivs i enlighet med ett gällande etikprövningsbeslut är Centrala etikprövnings-

5Prop. 2002/03:50 s. 163 f.

nämnden, vars huvuduppgift är att utöva tillsyn över att forskning som avser människor bedrivs i enlighet med etikprövningslagen, den myndighet som är bäst lämpad att avgöra sådana frågor. Detta gäller även om den aktuella forskningen innefattar behandling av personuppgifter.6

Enligt Utredningen om tillsynen över den personliga integriteten finns stöd för denna bedömning avseende ansvarsfördelningen i förarbetena till etikprövningslagen. Det är vidare samma utrednings uppfattning att etikprövningslagens och förarbetenas hänvisning till andra tillsynsmyndigheters ansvarsområde inte i sig medför att Datainspektionen har att utöva tillsyn över alla frågor som rör forskning så snart dessa innefattar behandling av personuppgifter. Skulle det däremot i ett tillsynsärende hos Centrala etikprövningsnämnden uppkomma frågor som avser huruvida behandlingen av personuppgifter har utförts i strid med personuppgiftslagen, bör denna fråga överlämnas till Datainspektionen.

Det är vår uppfattning att ovanstående bedömning avseende gränsdragningen av tillsynsansvaret bör kunna tillämpas också vad gäller förhållandet mellan etikprövningslagen och vår föreslagna forskningsdatalag.

Det betänkande som Utredningen om tillsynen över den personliga integriteten överlämnat till regeringen bereds för närvarande inom Regeringskansliet. I sammanhanget kan tilläggas att regeringen den 11 maj 2017 beslutade om tilläggsdirektiv till Utredningen om översyn av etikprövningen (U 2016:02) med uppdrag att bland annat lämna förslag som innebär att Centrala etikprövningsnämndens ansvar för tillsyn över etikprövningslagen förtydligas samt föreslå nödvändiga författningsändringar och, vid behov, andra åtgärder. Bakgrunden till detta tilläggsuppdrag är att det enligt Centrala etikprövningsnämnden alltjämt finns en risk för att tillsynsärenden faller mellan stolarna och att det därför är mycket angeläget att en tydligare reglering kommer till stånd. Denna uppfattning delas av några av de remissinstanser som har yttrat sig över betänkandet SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten. Uppdraget ska redovisas senast den 15 december 2017.7

6SOU 2016:65 s. 194 f. 7 Dir. 2017:52.

11.3. Sanktioner

I Dataskyddsutredningens betänkande definieras sanktioner brett, innefattande sanktionsavgifter, vite, skadestånd och straff. I avsnitt 18.3 i Dataskyddsutredningens betänkande finns en beskrivning av gällande rätt på dessa områden. I det följande kommer endast dataskyddsförordningens bestämmelser och Dataskyddsutredningens förslag till kompletterande reglering avseende skadestånd att behandlas i relation till vår föreslagna forskningsdatalag. För resonemang kring övriga sanktioner vid överträdelser mot dataskyddsförordningen och kompletterande nationell lagstiftning hänvisas till Dataskyddsutredningens betänkande SOU 2017:39.

11.3.1. Skadestånd

Enligt artikel 82.1 i dataskyddsförordningen ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan. Även personuppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsättningar. I artikel 82.2–5 och skäl 146 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Bland annat framgår att varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för uppkommen skada. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska dock undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. Dataskyddsförordningen innebär således att varje personuppgiftsansvarig eller personuppgiftsbiträde som har medverkat vid en behandling kan hållas ansvarigt för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgiftsbiträden för samma behandling.

I artikel 82.1 anges att ansvaret och rätten till ersättning gäller till följd av en överträdelse av denna förordning, dvs. dataskyddsförordningen. Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens

bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

11.4. Sammanfattning

I detta kapitel har utredningen översiktligt behandlat frågor om tillsyn och skadestånd i relation till personuppgiftsbehandling för forskningsändamål.

Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå genom en bestämmelse i 3 § i den nationella förordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskyddsutredningens bedömning är vidare att en reglering som innebär att Datainspektionen blir tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av de andra nationella författningar som kompletterar dataskyddsförordningen.

Dataskyddsutredningen föreslår vidare en bestämmelse i dataskyddslagen som anger att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen. Eftersom den föreslagna forskningsdatalagen kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.

Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen där-

med täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.

12. Skyddsåtgärder

12.1. Inledning

Av utredningens direktiv framgår bl.a. följande:

Det krävs […] en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan vara exempelvis etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar. Utredningen ska lämna förslag, inklusive behövliga författningsförslag på sådana lämpliga skyddsåtgärder som personuppgiftsbehandling för forskningsändamål ska omfattas av.

Utifrån detta uppdrag går vi i detta kapitel igenom de rättsliga förutsättningar som den nuvarande dataskyddsregleringen ger, samt vilka förändringar som dataskyddsförordningen (EU 2016/679) medför. Vi definierar en uppsättning centrala begrepp, för att sedan i närmare detalj analysera ett antal tänkbara skyddsåtgärder. Vi behandlar även förordningens säkerhetskrav och vad detta innebär för kraven på skyddsåtgärder. Avslutningsvis lämnar vi överväganden och förslag på hur skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål bör regleras.

12.2. Rättsliga förutsättningar

Nationell lagstiftning som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forskningsändamål är inte en nyhet som följer med dataskyddsförordningen. Sådan lagstiftning har tidigare införts i svensk rätt med stöd av det nuvarande dataskyddsdirektivet (95/46/EG). I 19 § första stycket personuppgiftslagen (1998:204) föreskrivs att käns-

liga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Personuppgifter om lagöverträdelser m.m. får behandlas av andra än myndigheter om behandlingen har godkänts på samma sätt (21 § andra stycket samma lag). Det finns dock inte någon mer specifik bestämmelse om säkerhet. Enligt 31 § personuppgiftslagen anges endast att lämpliga åtgärder ska vidtas för att uppnå en lämplig säkerhetsnivå. Bestämmelsen i 31 § personuppgiftslagen genomför artikel 17 i det nuvarande dataskyddsdirektivet. Vid en jämförelse ställer motsvarande bestämmelse i dataskyddsförordningen (artikel 32) mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras.

Utöver detta ställer dataskyddsförordningen specifika krav på all personuppgiftsbehandling för forskningsändamål i artikel 89.1. Dessa har inte någon direkt motsvarighet i personuppgiftslagen eller det nuvarande dataskyddsdirektivet.1

12.2.1. Allmän reglering av skyddsåtgärder

En av dataskyddsförordningens grundläggande principer för personuppgiftsbehandling, principen om integritet och konfidentialitet (artikel 5.1 f), anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Till den generella regleringen hör även allmänna skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24), samt krav på att säkerställa en lämplig säkerhetsnivå (artikel 32).

Även medlemsstaterna åläggs att införa åtgärder till skydd för den registrerade för att viss personuppgiftsbehandling ska vara möjlig. Särskilt artikel 9 och 10, som rör känsliga personuppgifter

1 Dataskyddsdirektivet innehåller dock i artikel 6.1 e, som behandlar samma princip som artikel 5.1 e i dataskyddsförordningen (principen om lagringsminimering), ett krav på att medlemsstaterna ska vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för bl.a. vetenskapliga ändamål.

(i förordningen kallat ”särskilda kategorier av personuppgifter”) respektive personuppgifter om lagöverträdelser m.m., ålägger medlemsstaterna att införa bestämmelser i nationell rätt för att behandling i vissa fall ska vara tillåten. Sådana bestämmelser ska även fastställa lämpliga skyddsåtgärder.

12.2.2. Reglering av skyddsåtgärder i samband med forskningsändamål

Enligt dataskyddsförordningens artikel 89.1 ska personuppgiftsbehandling för bl.a. forskningsändamål omfattas av lämpliga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättigheter och friheter, särskilt principen om uppgiftsminimering. Lämpliga skyddsåtgärder är även en förutsättning för att kunna använda sig av det s.k. forskningsundantaget i artikel 5.1 b.2

Artikel 9.2 j i dataskyddsförordningen, som berör nödvändig behandling för bl.a. forskningsändamål av känsliga personuppgifter i enlighet med artikel 89.1, anger att unionsrätten eller den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgärder. Dessa åtgärder ska säkerställa den registrerades grundläggande rättigheter och intressen.

Skäl 156 i dataskyddsförordningen anger utöver detta även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.

12.2.3. Allmän reglering av säkerhetskrav

Av artikel 32, som innehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett antal åtgärder och utgångspunkter för bedömningen av lämplig säkerhetsnivå. Även artikel 25 (inbyggt dataskydd och dataskydd som standard)

2 Med ”forskningsundantaget” avses det undantag från den allmänna regeln om ändamålsbegränsning, där ytterligare behandling för just bl.a. forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen.

ålägger den personuppgiftsansvarige att integrera nödvändiga skyddsåtgärder i behandlingen.

I sammanhanget bör även uppmärksammas de krav som följer av svensk lagstiftning på statliga myndigheters informationssäkerhet, främst 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Av de senare framgår bl.a. att varje myndighet som omfattas av föreskrifterna ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas.

12.3. Skyddsåtgärder för personuppgiftsbehandling

12.3.1. Skyddsåtgärder enligt dataskyddsförordningen

Vad är en skyddsåtgärd?

Termerna ”skyddsåtgärder” respektive ”tekniska och organisatoriska åtgärder” är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säkerställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” förklaras närmare i dataskyddsförordningen.

Vad ska skyddas?

I vissa sammanhang används termerna utan närmare förklaring. I andra sammanhang framgår vad själva skyddsintresset är, dvs. vad åtgärderna är tänkta att skydda. Exempelvis anger artikel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 23 anger att skyddsåtgärderna ska förhindra missbruk eller olaglig tillgång eller överföring. Artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42

nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskyddsförordningen.

Hur regleras skyddsåtgärderna?

I de flesta fall följer det direkt av förordningen att skyddsåtgärder ska genomföras. För forskningsändamål framgår exempelvis direkt av artikel 89.1 att personuppgiftsbehandling ska omfattas av skyddsåtgärder.

I några fall lämnar dock förordningen ett visst utrymme för unionslagstiftaren eller den nationella lagstiftaren att närmare reglera skyddsåtgärderna, som i artiklarna 9.2 och 10. I just dessa artiklar ställer förordningen kravet att sådan lagstiftning ska fastställa lämpliga och (för artikel 9.2 j) särskilda skyddsåtgärder.

Även artikel 89.1 kan utgöra stöd för den nationella lagstiftaren att närmare reglera lämpliga skyddsåtgärder (jfr skäl 156).

Exempel på skyddsåtgärder

I några sammanhang används termerna ”skyddsåtgärder”, ”tekniska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. Artikel 6.4 e, som berör fastställande av huruvida behandling för andra ändamål är förenlig med ursprungsändamålet, anger att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas. Artikel 46, om tredjelandsöverföringar i avsaknad av ett beslut från kommissionen om adekvat skyddsnivå i ett tredjeland, anger i punkt 2 och 3 flera olika tänkbara skyddsåtgärder, exempelvis bindande företagsbestämmelser,3 godkända uppförandekoder eller avtalsklausuler.

3 Bindande företagsbestämmelser (Binding Corporate Rules, BCR) definieras i förordningens artikel 4.20 som ”strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet”.

Gränsdragningar mellan olika typer av skyddsåtgärder

Det är svårt att dra en skarp skiljelinje mellan olika termer, även om ”tekniska och organisatoriska åtgärder” avgränsar tänkbara åtgärder på ett sätt som ”skyddsåtgärder” ensamt inte gör. För att kunna dra närmare slutsatser av hur ett visst åtgärdsbegrepp ska förstås torde man inte enbart kunna utgå från den term som har använts. Man måste i första hand se på det sammanhang i vilket termen förekommer och i vilken mån den omgivande texten beskriver åtgärden.

Utifrån förordningens terminologi har vi i detta avsnitt valt att använda den sammansatta termen ”tekniska och organisatoriska skyddsåtgärder” för att beskriva tänkbara åtgärder. Vi använder förledet ”skydds” framför ”åtgärder” för att understryka att det är fråga om sådana åtgärder som ska skydda den registrerades rättigheter och friheter enligt dataskyddsförordningen.

När det är fråga om sådana skyddsåtgärder som förutsätter åtgärder från lagstiftaren eller på annat vis grundar sig i rättsregler har vi valt ”rättsliga skyddsåtgärder”, en term som inte återfinns i dataskyddsförordningen. Även dessa åtgärder ska ha till syfte att skydda den registrerades rättigheter. Att även sådana åtgärder kan ingå i begreppet ”skyddsåtgärder” framgår på flera ställen i förordningen.

Lämpliga skyddsåtgärder

Utifrån förordningens reglering kan olika skyddsåtgärder vara möjliga. Eftersom det åligger den personuppgiftsansvarige att välja lämpliga skyddsåtgärder (artikel 32, och, särskilt vad gäller forskningsändamål, artikel 89.1) är nästa steg att försöka ställa upp utvärderingskriterier för när en viss skyddsåtgärd kan vara lämplig.

Förordningens lämplighetskriterier

Dataskyddsförordningen anger inom ramen för dess bestämmelser om säkerhet (artikel 32) vissa kriterier som ska beaktas vid utvärdering av lämpligheten av en viss skyddsåtgärd. Dessa kriterier analyseras mer detaljerat i avsnitt 12.3.5 om säkerhet. Här konstaterar vi endast inledningsvis att dessa kriterier ska tillämpas vid all

personuppgiftsbehandling och att de utgör underlag för en avvägning mellan möjligheterna till och kostnaderna för skydd å ena sidan, och risken för de registrerades rättigheter och friheter å andra sidan.

En strukturerad analys för val av lämplig skyddsåtgärd

För att kunna välja vilken eller vilka skyddsåtgärder som kan vara lämpliga krävs en strukturerad analys av vad som ska skyddas (skyddsobjektet), vilka hot och risker som kan drabba skyddsobjektet, och vilka mål för skyddet som prioriteras. Vissa riktlinjer för en sådan analys, framför allt vilka risker som ska beaktas, ges i artikel 32 samt skäl 75.

Detta kan exemplifieras enligt följande. När grundläggande personuppgifter, inklusive känsliga personuppgifter, för ett stort antal personer behandlas i ett projekt är skyddsobjektet vanligtvis själva personuppgifterna. Några av problemen kan vara:

  • Att personuppgifterna visar sig vara felaktiga.
  • Att personuppgifter från olika källor inte kan kombineras.
  • Att identifierande eller känsliga personuppgifter sprids utanför forskningsprojektet.

I det första fallet är personuppgifternas riktighet (integritet) det prioriterade skyddsmålet. I det andra fallet kan personuppgifternas tillgänglighet, särskilt åtkomsten till de register som utgör källor för personuppgifterna, vara det viktigaste. I det sista fallet är personuppgifternas konfidentialitet, dvs. att de inte avslöjas för obehöriga, det centrala skyddsmålet.

Beroende på hur denna riskanalys och målprioritering görs kan den personuppgiftsansvarige landa i att i det första fallet tillämpa skyddsåtgärder som säkerställer korrekt information (exempelvis genom att underlätta för den enskilde att utöva sin rätt till rättelse). I det andra fallet kan det vara mer lämpligt att avtalsrättsligt säkerställa villkor för åtkomst till källregister. I det sista fallet kan såväl uppgiftsminimerande åtgärder (där exempelvis identifierande personuppgifter som inte behövs för själva forskningen avlägsnas genom pseudonymisering) som åtgärder som begränsar tillgängligheten till

uppgifterna till endast utvalda personer eller endast inom ett enskilt it-system.

Det ligger utanför utredningens uppdrag att ge närmare riktlinjer eller förslag till bestämmelser för hur en sådan strukturerad analys ska utföras. Att i nationell lagstiftning särskilt reglera hur ett sådant arbete ska utföras riskerar dessutom att komma i konflikt med de regler som finns i framför allt artikel 32 i dataskyddsförordningen. Utredningen lämnar därför inte något förslag i denna del, men erinrar om att särskilt 9 § i myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) innehåller ett krav på statliga myndigheter att utifrån beslutad informationsklassningsmodeller analysera risker och vidta lämpliga åtgärder. Motsvarande arbetssätt torde vara lämpligt att tillämpa för privata forskningsaktörer och andra rättssubjekt trots att dessa inte omfattas direkt av MSB:s föreskrifter vid sin behandling av personuppgifter.

Utformning av skyddsåtgärder

En viss metod för att skydda den personliga integriteten i det konkreta fallet kan utformas på olika sätt. Vid pseudonymisering (se avsnitt 12.3.3) kan själva pseudonymen skapas antingen från olika personuppgifter eller skapas helt fristående. Vid kryptering (se avsnitt 12.3.3) finns en mängd algoritmer och protokoll för nyckelhantering att välja mellan. Sekretesslagstiftning kan utformas med exempelvis presumtion för offentlighet eller för hemlighållande.

Frågan huruvida pseudonymisering är en lämplig åtgärd i ett visst sammanhang har med andra ord inte något enkelt svar, utan det blir nödvändigt att komplettera och specificera analysen med avseende på exakt vilka attribut som ska pseudonymiseras, hur eventuella kodnycklar ska bevaras m.m. Innan man gjort denna utformning går det i allmänhet inte att komma fram till att en viss skyddsåtgärd är lämplig.

Vad gäller den motsatta frågeställningen, huruvida en viss skyddsåtgärd inte är lämplig i ett visst sammanhang, kan det däremot vara möjligt att komma fram till att så är fallet utan att fullständigt ha utformat den. Om det exempelvis medför ett icke godtagbart intrång i den registrerades integritet att poster om denne i en data-

mängd går att särskilja från andra poster om andra personer även utan att denne identifieras så är pseudonymisering per definition inte en lämplig skyddsåtgärd eftersom pseudonymisering per definition gör det möjligt att särskilja poster om en enskild registrerad.

När ”skyddsåtgärd” används i det nedanstående (och generellt) finns det därför anledning att tänka sig en detaljerad beskrivning av hur skyddsåtgärden kommer att utformas.

Tänkbara skyddsåtgärder

Dataskyddsförordningen reglerar inte att några specifika skyddsåtgärder ska vidtas. I artikel 32 nämns dock att den personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudonymisering och kryptering som sådana åtgärder. Även artikel 6.4 e exemplifierar lämpliga skyddsåtgärder med kryptering eller pseudonymisering. Förordningen lyfter i övrigt särskilt fram pseudonymisering som skyddsåtgärd i skäl 28–29 och 156. I skäl 78 anges även ett antal övriga skyddsåtgärder som är främst organisatoriska till sin natur:

Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar.

Utöver sådana skyddsåtgärder som nämns direkt i förordningen har svensk personuppgiftslagstiftning laborerat med andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser.

Avsnitt 12.3.3 och 12.3.4 innehåller en genomgång av dessa och andra skyddsåtgärder.

12.3.2. Begrepp

För att närmare kunna analysera vissa skyddsåtgärder, särskilt de av teknisk karaktär, underlättar det att först beskriva några av de begrepp som förekommer i samband med personuppgiftsbehandling för forskningsändamål. I anslutning till detta redogör vi även för varför vi valt vissa termer som beteckningar för dessa begrepp.4

Personuppgift

Dataskyddsförordningens artikel 4.1 definierar personuppgift (vår kursivering):

Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet

Det nuvarande dataskyddsdirektivet har i artikel 2 a motsvarande definition:

Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet

Utöver språkliga förändringar som inte kan anses ändra innebörden i ovanstående definition skiljer sig denna definition från det nuvarande dataskyddsdirektivet på ett antal sätt. Strukturellt har indelningen i direkt eller indirekt identifiering ersatts med uppdelningen mellan identifierare respektive faktorer som är specifika för personen. Det framgår vidare att ett namn kan vara en sådan identifierare, samt att en fysisk person även kan identifieras med faktorer som är specifika för en fysisk persons genetiska identitet. I sammanhanget bör nämnas att definitionen av identifierare innefattar även någons

4 Med ”term” avses här ett visst ord eller språkligt uttryck, och med ”begrepp” själva innebörden som man lägger i uttrycket.

”online identifier”, vilket i den svenska översättningen benämnts omväxlande ”nätidentifierare” (skäl 30 och 64) eller ”onlineidentifikatorer” (artikel 4.1). Det är oklart om ”online identifier” ska innefatta även användarvalda identifierare såsom e-postadresser eller användarnamn i sociala nätverk.

Med detta sagt är vår bedömning att tidigare praxis kring vad som utgör en personuppgift får anses vägledande även för den nya definitionen, med beaktande av den utvidgning som skett genom dataskyddsförordningen (se även skäl 9 i dataskyddsförordningen, som anger att målen och principerna för det tidigare dataskyddsdirektivet fortfarande är giltiga).

Pseudonymisering

Dataskyddsförordningen definierar i artikel 4.5 pseudonymisering (vår kursivering):

Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person

För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dessa uppgifter utgörs vanligen av en s.k. kodnyckel (se vidare avsnitt 12.3.3).

Pseudonymiserade uppgifter är fortfarande personuppgifter och faller därför inom förordningens tillämpningsområde. Själva åtgärden pseudonymisering har på flera ställen i förordningen lyfts fram som exempel på en skyddsåtgärd.

Kodning

Eftersom dataskyddsförordningens definition av pseudonymisering ställer höga krav på att återidentifiering endast ska vara möjlig med hjälp av vissa specifika kompletterande uppgifter (se närmare beskrivningen av pseudonymisering som skyddsåtgärd i avsnitt 12.3.3) finns ett behov av en term för en enklare, men mer osäker, process

i vilken endast identifierande uppgifter som namn och personnummer ersätts med pseudonymer eller koder.

I många sammanhang används termen ”kodning” för ett sådant förfarande. Även i detta betänkande används termen i denna betydelse.

Anonymisering

Anonymisering definieras inte särskilt i förordningen, men av skäl 26 framgår att anonym information är ”information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar”, och att förordningen inte är tillämplig på sådan information. Kravet på att den registrerade inte längre ska vara identifierbar medför att fullständig anonymisering, till skillnad från pseudonymisering, i praktiken ofta kan vara mycket svårt att åstadkomma.

Kravet är dock inte absolut. Det framgår vidare av skäl 26 att när man avgör huruvida en fysisk person är identifierbar så ska man beakta alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Bedömningen av huruvida det är fråga om personuppgifter eller anonym information grundas alltså på en rimlighets- och sannolikhetsbedömning.

För att förstå gränsdragningen för när någon är att anse som identifierbar kan även artikel 29-gruppens yttrande 4/2007 beaktas.5I detta yttrande (s. 15) uttalas att ”enbart en hypotetisk möjlighet att särskilja en individ inte är tillräcklig för att anse personen som

5 Yttrande 4/2007 om begreppet personuppgifter, ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2007/wp136_sv.pdf Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.

identifierbar” samt att om denna möjlighet inte existerar eller är försumbar när man beaktar hjälpmedel enligt ovan bör personen inte anses som identifierbar. Yttrandet gäller skäl 26 till nuvarande dataskyddsdirektivet (vars innehåll till stor del överensstämmer med skäl 26 i dataskyddsförordningen), men torde utifrån vad som sagts ovan fortfarande vara relevant.

Avidentifiering

Termen ”avidentifiering” används inte i dataskyddsförordningen. I tidigare sammanhang har uttrycket ”avidentifieringsmetoder” använts som översättning till ”anonymisation techniques”.6 Det finns alltså en oklarhet huruvida termerna ”avidentifiering” och ”anonymisering” avser samma begrepp. Båda termerna ”avidentifiering” och ”anonymisering” har tidigare använts i svensk rätt. Datainspektionen har exempelvis tidigare yttrat att ”avidentifierade uppgifter” enligt inspektionens mening inte har samma innebörd som ”anonyma uppgifter”,7 samt att anonyma uppgifter kan utgöra personuppgifter om de kan hänföras till en enskild individ som är i livet, exempelvis genom en kodnyckel. Datainspektionens egen praxis på detta område har inte varit helt konsekvent, troligen beroende på att man i remissammanhang och liknande följt avsändarens användning.

För att undvika otydlighet bedömer vi därför att ”avidentifiering” inte bör användas i samband med dataskyddsförordningen, och att ”anonymisering” används i den betydelse som framgår av skäl 26.

Återidentifiering

Med återidentifiering avses den process enligt vilken tidigare anonyma8 eller pseudonyma uppgifter åter fås att avse en identifierad person. Förordningen använder inte denna term, men bland skälen finns ett fåtal skrivningar om ”hävande av pseudonymiser-

6 Artikel 29-gruppens yttrande 05/2014. 7 Yttrande över ”Unik kunskap genom registerforskning (SOU 2014:45), dnr 2469-2014. 8 Som vi tolkar förordningens skäl 26 finns det ett åtminstone teoretiskt utrymme där anonym information kan återidentifieras, nämligen om hjälpmedel bortom det rimligas gräns använts eller om återidentifiering ändå varit möjlig trots att det var orimligt osannolikt.

ing”, som kan betraktas som en begränsad form av återidentifiering för just pseudonymiserade uppgifter. Skäl 75 talar om bl.a. personuppgiftsbehandling som kan leda till ”obehörigt hävande av pseudonymisering”, liksom skäl 85. Se även första delen av skäl 26 som diskuterar hur man kan avgöra om en fysisk person är identifierbar.

I en anonymiseringsprocess kan personuppgifter behandlas så att de blir mer eller mindre möjliga att återidentifiera. Beroende på anonymiseringen kan även en framtida återidentifiering göras med större eller mindre säkerhet. Rent tekniskt är det därför svårt att se anonymisering som en process i vilken information antingen är anonym eller inte.

Dataskyddsförordningen (och nuvarande dataskyddslagstiftning) förutsätter dock en indelning i antingen anonym information eller personuppgifter. Gränsdragningen blir därför huruvida hjälpmedel med rimlig sannolikhet kan komma att användas för att (åter)identifiera den fysiska personen. Ett exempel på sådant hjälpmedel är, enligt den engelska versionen av förordningen, ”singling out”, dvs. att särskilja uppgifter rörande en person från uppgifter rörande andra personer. Att kunna särskilja uppgifter om en person ska inte likställas med att kunna identifiera personen, även om särskiljande ofta kan vara första steget mot en identifiering. Det är värt att notera att den svenska översättningen av förordningen har översatt ”singling out” med ”utgallring”, vilket kan leda tankarna fel till gallring i arkivlagens (1990:782) mening. I denna text används därför ”särskilja” som huvudsaklig term.

Bakvägsidentifiering

Bakvägsidentifiering används ibland som synonym till återidentifiering. I vissa sammanhang kan denna term dock indikera att återidentifieringen är otillåten eller obehörig. Ett exempel är 6 § lagen (2001:99) om den officiella statistiken, som förbjuder sammanförande av uppgifter i den officiella statistiken med andra uppgifter i syfte att utröna enskilds identitet. Detta har i förarbetena benämnts just ”bakvägsidentifiering”.9

I detta betänkande används genomgående termen ”återidentifiering”.

9Prop. 2000/01:27 s. 68.

Kvasiidentifierare

En kvasiidentifierare utgörs av en kombination av uppgifter som tillsammans unikt identifierar en fysisk person. Exempelvis kan kombinationen av ålder, kön, taxerad inkomst och postnummer ofta unikt särskilja en viss person. Identifierandet måste inte vara knutet till personens namn eller personnummer, utan det räcker enligt definitionen av personuppgift att det går att särskilja någons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Detta kan jämföras med indirekta personuppgifter, dvs. personuppgifter som inte direkt, men däremot med hjälp av annan tillgänglig information, kan hänföras till en person.

Ett exempel på användning av kvasiidentifierare kan tas från registret Stockholm Birth Cohort som består av information som ursprungligen samlats in inom ramen för det dåvarande Metropolitprojektet, med nya registerdata påfört. Efter att Metropolitprojektet upphörde 1984 behandlades de då insamlade uppgifterna på så sätt att möjligheten att identifiera ingående personer togs bort. Sedermera, och efter etikprövning, har man kunnat påföra nya uppgifter genom sannolikhetsmatchning, där uppgifter från andra databaser länkats samman genom att koppla information som fanns i samma form på båda ställena, till exempel hemort, yrke och hemförhållanden.10 Dessa variabler har tillsammans utgjort kvasiidentifierare med vars hjälp man kunnat påföra nya uppgifter på cirka 95 procent av de registrerade individerna. Utmärkande för kvasiidentifierare är att de inte lika precist pekar ut en specifik person jämfört med identifierare, och ofta kan uppstå utan att den personuppgiftsansvarige lägger märke till det. Exempelvis är det tänkbart att en viss kombination av ålder, yrke och postort, som inte utgör en kvasiidentifierare i en stor postort eftersom kombinationen där inte är unik, utgör en kvasiidentifierare i en liten postort, där dessa uppgifter kan särskilja någons sociala identitet även i avsaknad av namn.

10 Stenberg, S. Å., Vågerö, D., Österman, R., Arvidsson, E., von Otter, C. and Janson, C. G, “Stockholm Birth Cohort Study 1953-2003: a new tool for life-course studies.” Scandinavian Journal of Public Health, s. 104–110.

Dataset, poster och attribut

Dessa tre närliggande begrepp handlar om hur en samling uppgifter är ordnade. Med dataset avses en samling av poster. Med post avses en uppsättning värden (relaterade till en enskild person) för varje attribut. Med attribut avses en definierad egenskap. Dessa begrepp används här i samma betydelse som i artikel 29-gruppens yttrande 05/2014 om avidentifieringsmetoder,11 och är framför allt av betydelse i samband med diskussion om tekniska skyddsåtgärder.

I vissa sammanhang används datamängd som synonym till dataset, observation som synonym till post och variabel som synonym till attribut.

12.3.3. Tekniska och organisatoriska skyddsåtgärder

Dataskyddsförordningen använder genomgående uttrycket ”tekniska och organisatoriska åtgärder” med några variationer. Uttrycket definieras inte närmare, men får ändå uppfattas som en indelning i åtgärder som har en teknisk respektive organisatorisk karaktär.

Dessa typer av åtgärder är dock inte oberoende av varandra. Särskilt tekniska skyddsåtgärder kan ofta behöva kompletteras med organisatoriska, och ibland är det svårt att dra en skiljelinje. Ett exempel är accesskontroll, dvs. att endast den eller de inom en organisation som har behov av att komma åt vissa uppgifter ska kunna göra det. Detta är i grunden en teknisk åtgärd som genomförs av systemansvariga som sätter läsrättigheter på filer, auktorisering på interna tjänster och så vidare. Men själva bestämmandet av vilka arbetsuppgifter som medför behov av att komma åt vilka uppgifter är i allra högsta grad en organisatorisk skyddsåtgärd.

Tekniska skyddsåtgärder kan betraktas inom ramen för informationssäkerhet och dess olika skyddsmål, bl.a. konfidentialitet, integritet, tillgänglighet, spårbarhet och oavvislighet.12 Den personuppgiftsansvarige ska enligt artikel 32.1 b säkerställa flera av dessa mål.

För den registrerade vars personuppgifter behandlas är skyddsmålen konfidentialitet och riktighet (dataintegritet) av särskilt in-

11 Se yttrandet, s. 12. 12 Se bl.a. SOU 2004:32, s. 15.

tresse. För den personuppgiftsansvarige kan även skyddsmålen spårbarhet och oavvislighet vara centrala för att säkerställa att säkerhetsnivån är tillräcklig.

Vad gäller bedömningen av tekniska skyddsåtgärders lämplighet syftar samtliga åtgärder som behandlas i detta avsnitt helt eller delvis till att värna de registrerades rättigheter och friheter vad gäller dataskydd. Huruvida en viss teknisk skyddsåtgärd faktiskt även resulterar i ett effektivt skydd beror allt för mycket på omständigheterna kring den enskilda personuppgiftsbehandlingen och åtgärdens utformning för att det ska vara meningsfullt att generellt uttala sig om lämpligheten. Utredningen gör därför inga lämplighetsbedömningar i denna del.

Kryptering

Kryptering kan utgöra en byggsten för att uppnå samtliga skyddsmål, men är särskilt central för att åstadkomma konfidentialitet, dvs. säkerställa att data, inklusive personuppgifter, inte blir tillgängliga för någon annan än behörig part. Vid behandling som innebär överföring av personuppgifter mellan olika parter är även riktighet ett prioriterat skyddsmål, där kryptering kan spela en viktig roll.

Vad gäller konfidentialitet måste man göra skillnad på kryptering för överföring respektive lagring. Ursprungligen kommer kryptering från behovet att uppnå konfidentialitet vid dataöverföringar. Man kan se kryptering av lagrade data som ett specialfall av kryptering av dataöverföring – en överföring från en part till samma part över tid.13 Detta kan ställa högre krav på de metoder och processer som används, eftersom den skyddsvärda informationen kan exponeras under längre tid.

Styrning av åtkomst till personuppgifter (accesskontroll)

Accesskontroll, dvs. att på systemnivå möjliggöra eller förhindra tillgång till filer, tjänster och andra resurser, får anses vara en grundläggande del av informationssäkerhet. När resurserna inne-

13 Jfr Bruce Schneier, Data at rest vs. Data in motion, http://www.schneier.com/blog/archives/2 010/06/data_at_rest_vs.html

fattar lagrade personuppgifter utgör accesskontroll även en form av skyddsåtgärd som skyddar personuppgifterna från obehörig åtkomst (artikel 32.2).

Som nämnts inledningsvis i detta avsnitt har denna åtgärd både organisatorisk och teknisk karaktär. Det är den personuppgiftsansvarige som ansvarar för att besluta vilka fysiska personer som utför arbete med personuppgiftsbehandling under dennes överinseende och meddela instruktion för detta arbete (artikel 32.4). Att på systemnivå möjliggöra eller förhindra tillgång är sedan en teknisk åtgärd som kan ses som ett verkställande av sådana instruktioner.

I samband med registerforskning, där det många gånger är fråga om fjärråtkomst till uppgifterna kan accesskontrollen omfatta styrning av åtkomst för personer som inte arbetar under den personuppgiftsansvariges överinseende, utan som har ett självständigt personuppgiftsansvar. Det rör sig fortfarande om en skyddsåtgärd som minskar risken för obehörig åtkomst.

Själva åtkomsten kan utformas på många tänkbara sätt. Det behöver inte vara fråga om att ge behörighet i form av full tillgång till de lagrade personuppgifterna med möjlighet att exempelvis överföra dem till sin egen it-miljö. Man kan också ge åtkomst till tjänster genom vilka det går att komma åt delar av uppgifterna, funktioner för att sammanställa eller aggregera personuppgifter, eller liknande. All sådan utformning av tillgång utgör en form av skyddsåtgärd. Ett exempel på det senare är differentiell integritet, en metod för att göra personuppgifter anonyma, som förutsätter att den som vill använda innehållet i datasetet ges tillgång till kontrollerade vyer över datasetet, inte datasetet som sådant.

Fjärråtkomst

Fjärråtkomst är ett exempel på systemutformning som har verkan av en skyddsåtgärd. I ett typiskt datorsystem för fjärråtkomst samlas ett eller flera dataset tillsammans med analysverktyg med vilka den sammanlagda datamängden kan analyseras. Den forskare som behöver göra analyser av uppgifterna i systemet kan koppla upp sig till systemet på distans, utföra beräkningar och sammanställningar med de installerade analysverktygen, och sedan föra över resultatet

av analysen till sin egen it-miljö. Skyddsåtgärden består i att den underliggande datamängden, som innehåller personuppgifter, inte behöver överföras till forskarens egen it-miljö, utan endast resultatet av behandlingen, som kan bestå av aggregerade personuppgifter och som därmed inte utgör personuppgifter (jfr dataskyddsförordningens skäl 162). Detta bör dock ställas mot att själva möjligheten till fjärråtkomst ökar risken till integritetsintrång på så sätt att det introducerar en risk för att obehöriga personer ska få åtkomst på distans genom dataintrång, jämfört med om datamängden endast finns på ouppkopplade system. Vid en avvägning måste den personuppgiftsansvarige beakta de allmänna krav på säkerhet som förordningen ställer (se avsnitt 12.3.5).

I svensk miljö är exempelvis Statistiska centralbyråns (SCB) MONA ett viktigt system för fjärråtkomst.14 Användarvillkoren för MONA förbjuder kopiering av mikrodata, dvs. observationer på detaljnivå som innehåller personuppgifter, från MONA till något annat system (se vidare av snitt 12.3.4 om avtalsvillkor).

Federering av databaser

Med federering av databaser avses ett enhetligt och transparent sätt att tillgängliggöra data lagrat på flera olika ställen i flera olika system för databashantering.15 Detta utgör egentligen en hybrid av teknisk och organisatorisk åtgärd.

Skyddsåtgärden består här främst i att federeringen kan motverka behovet att lagra stora datamängder på ett och samma ställe. Detta förutsätter dock att dataöverföringen till den centrala punkt från vilken data tillgängliggörs (federationspunkten) hålls till ett minimum. Det förutsätter också att en federationsserver (”trusted location”) kan upprättas och är laglig att lämna uppgifterna till. Även kortvarigt processande i arbetsminnet på en gemensam dator kan betraktas som utlämnande av data och måste då ha en rättslig grund.

14 Se SOU 2012:36 s. 43 ff. samt SOU 2014:45 s. 335 ff. för mer information om hur MONA används. 15 Jfr exv. Federated Databases as a Basis for Infrastructure Supporting Epidemiological Research, Fomkin et al, i 20th International Workshop on Database and Expert Systems Application.

Själva federeringen av data kan ske med olika grad av flyktighet. I vissa sammanhang förekommer mellanlagring medan ett projekt pågår av en samkörd databas. I andra bara under de sekunder när data processas. I svenska forskningssammanhang finns vissa exempel på federerade lösningar, både nationellt och inom ramen för internationellt samarbete.16

Pseudonymisering

Pseudonymisering har en legaldefinition i förordningen. Denna definition tar dock inte upp hur pseudonymiseringen ska utformas. Detta kan göras på huvudsakligen två sätt, antingen baserat på identifierande uppgifter, eller utifrån helt fristående värden.

Pseudonymer baserade på identifierande uppgifter

I många fall, särskilt vid longitudinella studier, där det finns ett behov av att komplettera uppgifterna vid senare tillfälle, är det önskvärt att pseudonymen härleds från de ursprungliga uppgifterna. Ett enkelt exempel kan vara att skapa en pseudonym från ett personnummer genom att med en s.k. säker hashfunktion17 beräkna en hashsumma på personnumret. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya, personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.

Nackdelen är att denna process, särskilt om man bara använder en enstaka, starkt identifierande, uppgift som personnummer, inte är särskilt resistent mot återidentifiering. Om hashfunktionen är känd och man önskar ta reda på vilket personnummer som motsvarar en viss pseudonym räcker det med att pröva de cirka 400 miljoner möjliga personnummervärden som finns med hashalgoritmen för

16 Se SOU 2014:45 s. 337 ff. för en närmare beskrivning av dessa. 17 En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman.

att se vilket som motsvarar detta personnummer.18 För att motverka detta bör man välja en hashfunktion som är utformad för att vara resurskrävande. Denna underkategori av funktioner kallas allmänt nyckelderiveringsfunktioner (key derivation functions).

Vid användning av hashfunktionen kompletteras vanligen indata med ett unikt slumpvärde, s.k. saltning. Detta ökar resistensen så länge som saltet hålls hemligt. Det kan dock fortfarande vara möjligt att återidentifiera det ursprungliga värdet, särskilt om typen av värdet är känd och begränsad vad gäller möjliga värden.19

Pseudonymer i form av kodnycklar

Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.

Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifierande uppgifterna. Vid exempelvis longitudinella studier kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.

Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det.

18 Detta med antagandet att datamängden kan innehålla personer födda på 110 olika årtal, att det finns 365,25 dagar på ett år, och att de sista fyra siffrorna i ett personnummer kan anta 10 000 olika värden: 110 × 365,25× 10 000 = 401 775 000 olika personnummer. 19 Se artikel 29-gruppens yttrande 05/2014, s. 20.

När är det inte längre fråga om personuppgifter?

De definitioner som presenterats ovan väcker bl.a. frågan om vad som händer om man har pseudonymiserade personuppgifter med en separat kodnyckel, bestående av de kompletterande uppgifter som gör att uppgifterna kan tillskrivas en specifik registrerad, och kodnyckeln förstörs (med antagandet att kodnyckeln faktiskt kan förstöras, med tanke på molntjänster, backupper och annat) – blir det då fråga om anonymiserade data?

Vår bedömning är att det blir det, men denna bedömning vilar på en strikt tolkning av definitionen av pseudonymisering: Det centrala för att dataskyddsförordningen ska bli tillämplig är att personuppgifterna ska kunna tillskrivas en identifierbar person, dvs. det ska finnas antingen en identifierare eller ”en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet” (artikel 4.1).

För att det ska vara möjligt att tillskriva en person vissa uppgifter måste alltså denna person vara identifierbar. Som vi har sett är förordningens definition av ”identifierbar” bred och omfattar mer än bara namn och personnummer (se särskilt skäl 26 som anger att alla hjälpmedel som rimligen kan komma att användas för att identifiera någon ska beaktas vid denna bedömning). Det är lätt hänt att en viss kombination av attribut som bostadsort, yrke, kön, årsinkomst och liknande faktiskt är specifik för någons identitet i de angivna avseendena. Pseudonymisering måste därför, enligt denna strikta definition, omfatta mer än att bara byta ut identifierare som namn eller personnummer. Även andra attribut måste ändras så att de inte utgör faktorer som är specifika för den fysiska personens identitet i de angivna avseendena.

Det kan noteras att artikel 29-gruppen i det tidigare refererade yttrandet om avidentifieringsmetoder ställer ännu högre krav. Enligt dessa metoder ska det inte gå att särskilja (”single out”) en enskild individ på något sätt för att anonymisering ska anses ha skett. Detta gäller alltså även om man inte kan särskilja någon av dennes identiteter enligt ovan, utan endast avgöra att en viss post handlar om en särskild individ.20

20 Jfr artikel 29-gruppens yttrande 05/2014, s. 14.

Att en enskild person kan särskiljas, exempelvis genom att det i ett större dataset går att avgöra vilka poster som kan hänföras till denne person, är alltså inte nödvändigtvis samma sak som att denne är identifierbar. Personer vars personuppgifter är pseudonymiserade är alltid särskiljbara (genom själva pseudonymen). Att det går att särskilja exempelvis medicinska mätvärden för en enskild person innebär inte att denne person är identifierbar såvida inte mätvärdena tillsammans är specifika för exempelvis personens fysiska eller fysiologiska identitet.

Uppgifter om en viss person kan alltså vara särskiljbara utan att dataskyddsförordningen blir tillämplig, så länge som personen inte också är identifierbar enligt förordningens definition.

Randomisering

Randomisering är en familj av åtgärder som alla har det gemensamt att ett dataset skyddas genom att uppgifterna i det förvrängs i syfte att försvåra bakvägsidentifiering. Det ska i sammanhanget nämnas att alla förvrängningar av enskilda observationer innebär svårigheter för forskningen om metodiken innefattar att undersöka samband mellan värden på individnivå.

Brustillägg

Brustillägg innebär att enskilda attribut ändras inom vissa intervaller på så sätt att uppgifter inom en enskild post inte längre stämmer och därför inte kan användas för att återidentifiera en individ, men där attributets sammanlagda distribution i datasetet som helhet är oförändrat.

Permutation

Permutation innebär att enskilda attribut byts mellan poster så att varje enskilt attribut är korrekt, men inte uppträder i samma post som det ursprungligen gjorde. Detta kan ses som ett specialfall av brustillägg, men där intervall och distribution för varje attribut är oförändrat.

Differentiell integritet

Brustillägg och permutation är tekniker som måste tillämpas i förväg på ett dataset, och som syftar till att datasetet i sin helhet ska kunna överföras till en tredje part, utan risk att denna tredje part ska kunna göra en återidentifiering på materialet. I jämförelse är differentiell integritet (”differential privacy”) en teknik där det ursprungliga datasetet är oförändrat, men där tredje part inte ges tillgång till det. I stället får tredje part tillgång till vyer över datasetet utifrån en uppsättning fasta frågor. I en sådan vy läggs brus på attributvärden på ett sådant sätt att datasetets ägare (personuppgiftsansvarig) kan kontrollera hur mycket brus som ska läggas på för att kunna garantera en viss nivå av skydd. En fördel med denna metod är att åtkomst till datasetet sker genom fördefinierade frågor och under kontroll av ägaren till datasetet. Denne kan då övervaka om det uppstår möjligheter att identifiera enskilda individer genom olika vyer på datasetet.

Som skyddsåtgärd har differentiell integritet dock en praktisk nackdel i att det fulla datasetet fortfarande samlas in. Det finns därför en risk att överanvändandet av differentiell integritet leder till att mer dataset skapas än vad som är nödvändigt. I praktiken riskerar även dessa dataset göras tillgängliga i större utsträckning än vad som är nödvändigt, exempelvis via internet.

Generalisering

Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare på så sätt att integritetskänsliga eller särskiljande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges vilket åldersspann (exempelvis ”20–29 år”) denne faller inom. Sådan aggregering eller generalisering kan förstås begränsa informationen i och värdet av datasetet. Flera metoder för generalisering syftar till att minimera informationsförlusten av datasetets statistiska värde, men maximera svårigheten att urskilja enskilda individer i datasetet.

K-anonymitet

Med K-anonymitet utformas varje attributs möjliga värden så att minst K antal individer delar samma attributvärde. En enskild individ kan då inte identifieras som annat än del av en K individer stor grupp. Genom att välja värde på K kan man styra datasetets upplösning gentemot integritetsskyddet för den enskilde.

L-diversitet

K-anonymitet adresserar inte problemet med ekvivalensklasser, som kan beskrivas som grupper av attribut som kan vara korrelerade på så sätt att de kan användas för återidentifiering. L-diversitet kan ses som en utökning av K-anonymitet där problemet med ekvivalensklasser hanteras så att varje attribut i en ekvivalensklass har minst L olika värden.

T-närhet

Ett känsligt attribut är ett attribut som en angripare inte ska kunna härleda, dvs. en personuppgift vars exakta värde inte ska röjas. Med K-anonymitet och L-diversitet finns risken att fördelningen för ett sådant attribut inte är tillräckligt nära den riktiga fördelningen, vilket i sin tur kan leda till informationsläckage. T-närhet åtgärdar detta genom att kräva att skillnaden i fördelningen av ett känsligt attribut i någon ekvivalensklass och fördelningen av samma attribut i det totala datasetet befinner sig under ett tröskelvärde T.

Sökbegränsningar

I svensk lagstiftning har ofta sökbegränsningar, dvs. förbud mot användning av vissa sökbegrepp, använts som en slags skyddsåtgärd, särskilt i registerförfattningar.21 Det rör sig vanligtvis om förbud eller begränsningar kring att använda känsliga personuppgifter eller uppgifter om lagöverträdelser och liknande som sök-

21 Se bl.a. prop. 2007/08:126, s. 67 f, prop. 2000/01, s. 100 f. samt prop. 2014/15:148, s. 51 f.

begrepp. Dataskyddsförordningen innehåller i sig inte någon reglering av just sökmöjligheter, men eftersom sökning och den resulterande sammanställningen utgör en form av personuppgiftsbehandling måste den, som all annan behandling, vara förenlig med de angivna ändamålen.

Sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen har därför föreslagit ett generellt förbud mot att använda dessa typer av uppgifter som sökbegrepp när personuppgifter behandlas med stöd av ett viktigt allmänt intresse (artikel 9.2 g), i första hand i samband med ärendehandläggning.22

Vid personuppgiftsbehandling för forskningsändamål måste det dock vara möjligt att göra urval baserade på de faktorer eller variabler som ska studeras när detta är nödvändigt för att uppfylla ändamålet med behandlingen. Dessa faktorer eller variabler kan utgöras av känsliga personuppgifter eller uppgifter om lagöverträdelser och liknande.

Frågan om sökbegränsningar för system inrättade för forskningsändamål har aktualiserats i enskilda fall, exempelvis i samband med personuppgiftsbehandling vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). I förarbetena uttalades bl.a. följande:

IFAU söker i sina studier svar på frågan om värdet på en variabel, t. ex. antal dagar i arbetslöshet, har betydelse i förhållande till en viss utfallsvariabel, t.ex. att en enskild har fått arbete. Forskningsmetodiken är ofta explorativ på så sätt att olika modeller med många variabler undersöks. De variabler som inte har någon betydelse för utfallsvariabeln utesluts. Då återstår samband som kan tolkas och utvärderas. Att leta samband bland många variabler, även bland sådana där uppenbara logiska samband saknas, har visat sig vara en effektiv och värdefull metod för att hitta ny kunskap. Det är därmed inte önskvärt att begränsa antalet variabler som IFAU får använda i sin verksamhet.23

22SOU 2017:39 avsnitt 10.6.2. 23Prop. 2011/12:176 s. 48 f.

Även rörande den s.k. LifeGene-lagen har sökbegränsningar som skyddsåtgärd avstyrkts:

Med hänsyn till att det för utlämnande till forskningsprojekt måste vara möjligt att göra urval baserade på de faktorer eller variabler som ska studeras bör det dock inte i den föreslagna lagen ställas upp några begränsningar för vilka sökbegrepp som får användas.24

Även Registerforskningsutredningen har behandlat frågan om sökbegränsningar i databaser för forskningsändamål, och inte funnit skäl att införa sådana begränsningar:

Endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna. Det innebär att innehållet i databasen och därmed också möjliga sökbegrepp är noga avvägt och begränsat. För att databasen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas.25

Mot bakgrund av ovanstående anser vi därför inte att en generell sökbegränsning ska gälla vid personuppgiftsbehandling för forskningsändamål.

Utbildning av personal med tillgång till personuppgifter

Att utbilda den personal som har tillgång till personuppgifter lyftes fram som en av flera möjliga skyddsåtgärder vid förhandlingarna även om detta inte togs med i den slutliga förordningstexten.26 Att utbilda personal får i allmänhet anses följa av förordningens allmänna bestämmelser och varje individs skyldighet att känna till lagen, och i synnerhet av den princip som framgår av artikel 5.2 (ansvarsskyldighet). Det kan dock inte uteslutas att certifiering27 eller liknande av personal med tillgång till personuppgifter kan vara en organisatorisk åtgärd som minskar risken för intrång i de registrerades integritet.

24Prop. 2012/13:163 s. 43. 25SOU 2014:45 s. 442. 26 Note from German delegation to Working Party on Information Exchange and Data Protection, Subject: Pseudonymisation (dokument 14705/14, 24 oktober 2014), data.consilium.europa.eu/doc/document/ST-14705-2014-INIT/en/pdf 27 Med certifiering avses här ett utfärdande (från ett behörigt certifieringsorgan) som syftar till att visa att en viss person har kunskap om personuppgiftsbehandling och dess förenlighet med förordningen.

Det bör i sammanhanget nämnas att dataskyddsförordningen reglerar och uppmuntrar möjligheten till certifiering av behandling av personuppgifter (artikel 42). Det är dock inte samma sak som certifiering av personuppgiftsansvariga när denna tar sikte på själva processen för behandlingen snarare än de personer som utför den.

Avskild verksamhet

Det följer direkt från förordningens säkerhetskrav att den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att varje fysisk person som utför arbete under dennes överinseende endast behandlar personuppgifter på instruktion från denne (artikel 32.4). Utöver detta kan det också vara fördelaktigt att avskilja personuppgiftsbehandlande verksamhet från övrig verksamhet.

Att skapa en avskild verksamhet inom en större myndighet eller ett företag, genom att exempelvis ha fysiskt avskilda servrar, låsta avdelningar, organisatorisk indelning, behörighetskontroll med mera, syftar till att begränsa framför allt de personer som har tillgång till personuppgifterna, samt även utgöra en tydligare och mer kontrollerbar gräns som skydd mot dataintrång. Det kan därför utgöra en skyddsåtgärd i dataskyddsförordningens mening.

Ett exempel på en lagreglerad avskild verksamhet utgör 10 § förordningen (2001:100) om den officiella statistiken, som rör behandling av personuppgifter och som anger att en statistikansvarig myndighets verksamhet för framställning av statistik ska vara organiserad så att den är avgränsad från myndighetens verksamhet i övrigt.

Regelefterlevnad (”compliance”)

När en viss skyddsåtgärd införs är det viktigt att verksamheten anpassas så att det är möjligt att kontrollera att åtgärden har avsedd effekt. Om exempelvis accesskontroll för personuppgifter införs kan man inte veta om den fungerar som avsett utan att följa upp hur denna kontroll har efterlevts i praktiken. Detta görs ofta genom loggkontroller, där man analyserar de loggar som systemet för accesskontroll kan föra, och genom vilka man kan få reda på vilka som har medgivits eller nekats tillgång till vilka resurser.

Sådan loggning och logguppföljning utgör förstås personuppgiftsbehandling i sig, med de anställda som registrerade, och behöver ha stöd i bl.a. artiklarna 5 och 6 i dataskyddsförordningen.

I en bredare bemärkelse utgör regelefterlevnad ett förfarande för att testa, undersöka och utvärdera effektiviteten hos andra skyddsåtgärder. Av artikel 32.1 d framgår att ett sådant förfarande kan övervägas för att säkerställa en lämplig säkerhetsnivå. Förordningen förelägger dock inte den personuppgiftsansvarige att göra just detta.

Regelefterlevnad utgör således ett förfarande för att bl.a. testa, undersöka och utvärdera effektiviteten av införda åtgärder, och är enligt utredningens bedömning en skyddsåtgärd som kan användas för att säkerställa en lämplig säkerhetsnivå.

12.3.4. Rättsliga skyddsåtgärder

Det finns ett antal rättsligt orienterade åtgärder som kan öka skyddet för personuppgifter och de registrerades grundläggande rättigheter och friheter. Vi har samlat dessa under begreppet ”rättsliga skyddsåtgärder”, en indelning som inte förekommer i förordningstexten.

Det bör uppmärksammas att termen ”tekniska och organisatoriska åtgärder” används i artikel 89.1, angående vilka åtgärder som krävs för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Detta får anses medföra att en rättslig åtgärd inte ensam kan utgöra sådan skyddsåtgärd som krävs enligt denna artikel.

På andra ställen i förordningen (bl.a. artikel 9.2 j om behandling av känsliga uppgifter) används däremot ”lämpliga skyddsåtgärder” utan någon avgränsning. I detta sammanhang är det fråga om sådana åtgärder som ska vara fastställda enligt unionsrätten eller medlemsstaternas nationella rätt.

Det krävs därför en vidare analys av i vilka sammanhang följande åtgärder kan uppfylla förordningens krav på skyddsåtgärder. Utöver nedanstående åtgärder analyseras även etikprövning som skyddsåtgärd i kapitel 14.

Avtal

I vissa sammanhang kan avtalsvillkor som exempelvis begränsar mottagares rätt att vidarebehandla personuppgifter utgöra en skyddsåtgärd. Ett exempel är SCB:s tjänst för mikrodata (MONA). Med mikrodata avses i statistiska sammanhang information på individuell svarsnivå. Detta innefattar vanligen personuppgifter. I tjänstens användarvillkor intygar användaren bl.a. att inte kopiera mikrodata från MONA-systemet till annan dator.28

Skyddet består i att ytterligare behandling hos mottagaren – som förstås måste ha en tillämplig rättslig grund för sin behandling av personuppgifter och i övrigt uppfylla de grundläggande principerna för personuppgiftsbehandling – genom ett eller flera avtalsvillkor kan begränsas. Av dataskyddsförordningens artikel 46.3 e framgår att avtalsvillkor kan utgöra skyddsåtgärder vid vissa tredjelandsöverföringar. Vår bedömning är att avtalsvillkor generellt kan utgöra skyddsåtgärder. Lämpligheten är dock förstås avhängigt villkorens materiella innehåll.

Sekretessbestämmelser

Detta avsnitt fokuserar på skyddet för personuppgifter som behandlas inom ramen för forskningsverksamhet när det är fråga om att lämna ut dessa personuppgifter till annan verksamhet.

I offentlighets- och sekretesslagen (2009:400) (OSL) regleras ett fåtal typer av uppgifter i sammanhang som har direkt anknytning till forskning:

  • Uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål (24 kap. 1 § OSL).
  • Uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts det rättspsykiatriska forskningsregistret (24 kap. 2 § OSL).
  • Uppgift som avser en enskilds personliga förhållanden i verksamhet enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den s.k. ”LifeGenelagen”), 24 kap. 2 a § OSL).

28 Se även FAQ: ”Finns det restriktioner på vilken typ av information filerna jag tar hem får innehålla? Ja, datafiler får ej innehålla mikrodata utan enbart aggregat.”, h ttp://www.scb.se/Grupp/ Pr odukter_Tjanster/Forskare/_Dokument/MONA/FAQ.pdf

  • Uppgifter om en enskilds personliga eller ekonomiska förhållanden i verksamhet som består i etikprövning och tillsyn enligt etikprövningslagen (24 kap. 3 § OSL).
  • Uppgift i en upptagning som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål, (24 kap. 4 § OSL).

Utöver ovanstående finns vissa regler till skydd för enskild som gäller oavsett i vilket sammanhang uppgiften förekommer:

Dessa bestämmelser har olikartad utformning vad gäller presumtion för offentlighet eller sekretess, sekretessens styrka m.m. Utformningen av bestämmelserna i varje enskilt fall får antas ha gjorts med beaktande av risker för den enskilde. Under dessa förutsättningar är vår bedömning att de aktuella sekretessbestämmelserna också utgör skyddsåtgärder i dataskyddsförordningens mening. En likartad bedömning har även tidigare gjorts i samband med genomförandet av det nuvarande dataskyddsdirektivet.29 Eftersom sekretesslagstiftningen i sig utgör en avvägning mellan skyddet för den enskilde och insynsintresset får lagstiftningen presumeras vara förenlig med det väsentliga innehållet i rätten till dataskydd.

Av praktisk betydelse för forskningen är även den regel om överföring av sekretess som återfinns i 11 kap. 3 § OSL och som anger att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten (med undantag för uppgifter som ingår i beslut hos den mottagande myndigheten). Den s.k. statistiksekretessen (24 kap. 8 § OSL) är här av särskild betydelse för registerbaserad forskning.

En effekt av en sekretessbestämmelse är att den person som vid en myndighet får del av en uppgift för vilken det råder sekretess kan dömas till ansvar för brott mot tystnadsplikt om denne ändå röjer uppgiften (20 kap. 3 § brottsbalken via 4 kap. 2 § OSL). För

29SOU 1997:39 s. 307.

vissa sekretessbestämmelser går denna tystnadsplikt även före den grundlagsskyddade meddelarfriheten.

I den mån aktuell forskning utförs inom en myndighet bedömer utredningen att tillämpliga sekretessbestämmelser utgör en rättslig skyddsåtgärd för den registrerades rättigheter och friheter.

Tystnadsplikt

Användning av tystnadsplikt som skyddsåtgärd nämns särskilt i förordningens artikel 9.2 i som ett undantag från det generella förbudet att behandla känsliga personuppgifter på folkhälsoområdet. En motsvarande bestämmelse saknas dock för behandling för forskningsändamål. Av föregående avsnitt om sekretess framgår att det för en uppgift som omfattas av sekretess råder tystnadsplikt för den person vid en myndighet som får del av uppgiften.

Utöver den tystnadsplikt som följer av sekretessen finns regler om tystnadsplikt som träffar personer inom enskild verksamhet. Exempelvis anger 6 kap. 12 § patientsäkerhetslagen (2010:659) att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Bestämmelserna är avsedda att ge patienten samma skydd som enligt OSL.30 Denna bestämmelse tar dock inte sikte på forskning i enskild verksamhet.

För uppgifter inom enskilt bedriven forskning finns inte, som till exempel inom privat hälso- och sjukvård, några generellt tillämpliga bestämmelser om tystnadsplikt. Om en forskare i enskild verksamhet begär ut uppgifter som omfattas av sekretess från en myndighet kan dock uppgifterna i vissa fall ändå lämnas ut, med stöd av 10 kap. 14 § OSL och med ett förbehåll som ålägger den enskilde forskaren tystnadsplikt.

Vår bedömning är att befintlig lagreglerad tystnadsplikt, utöver vad som följer av sekretesslagstiftningen, endast undantagsvis kan sägas utgöra en skyddsåtgärd i dataskyddsförordningens mening. Vi bedömer vidare att det inte ryms inom utredningens uppdrag att komma med nya förslag på reglering av tystnadsplikt, då sådana

30SOU 2015:45 s. 464.

förslag skulle ha konsekvenser utanför de frågor vi har i uppdrag att reglera.

Avtalsreglerad tystnadsplikt kan dock, på samma sätt som andra avtalsvillkor, utgöra lämplig skyddsåtgärd.

Möjlighet att motsätta sig behandling (opt out-reglering)

I kapitel 6 har utredningen redogjort för möjligheterna att använda samtycke som rättslig grund för personuppgiftsbehandling.

Ett alternativt förhållningssätt till den enskildes viljeyttring kan vara att, inom ramen för en personuppgiftsbehandling som sker på annan rättslig grund än samtycke, ge den registrerade möjlighet att motsätta sig behandling av dennes personuppgifter (opt out-reglering). Exempel på sådana möjligheter i lagstiftningen finns i 7 kap. 2 § patientdatalagen (2008:355), där den enskilde ges möjlighet att motsätta sig att dennes personuppgifter behandlas i ett s.k. kvalitetsregister.31 Ytterligare exempel finns i 11 § personuppgiftslagen, där den enskilde ges möjlighet att skriftligen motsätta sig behandling av sina personuppgifter för ändamål som rör direkt marknadsföring.32I dessa fall utgör den enskildes motsättande ett absolut rättsligt hinder för vidare personuppgiftsbehandling.

Om grunden för behandlingen i stället är en intresseavvägning enligt dataskyddsförordningens artikel 6.1 f (motsvarande dagens reglering i 10 § f personuppgiftslagen) får den registrerades uttryckliga motsättande mot behandlingen visserligen anses väga tungt, men den utgör inte ett absolut hinder.33

Om grunden för behandlingen är intresseavvägning enligt artikel 6.1 f eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e har den registrerade rätt att göra invändningar mot behandlingen enligt artikel 21. Denna möjlighet behandlas närmare i avsnitt 10.3.4.

31 Med kvalitetsregister avses enligt 7 kap. 1 § patientdatalagen en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. 32 En motsvarande bestämmelse finns i artikel 21.3 i dataskyddsförordningen. 33 I forskningssammanhang är det av stor betydelse att en myndighet inte kan basera en laglig behandling på intresseavvägning som rättslig grund enligt artikel 6.1 andra stycket i dataskyddsförordningen.

Opt out skiljer sig från avsaknad av samtycke eftersom den enskilde aktivt måste motsätta sig behandlingen. Skyddsåtgärden består i att den enskilde ges kontroll att hindra en personuppgiftsbehandling som annars hade varit tillåten.

Vid opt out-reglering som skyddsåtgärd är grundförutsättningen att det finns en annan rättslig grund än samtycke för personuppgiftsbehandlingen. För att opt out-regleringen ska vara effektiv måste den enskilde få vetskap om att den sker i enlighet med artiklarna 12–14 i dataskyddsförordningen. Möjligheten att exempelvis låta bli att informera den enskilde i enlighet med artikel 14.5 b får inte användas om opt out-reglering ska tillämpas som skyddsåtgärd. Inte heller kan den enskildes rätt till tillgång enligt artikel 15 inskränkas med stöd av artikel 89.2.

Reglering av möjlighet att motsätta sig behandling bör kunna förenas med formkrav på exempelvis skriftlighet, undertecknande eller liknande. För att regleringen ska betraktas inte bara som en skyddsåtgärd i sig utan också som en lämplig skyddsåtgärd måste dock eventuella formkrav vara proportionerliga gentemot ett legitimt intresse som formkravet har till syfte att säkerställa. Det kan exempelvis vara fråga om att försäkra sig om att det verkligen är den registrerade som är den som motsätter sig behandlingen. I sammanhanget bör beaktas de villkor för den registrerades utövande av sina rättigheter som framgår av artikel 12 samt rätt till information och tillgång som framgår av artiklarna 13–15. Särskilt bör formkrav utformas så att de kan uppfyllas på enklast möjliga sätt, vilket ofta innebär elektroniskt uppfyllande (jfr skäl 59).

Arkivering, gallring och utplåning

I sådan forskning som bedrivs i offentlig verksamhet medför offentlighetsprincipen att enskilda har rätt att ta del av allmänna handlingar hos myndigheter (2 kap. tryckfrihetsförordningen). Myndigheters arkiv är en del av det nationella kulturarvet. För att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov ska myndigheternas arkiv bevaras, hållas ordnade och vårdas enligt 3 § arkivlagen (1990:782).

Med gallring avses generellt att förstöra allmänna handlingar eller uppgifter i allmänna handlingar. I en digital miljö omfattas även åtgärder med handlingarna som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter, eller förlust av möjligheter att bedöma handlingarnas autenticitet (2 kap. 1 § RA-FS 2009:1).

Huvudregeln i arkivlagstiftningen är att allmänna handlingar ska arkiveras för att därefter kunna gallras eller bevaras. Principen om uppgiftsminimering i dataskyddsförordningen föreskriver däremot bl.a. att uppgifter inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas. Principen om lagringsminimering föreskriver vidare att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas.34 Särskilt vad gäller personuppgiftsbehandling för forskningsändamål anges i artikel 89.1 att när dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

I den mån arkivering innebär att uppgifter avskiljs från den vanliga verksamheten genom att exempelvis lagras separat kan effekten bli ett visst skydd för den registrerades rättigheter och friheter enligt dataskyddsförordningen. Men även separat lagring utgör personuppgiftsbehandling. Den princip om allmänna handlingars bevarande som finns i den svenska arkivlagstiftningen är därmed i konflikt med de olika minimeringsprinciperna i dataskyddsförordningen. Vad gäller arkivlagstiftningens förenlighet med nuvarande dataskyddsdirektiv har denna konflikt adresserats i samband med genomförandet i form av 8 § andra stycket personuppgiftslagen, som anger att lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Dataskyddsutredningen har haft i uppdrag att bl.a. analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar som behövs utöver dataskyddsförordningen.

34 Personuppgifter får dock lagras under längre tid i den mån de enbart behandlas för bl.a. arkiv- och forskningsändamål, under förutsättning att skyddsåtgärder genomförs.

Även om arkivering kan vara tillåten enligt dataskyddsförordningen kan det, med tanke på den ovan beskrivna konflikten, knappast bedömas utgöra en skyddsåtgärd. Gallring, i den betydelse att uppgifterna utplånas, kan däremot utgöra en sådan åtgärd som särskilt säkerställer att principen om lagringsminimering i artikel 5.1 e och kraven i artikel 89.1 uppfylls. Vår bedömning är därför att beslut om gallring inom en viss myndighetsverksamhet kan utgöra en rättslig skyddsåtgärd i dataskyddsförordningens mening vad gäller behandling för forskningsändamål i den mån kriterierna för gallring motsvarar de krav som följer av principen om uppgiftsminimering i artikel 5.1 e samt kravet på att ändamålen ska uppfyllas genom uppgifter som inte medger identifiering av de registrerade när så är möjligt i artikel 89.1.

12.3.5. Säkerhet

Utöver de lämpliga skyddsåtgärder som artikel 89.1 kräver ställer förordningen i artikel 25 och 32 krav på att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Dessa åtgärder kan i många fall vara av samma slag, även om skyddsobjektet (den registrerades rättigheter och friheter, respektive lämplig säkerhetsnivå) skiljer sig åt.

Kriterier för en lämplig säkerhetsnivå

I det nuvarande dataskyddsdirektivets artikel 17 anges att medlemsstaterna ska föreskriva att lämpliga tekniska och organisatoriska åtgärder ska genomföras för att skydda personuppgifter. Åtgärderna ska med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas. Artikeln har genomförts i 31 § personuppgiftslagen.

Motsvarigheten i dataskyddsförordningen finns i artikel 32.1, som inleds:

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Jämfört med artikel 17 i det nuvarande dataskyddsdirektivet är denna uppräkning av utvärderingskriterier för vad som är en lämplig åtgärd mer detaljerad, men innehåller inte något kriterium som i sak avviker från artikel 17. En genomgång av de olika kriterierna kan göras utifrån lydelsen av artikel 32 i dataskyddsförordningen enligt nedan.

Med beaktande av den senaste utvecklingen

Rubriken får anses motsvara ”Med beaktande av den nuvarande tekniska nivån” i artikel 17 i det nuvarande dataskyddsdirektivet. Det framstår emellertid inte som självklart hur man ska se på den omständighet att teknik inte nämns i det nya kriteriet – är det underförstått att det är fråga om den tekniska utvecklingen inom i första hand it-säkerhet, eller ska även utvecklingen inom närbesläktade, ”mjukare” områden beaktas, såsom risker som kan uppstå med nya möjligheter till social manipulation?

Mot bakgrund av fortsättningen av artikel 32, vilken behandlar åtgärder som i första hand är förknippade med it-säkerhet, finner vi att en rimlig utgångspunkt är att det är it-utvecklingen, särskilt på säkerhetsområdet, som ska beaktas i första hand.

Den nya lydelsen förmedlar tydligare att utvecklingen på området hela tiden fortgår. Detta får till effekt att en åtgärd som bedöms som lämplig ett år kanske inte är lämplig året efter, just på grund av utvecklingen. Särskilt vad gäller it-säkerhet och metoder för kryptering upptäcks hela tiden mer avancerade attacker mot dessa.

Genomförandekostnaderna

Rubriken får anses motsvara ”de kostnader som är förknippade med åtgärdernas genomförande” i artikel 17 i det nuvarande dataskyddsdirektivet. Vad som är kostnadsdrivande i genomförandet av en åtgärd beror såväl på den faktiska åtgärden som på det sammanhang den ska införas i. En organisation med hög teknisk kompetens och befintliga liknande åtgärder kommer att kunna införa en viss teknisk åtgärd billigare än en organisation som saknar denna kunskap.

Generellt sett medför dock den tekniska utvecklingen att genomförandekostnaderna för en specifik teknisk åtgärd i allmänhet sjunker över tid. Detta bl.a. på grund av hård- och mjukvaras kommodifiering, dvs. att från början tekniskt avancerade funktioner som krypterad lagring och servercertifikat för säker kommunikation går mot att bli standardfunktioner. Detta utgör en motvikt till den ovan nämnda tendensen att en specifik åtgärd kan anses mindre och mindre lämplig allt eftersom tiden går. Tillsammans ger båda dessa utvecklingstendenser att bedömningen av vad som utgör lämpliga säkerhetsåtgärder måste göras kontinuerligt, inte enbart vid behandlingens början.

Behandlingens art, omfattning, sammanhang och ändamål

Rubriken får anses motsvara ”arten av de uppgifter som ska skyddas” i artikel 17 i det nuvarande dataskyddsdirektivet, eller som kriteriet uttryckts i svensk lagstiftning, ”hur pass känsliga de behandlade personuppgifterna är” (31 § d personuppgiftslagen). Dataskyddsförordningen utgår dock från att man ska beakta behandlingen, inte uppgifterna i sig. En ytterligare ändring är att där direktivet endast utgår från uppgifternas art så utgår förordningen från behandlingens art, omfattning, sammanhang och ändamål.

Detta kriterium, tillsammans med nästföljande, tydliggör att valet av lämplig skyddsåtgärd fordrar en avvägning: å ena sidan utifrån vad som är tekniskt och ekonomiskt rimligt, å andra sidan utifrån hur viktigt skyddet egentligen är. Det förefaller naturligt att den registrerades rättigheter måste skyddas mer noggrant när det är fråga om känsliga personuppgifter än när det är fråga om mer alldagliga uppgifter, och att detta skydd i så fall måste få kosta mer.

Riskerna för fysiska personers rättigheter och friheter

Rubriken indikerar ett avslutande kriterium som får anses motsvara ”de risker som är förknippade med behandlingen” i artikel 17 i det nuvarande dataskyddsdirektivet. Ingen av dessa formuleringar kan dock läsas helt fristående, eftersom artiklarna på andra ställen i förordningen större detalj beskriver riskbedömningen. Artikel 17 i det nuvarande dataskyddsdirektivet inleds:

Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.

Dataskyddsförordningens artikel 32.2 anger:

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Även om skyddsmålet i slutändan är den enskildes integritet ligger tyngdpunkten vid denna riskbedömning på uppgiftsförstörelse eller obehörigt röjande. Dataskyddsförordningen nämner även obehörig åtkomst. Den omständighet att dataskyddsförordningen till skillnad från det nuvarande dataskyddsdirektivet inte i detta sammanhang nämner ”överföring av uppgifter i ett nätverk” medför enligt vår bedömning inte en materiell förändring av riskbedömningen, utan får snarast ses som en följd av att överföring i nätverk är det vanliga år 2017, på ett sätt som det kanske inte var år 1995 när det nuvarande dataskyddsdirektivet antogs.

Den nationella säkerhetsstrategin

Regeringen presenterade den 8 januari 2017 en ny nationell säkerhetsstrategi. Under rubriken ”Informations- och cybersäkerhet, digitala risker” framhålls att det är en uppgift för alla aktörer i samhället att fortlöpande arbeta för att minska sårbarheter. Förmågan

att förebygga, identifiera och hantera it-incidenter och antagonistiska attacker behöver därtill förbättras inom alla samhällsviktiga funktioner. Regeringen håller även på att ta fram en nationell strategi för informations- och cybersäkerhet som bl.a. bygger på EU-direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet).35 NISdirektivet och dataskyddsförordningen innehåller inga direkta referenser mellan sig. Nationella och unionsrättsliga regler om it-säkerhet måste förstås ändå beaktas inom ramen för den personuppgiftsansvariges säkerhetsansvar.

12.4. Överväganden och förslag

Nedan lämnar vi förslag på bestämmelser om skyddsåtgärder gällande all personuppgiftsbehandling för forskningsändamål. Utöver dessa lämnar vi även specifika förslag på bestämmelser om skyddsåtgärder vid behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. i kapitel 14.

12.4.1. Lämplig normgivningsnivå

Utredningens bedömning: Bestämmelser om skyddsåtgärder

vid personuppgiftsbehandling kan och bör ges i författningsform.

Det utesluter inte att skyddsåtgärder även kan beslutas i det enskilda fallet genom meddelade villkor i samband med etikprövning, eller självregleras genom godkända uppförandekoder.

Vi föreslår inte något särskilt bemyndigande för en myndighet att meddela föreskrifter om skyddsåtgärder.

Vårt uppdrag i denna del är att lämna förslag på sådana lämpliga skyddsåtgärder som personuppgiftsbehandling för forskningsändamål ska omfattas av. Vi ska vidare lämna behövliga författningsförslag.

35 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Se vidare utredningen om genomförande av NIS-direktivets betänkande Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36).

För att behandling av känsliga personuppgifter ska vara tillåten måste den enligt artikel 9.2 j vara nödvändig på grundval av unionsrätten eller medlemsstaternas nationella rätt som ska innehålla bestämmelser om skyddsåtgärder. Även behandling av personuppgifter om lagöverträdelser m.m. av andra än myndigheter kräver stöd i unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts. Utöver detta är det inte självklart att lämpliga skyddsåtgärder för personuppgiftsbehandling för forskningsändamål måste regleras i nationell lagstiftning, även om det av skäl 156 framgår att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål. Dataskyddsförordningens krav på lämpliga skyddsåtgärder i artikel 89.1 är direkt tillämpliga. Nationell reglering som anvisar vissa särskilda skyddsåtgärder förhindrar inte EU-domstolen att göra en självständig bedömning av huruvida en viss skyddsåtgärd är lämplig i ett visst sammanhang.

Alternativ till lagreglering av skyddsåtgärder kan vara att bemyndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder enligt artikel 40 kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas.

Etikgodkännande med villkor

Etikprövningsnämnderna har enligt gällande rätt och även enligt våra förslag möjlighet att förena ett etikgodkännande med villkor. Dessa villkor kan utgöra skyddsåtgärder.

Det är visserligen så att etikprövning i dag sker, och även fortsättningsvis föreslås ske, endast för forskning som medför behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. Forskning som inte innefattar behandling av denna typ av personuppgifter etikprövas inte, och det saknas därför möjlighet att ålägga sådan forskning villkor enligt etikprövningslagen. Det får dock antas att forskning av detta slag generellt sett är mindre känslig för den personliga integriteten, och att behovet av den förutsägbara och lagreglerade tillämpningen av skyddsåtgärder är mindre i dessa fall. Kravet på lämpliga skyddsåtgärder kvarstår även när etikprövning inte är obligatoriskt, men den personuppgiftsansva-

rige har då att självständigt göra en bedömning av vilka skyddsåtgärder som bör tillämpas. Datainspektionen har som tillsynsmyndighet möjlighet att utöva tillsyn över sådan behandling.

Uppförandekoder

Dataskyddsförordningen ger en möjlighet till införande av uppförandekoder som kan godkännas av tillsynsmyndighet eller kommissionen (artikel 40). Efter godkännande kan anslutning till sådan uppförandekod användas för att visa att den personuppgiftsansvarige uppfyller sina skyldigheter (artikel 24). Avsikten med sådana uppförandekoder är att bidra till att förordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där personuppgiftsbehandling sker. Ett sådant exempel är Biobanking and BioMolecular resources Research Infrastructure (BBMRI), ett s.k. European Research Infrastructure Consortium (ERIC), som har för avsikt att ta fram en uppförandekod för ”health and life science”. Första utkastet till en sådan uppförandekod kommer att presenteras under juli 2017 med målsättningen att ha en version som kan godkännas enligt den process som anges i artikel 40.36

Vår bedömning är att sådana uppförandekoder kan vara en lämplig mekanism för självreglering av personuppgiftsbehandling för forskningsändamål under tillsynsmyndigheten och kommissionens insyn.

Sammanfattning

Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform.

Jämfört med villkor meddelade vid etikgodkännande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

36 Se vidare Summary Report on the BBMRI-ERIC Working Meeting on Health and Life Sciences GDPR Code of Conduct, http://www.bbmri-eric.eu/news-events/summary-report -on-the-bbmri-eric-working-meeting-on-health-and-life-sciences-gdpr-code-of-conduct/

12.4.2. Förslag till skyddsåtgärder

Uppgifter får inte användas för att vidta åtgärder i fråga om den registrerade

Utredningens förslag:Personuppgiftslagens befintliga bestäm-

melse som anger att uppgifter som samlats in för forskningsändamål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.

Den befintliga bestämmelsen i 9 § fjärde stycket personuppgiftslagen samt undantaget i 8 § andra stycket samma lag för myndighets användning av personuppgifter i allmänna handlingar överförs till forskningsdatalagen. Dessa två bestämmelser har tillsammans tidigare bedömts vara en lämplig skyddsåtgärd när uppgifter behandlas för bl.a. forskningsändamål.37

Den befintliga bestämmelsen i 9 § fjärde stycket personuppgiftslagen omfattar historiska, statistiska eller vetenskapliga ändamål. Vad gäller historiska och statistiska ändamål har Dataskyddsutredningen föreslagit en likartad reglering i dataskyddslagen för arkivändamål och statistiska ändamål. Dataskyddsutredningen har bedömt att det saknas skäl att ange att personuppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att uppgiften används för nya ändamål, kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen. Vi ansluter oss till denna bedömning. I sammanhanget ska understrykas att det nya ändamålet omfattar vidtagande av åtgärder i fråga om den registrerade och alltså inte för forskningsändamål.

Bestämmelsen har omformulerats något med anledning av att huvudregeln i 9 § fjärde stycket sammanförts med sitt undantag i 8 § andra stycket. Vi avser dock ingen ändring i sak jämfört med dagens bestämmelser.

37Prop. 1997/98:44 s. 62 och 119.

Personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt

Utredningens förslag: Personuppgifter ska pseudonymiseras eller

skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppfyllas på det viset.

Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som en tänkbar skyddsåtgärd. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form.

Vi anser därför att den personuppgiftsansvarige ska skydda personuppgifterna genom att tillämpa pseudonymisering eller likvärdigt skydd, under förutsättning att forskningsändamålen kan uppfyllas på det viset.

I denna bedömning har vi framför allt beaktat skaderisken vad gäller intrånget i den registrerades personliga integritet som sammankopplingen mellan dennes identitet och anknytande personuppgifter medför. Denna prioritering har stöd särskilt i skäl 75 i dataskyddsförordningen som lyfter fram risken för ”obehörigt hävande av pseudonymisering”. Pseudonymisering innebär enligt definitionen i artikel 4.5 bl.a. att kompletterande information behövs för att sådan tillskrivning ska bli möjlig. Genom att särskilt prioritera konfidentialitet i denna kompletterande information säkerställs skyddsåtgärdens effektivitet.

Alternativ till pseudonymisering enligt dataskyddsförordningen

Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är, som beskrivits i avsnitt 12.3.3, strikt och ställer framför allt kravet på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer/koder. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt.

Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet, se exempelvis diskussionen om skyddsåtgärderna randomisering och generalisering i avsnitt 12.3.3. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Utvecklingen, framför allt på det tekniska området, gör det mindre lämpligt att föreskriva en viss form av skyddsåtgärder om lämpligare tekniker kan komma att utvecklas i framtiden.

Vad är likvärdigt skydd?

Det skydd som följer av pseudonymisering utgörs främst av att identifierande uppgifter avlägsnas från de uppgifter som behandlas. Information som kan användas för att identifiera den enskilde bevaras separat och omgärdas av säkerhetsåtgärder. Detta hindrar att den enskilde sammankopplas med sina uppgifter.

Med likvärdigt skydd avser vi en åtgärd eller kombination av åtgärder som i samma utsträckning som pseudonymisering förhindrar att den enskilde obehörigen sammankopplas med sina personuppgifter. Med obehörig sammankoppling avser vi här en sammankoppling mellan den enskilde och dennes uppgifter som inte framgår från det angivna ändamålet med behandlingen.

Alternativa åtgärder kan åstadkomma ett likvärdigt skydd genom att exempelvis begränsa åtkomst till identifierande uppgifter, eller omfatta instruktioner för hur personuppgiftsbehandling får bygga på användning av identifierande uppgifter. Exempel på sådana åtgärder kan vara att en separat organisation har hand om sådan information som kan användas för att identifiera den enskilde, eller att instruktionerna för personuppgiftsbehandling inom ramen för forskningen uttryckligen förbjuder försök till återidentifiering (jfr avsnitt 12.3.2).38

Detta likvärdighetskriterium för skyddsåtgärder gör det möjligt att exempelvis använda mindre ingripande metoder för att behandla

38 Det torde vara det normala inom de flesta forskningsprojekt att återidentifiering inte får ske. Det tidigare nämnda Stockholm Birth Cohort har dock använt återidentifiering som ett verktyg för att påföra ny information till anonymiserad data. Detta projekt skulle därför inte kunna använda den här föreskriva skyddsåtgärden, utan i stället få åberopa att ändamålet inte kan uppnås på det viset.

uppgifterna, exempelvis att endast ersätta direkt identifierande uppgifter med pseudonymer eller koder (kodning), under förutsättning att ytterligare åtgärder vidtas för att säkerställa att någon obehörig sammankoppling mellan den enskilde och dennes personuppgifter inte sker.

Förutsatt att ändamålet kan uppnås på sådant vis

Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Även om sådan behandling kan framgå genom det angivna ändamålet (med behandlingen), och därmed inte kan anses utgöra obehörig sammankoppling, anser vi inte att detta är att betrakta som ett likvärdigt skydd. Forskningsmetoden kan dock utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan fortfarande väga upp risken för den enskildes personliga integritet.

Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annat likvärdigt skydd, om forskningsändamålet annars inte kan uppnås.

Det är i första hand forskningsaktören som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller likvärdiga skyddsåtgärder tillämpas. I samband med forskning som etikprövas kan dock etikprövningsnämnder meddela villkor, bland annat om pseudonymisering.

Den registrerade ska kunna motsätta sig personuppgiftsbehandling

Utredningens förslag: Den enskilde ska ges möjlighet att mot-

sätta sig att dennes personuppgifter behandlas för forskningsändamål.

Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.

Möjlighet att motsätta sig behandling (opt out) som skyddsåtgärd har berörts i avsnitt 12.3.4. Personuppgiftsbehandling för forskningsändamål torde som huvudregel utföras med stöd av att den är nödvändig för att utföra en uppgift av allmänt intresse. Det finns därför ett behov av att även låta den enskildes inställning påverka möjligheten att behandla dennes personuppgifter.

I denna bedömning har vi beaktat vikten av den enskildes medverkan i en säkerhetsanalys rörande sina egna personuppgifter. Genom att ge den enskilde möjligheten att motsätta sig behandling har vi också tillerkänt den registrerade ett grundläggande inflytande över bl.a. riskbedömningen. Den enskilde har i detta ett begränsat val att antingen låta sina personuppgifter ingå i behandlingen eller inte.

Kravet på information

Den enskilde måste få vetskap om att behandlingen sker för att kunna motsätta sig behandlingen.

Dataskyddsförordningen anger i artiklarna 12–15 på vilket sätt den enskilde ska informeras om sina rättigheter i samband med personuppgiftsbehandling. Det finns vissa möjligheter till undantag från dessa informationsplikter när personuppgifter behandlas för forskningsändamål. Exempelvis behöver den personuppgiftsansvarige, när uppgifterna erhållits från annan än den registrerade, inte informera den enskilde om det skulle visa sig vara omöjligt eller skulle medföra en oproportionerlig ansträngning (artikel 14.5 b). Den personuppgiftsansvarige behöver inte heller ge den registrerade bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas, eller i så fall ge tillgång till personuppgifterna samt information om behandlingen (om nationell lagstiftning gör undantag från artikel 15 med stöd av artikel 89.2). Om tillämpningen av sådana undantag leder till att den enskilde i praktiken inte kan motsätta sig behandlingen kan denna skyddsåtgärd inte heller anses uppfylld.

Undantag från kravet att informera om eller erbjuda möjlighet att motsätta sig behandling

I många sammanhang, särskilt vid registerforskning, uppstår praktiska problem kring information till de registrerade personerna. Det kan exempelvis röra sig om att forskningen sker utan de registrerades samtycke, på personuppgifter som pseudonymiserats eller kodats. Skäl 57 i dataskyddsförordningen anger att den personuppgiftsansvarige inte bör vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i förordningen. Det måste därför finnas ett undantag från skyldigheten att erbjuda en möjlighet för den enskilde att motsätta sig behandlingen, när det skulle visa sig vara omöjligt eller medföra en oproportionerlig ansträngning att informera den enskilde (jämför artikel 14.5 b).39

Däremot är det i många andra fall tänkbart och lämpligt att informera den registrerade att dennes personuppgifter behandlas, men att det ändå inte går att uppfylla forskningsändamålen om det finns en möjlighet att motsätta sig behandling.

Med vissa forskningsmetoder finns vidare problem med bortfall, när enskilda väljer att inte fortsatt medverka. Detta kan öka osäkerheten i forskningsresultaten.40 För vissa studier, exempelvis rörande våld i nära relationer eller smittsamma sjukdomar, kan det dessutom vara olämpligt eller helt ogörligt att låta den enskilde få inflytande över om forskningen ska utföras. Om forskningsändamålen med den valda metoden inte kan uppfyllas när den enskilde får rätt att motsätta sig behandling måste det finnas en möjlighet att ändå utföra behandlingen. Vid en sådan bedömning måste forskningsaktören ta ställning till hur många personer som sannolikt skulle välja att motsätta sig behandlingen, och vad ett sådant bortfall får för effekt på osäkerheten i resultaten.

Vi föreslår således att det ska finnas två undantag från kravet att erbjuda den registrerade möjlighet att motsätta sig behandling, dels om det skulle vara oproportionerligt ansträngande att informera

39 Notera dock det närliggande skäl 62, som i stället för ”oproportionerliga ansträngningar” använder uttrycket ”orimliga ansträngningar”. Den engelska språkversionen använder dock uttrycket ”disproportionate effort” i båda sammanhangen. 40 Se t.ex. SOU 2014:45 s. 320 f.

samtliga registrerade, dels om forskningsändamålen i sådana fall inte kan uppfyllas.

Dessa två undantag kan bedömas fristående från varandra, vilket kan leda till en situation där den enskilde måste informeras om personuppgiftsbehandlingen, men forskningens utformning inte tillåter den enskilde att få inflytande över denna behandling. Den registrerade som i det fallet vänder sig mot behandlingen kan förstås använda rättssystemets övriga möjligheter om denne menar att den personuppgiftsansvarige inte tillämpar lämpliga skyddsåtgärder.

Det är, likt vad som föreslås gälla för pseudonymisering eller likvärdiga skyddsåtgärder ovan, i första hand forskningsaktören som bedömer om något av dessa två undantag är tillämpliga. För sådan forskning som etikprövas har etikprövningsnämnderna möjlighet att meddela villkor om att det ska vara möjligt att motsätta sig behandling.

12.4.3. Övriga överväganden

Utredningens bedömning: Övriga tänkbara skyddsåtgärder ska

inte regleras i nationell rätt.

De tre föreslagna bestämmelserna förordar tre specifika skyddsåtgärder. Den första är överförd från dagens bestämmelser i personuppgiftslagen, och motsvaras av liknande bestämmelser i den föreslagna dataskyddslagen för arkivändamål samt statistiska ändamål. Den andra framhålls särskilt i förordningen. Den tredje utgör ett sätt för den enskilde att påverka behandlingen när samtycke inte kan användas som rättslig grund för behandlingen. Vi bedömer därför att skyddsåtgärderna har en särställning som gör att de är befogade att använda vid personuppgiftsbehandling för forskningsändamål. Det är utredningens bedömning att övriga tänkbara skyddsåtgärder inte ska regleras i nationell rätt.

För behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. föreslår utredningen ytterligare skyddsåtgärder, se kapitel 14.

Utredningens bedömning: Nationell reglering ersätter inte för-

ordningens generella krav på skyddsåtgärder. Någon upplysning om detta bör inte införas i nationell rätt.

Eftersom den personuppgiftsansvarige under vissa omständigheter kan underlåta att tillämpa pseudonymisering såväl som att ge den registrerade möjlighet att motsätta sig behandling kan det finnas situationer när den föreslagna nationella regleringen inte kräver några specifika skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål.

För vissa integritetskänsliga behandlingar är det även tänkbart att, även om pseudonymisering och/eller möjlighet att motsätta sig behandling tillämpas, dessa skyddsåtgärder inte är tillräckliga för att de ska bedömas som lämpliga.

I dessa situationer kräver ändå artikel 89.1 i dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder. Artikeln ålägger den personuppgiftsansvarige att se till att sådana lämpliga skyddsåtgärder föreligger. Det är därför inte tillräckligt att endast tillämpa bestämmelserna i den föreslagna forskningsdatalagen utan att samtidigt beakta om artikel 89.1 är uppfylld. I sammanhanget bör påminnas om att artikel 89.1 även ålägger den personuppgiftsansvarige att uppfylla forskningsändamålen genom vidare behandling av anonymiserade uppgifter när så är möjligt.

Den föreslagna nationella regleringen begränsar dock den personuppgiftsansvariges möjligheter att efter helt fritt skön välja lämpliga skyddsåtgärder. Om pseudonymisering respektive möjlighet att motsätta sig behandling kan tillämpas ska dessa skyddsåtgärder tillämpas, även om andra skyddsåtgärder i och för sig skulle kunna betraktas som lämpliga.

En särskild påminnelse om att artikel 89.1 gäller behöver dock inte tas in i lagen.

12.5. Sammanfattning

Detta kapitel har behandlat dataskyddsförordningens krav på skyddsåtgärder. Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga

personuppgifter samt uppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att alls få behandla dessa, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.

Vi har därför inlett med en analys av centrala begrepp som personuppgift, pseudonymisering och anonymisering, för att sedan gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättigheter, särskilt mot bakgrund på dataskyddsförordningens säkerhetskrav. Slutligen har vi lämnat förslag på vilka skyddsåtgärder som ska tillämpas vid personuppgiftsbehandling för forskningsändamål i allmänhet.

13. En proportionerlig lagstiftning

13.1. Inledning

I kapitel 4 har vi analyserat behovet av och föreslagit en särskild forskningsdatalag, i linje med utredningens övergripande syfte att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. I andra kapitel har vi lämnat kompletterande förslag om skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål, att behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten under förutsättning att behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), samt vissa begränsningar av de rättigheter som följer av kapitel III i dataskyddsförordningen (EU 2016/679).

I detta kapitel görs en integritetsanalys och en proportionalitetsbedömning av den föreslagna forskningsdatalagen. Denna bedömning sker utifrån de krav som följer av dataskyddsförordningen, 2 kap. 6 § regeringsformen, Europarådets dataskyddskonvention,1artikel 6 och 7 i EU:s rättighetsstadga2 samt artikel 8 i Europakonventionen.3

1 Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, nr 108. 2 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 3 Jfr lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.

13.2. Rättsliga förutsättningar

13.2.1. Dataskyddsförordningen

4

Fastställande av rättslig grund för personuppgiftsbehandling i nationell rätt

Av artikel 6.3 i dataskyddsförordningen framgår att grunden för personuppgiftsbehandling i enlighet med artikel 6.1 c och e ska fastställas i unionsrätten eller en medlemsstats nationella rätt. Sådan rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, och kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen.

Behandling av känsliga personuppgifter på grundval av nationell rätt

Av artikel 9.2 j framgår att behandling av känsliga personuppgifter för bl.a. forskningsändamål kan ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, under förutsättning att denna står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder.

Begränsning av skyldigheter och rättigheter i nationell rätt

Av artikel 89.2 framgår att det i unionsrätten eller i medlemsstaternas nationella rätt får föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21. Undantag ska dock föreskrivas med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag får föreskrivas i den utsträckning som dessa rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4 Utöver de förutsättningar som behandlats ovan kan nämnas att förordningen i artikel 35.10 tillåter att en konsekvensbedömning för vissa typer av behandlingar görs i samband med antagandet av nationell rätt. Om detta har skett kan det befria den personuppgiftsansvarige från skyldigheten att göra en egen konsekvensbedömning för en sådan behandling. I utredningens uppdrag ryms dock inte möjligheten att reglera och konsekvensbedöma specifika behandlingsåtgärder, varför denna aspekt inte behandlas närmare.

13.2.2. Regeringsformen

Skyddet mot betydande intrång i den personliga integriteten

Sedan år 2011 gäller enligt 2 kap. 6 § andra stycket regeringsformen att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Uttrycket ”enskildas personliga förhållanden” avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400), vilket kan innefatta uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket.5

Endast sådan behandling utan samtycke som innebär kartläggning eller övervakning omfattas av bestämmelsen. Enligt förarbetena kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall ofta anses innebära kartläggning av enskildas förhållanden. Så torde vara fallet när det gäller ett flertal uppgiftssamlingar som det allmänna förfogar över. En betydande mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Försäkringskassans, Skatteverkets, Tullverkets och Kronofogdemyndighetens olika databaser. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och hanteringen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.6

Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär.

5Prop. 2009/10:80 s. 177. 6 A.a. s. 180.

Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i ärendehandläggningen. Vid bedömningen av vad som kan anses utgöra ett betydande intrång bör flera omständigheter vägas in. Uppgifternas karaktär och omfattning utgör endast två faktorer att beakta. Även sådana omständigheter som t.ex. ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen.7

Förutsättningar för begränsning av skyddet

Skyddet för den personliga integriteten får enligt 2 kap. 20 § regeringsformen begränsas genom lag. Detta får, enligt 21 § samma kapitel, endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En sådan begränsning får vidare inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Det obligatoriska lagområdet

Enligt 8 kap. 2 § andra punkten regeringsformen faller föreskrifter som avser förhållandet mellan enskilda och det allmänna, och som gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden under det s.k. obligatoriska lagområdet. Detta innebär att sådana föreskrifter ska meddelas genom lag.

7 A.a. s. 183.

13.2.3. Övriga rättsliga instrument

Utöver ovanstående innehåller även Europarådets dataskyddskonvention (nr 108), artikel 7 i EU:s rättighetsstadga samt artikel 8 i Europakonventionen bestämmelser till skydd för den personliga integriteten.

Europarådets dataskyddskonvention

Artikel 5 i Europarådets dataskyddskonvention anger ett antal grundläggande krav på automatisk databehandling av personuppgifter. Artikel 6 tillåter behandling av särskilda kategorier av uppgifter8samt uppgifter om att någon dömts för brott endast om nationell lag ger ett ändamålsenligt skydd.

Rättighetsstadgan

Artikel 6 i EU:s rättighetsstadga anger att var och en har rätt till frihet och personlig säkerhet. Artikel 7 anger vidare att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.

Från artikel 52.1 framgår att varje begränsning till dessa rättigheter ska vara föreskriven i lag, och att sådana begränsningar, med beaktande av proportionalitetsprincipen, endast får göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Europakonventionen

Artikel 8.1 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

Artikel 8.2 tillåter inskränkningar med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

8 Med vilket avses ”personuppgifter som avslöjar rasursprung, politiska åsikter liksom personuppgifter som rör hälsa eller sexualliv”.

13.3. Integritetsanalys och proportionalitetsbedömning

Samtliga ovanstående lagar, förordningar och övriga rättsliga instrument lämnar ett visst utrymme för nationell lagstiftning som begränsar eller inskränker de fri- och rättigheter som de ger individen vad gäller den personliga integriteten. Det ställs dock vissa proportionalitetskrav på sådan lagstiftning.

Vad gäller särskilt regleringen i regeringsformen framgår av förarbetena att en följd av denna reglering bl.a. är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare.9

13.3.1. Kartläggning av den föreslagna personuppgiftsbehandlingen

Datainspektionen har i september 2016 publicerat en vägledning för integritetsanalys i syfte att underlätta arbetet med att kartlägga konsekvenserna för den personliga integriteten vid personuppgiftsbehandling när förslag till nya lagar och andra föreskrifter utarbetas.10I vägledningen föreslår Datainspektionen en metod där man först utför en kartläggning av den personuppgiftsbehandling som ett förslag kan medföra och därefter vilka konsekvenser den får för den personliga integriteten. Utan en sådan kartläggning är det inte möjligt att besvara frågan om konsekvenserna är proportionerliga i förhållande till det man avser att uppnå med behandlingen.

Mot denna bakgrund har vi försökt beakta de centrala faktorer som enligt vägledningen behöver belysas i en sådan kartläggning. Eftersom utredningens uppdrag med anknytande förslag inte omfattar personuppgiftsbehandling i det konkreta fallet har det varit nödvändigt att i vår kartläggning fokusera på vilken personuppgiftsbehandling allmänt sett som, med beaktande av föreslagna skyddsåtgärder, blir möjlig med utredningens förslag.

9Prop. 2009/10:80 s. 177. 10 Vägledning för integritetsanalys, Datainspektionen september 2016, http://www.datainspektionen.se/D ocuments/vagledning-integritetsanalys.pdf

Särskilda faktorer i personuppgiftsbehandlingen

De här diskuterade frågeställningarna är hämtade från Datainspektionens vägledning.

För vilka ändamål ska personuppgifter behandlas?

Den föreslagna forskningsdatalagen fastställer en rättslig grund för laglig behandling av personuppgifter när det är fråga om att utföra forskning av allmänt intresse. I en generell reglering av detta slag går det inte att göra ändamålsbeskrivningen mer detaljerad. Även den grundlagsskyddade forskningsfriheten11 medför att det inte i förväg går att göra en ändamålsbeskrivning i lagstiftning av generell karaktär. Varje enskilt forskningsprojekt eller annat sammanhang där personuppgifter behandlas behöver dock för sin del göra en mer detaljerad ändamålsbeskrivning.

Med vilket rättsligt stöd ska personuppgifterna behandlas?

När personuppgifter behandlas för forskningsändamål är det, som redan framkommit, huvudsakligen fråga om nödvändig behandling för en uppgift av allmänt intresse, och har därmed stöd i dataskyddsförordningens artikel 6.1 e. Den rättsliga grunden ges i den föreslagna forskningsdatalagen, med stöd av artikel 6.2 och 6.3.

Vem ska utföra personuppgiftsbehandlingen och vem ansvarar för den?

Den forskningsaktör som behandlar personuppgifterna torde vara personuppgiftsansvarig enligt dataskyddsförordningen. Individuella forskare utför själva personuppgiftsbehandlingen som del av forskningsarbetet. De forskare som på detta sätt medverkar till behandlingen utan att vara personuppgiftsansvariga har i doktrin kommit att betecknas medhjälpare.12

112 kap. 18 § andra stycket regeringsformen, se även 1 kap. 6 § högskolelagen som anger att forskningsproblem fritt får väljas, forskningsmetoder fritt får utvecklas samt forskningsresultat fritt får publiceras. 12 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo), kommentaren till 3 §.

Vilka personuppgifter kommer att behöva samlas in och i övrigt behandlas?

Vilka personuppgifter som kommer att samlas in och behandlas beror på forskningens inriktning, vald forskningsmetod m.m. Exakt vilka uppgifter som är nödvändiga att behandla går inte att ange i lagstiftningssammanhang. Allmänt kan ändå sägas att det finns mycket få typer av personuppgifter som aldrig kan komma ifråga för behandling för forskningsändamål. Såväl känsliga personuppgifter som personuppgifter om lagöverträdelser m.m. behandlas regelmässigt inom forskningen. Även andra integritetskänsliga uppgifter som inte särskilt regleras i dataskyddsförordningen kan komma att behandlas för forskningsändamål.

Hur många personer kommer att beröras av personuppgiftsbehandlingen och hur många uppgifter om varje person kommer att behöva samlas in?

Antalet registrerade personer beror på forskningsändamålen och den valda forskningsmetodiken i det enskilda projektet. Vår föreslagna reglering ställer här inte upp någon gräns. Det kan med andra ord förekomma forskningsprojekt som behöver uppgifter om signifikanta delar av eller hela befolkningen, likväl som projekt som behöver behandla ett stort antal uppgifter om varje registrerad individ.

Varifrån ska personuppgifterna samlas in?

De huvudsakliga datakällorna kommer att vara olika typer av myndighetsregister (såväl befolkningsregister som kvalitetsregister och annat) samt de registrerade själva. Även allmänna handlingar kan för vissa vetenskapliga metoder utgöra ett viktigt underlag för forskningen. Utredningen föreslår ingen ny författningsreglerad skyldighet för myndigheter att lämna ut uppgifter för forskningsändamål eller någon reglering av elektroniskt informationsutbyte.

Vilka kommer att ha åtkomst till personuppgifterna och vilken spridning kan uppgifterna i övrigt komma att få?

Inom ramen för personuppgiftsbehandling i ett visst forskningsprojekt kan medverkande forskare komma att ha tillgång till personuppgifterna. Den här föreslagna regleringen kräver inte särskilt att åtkomsten till personuppgifterna begränsas till bara vissa deltagare i ett projekt, även om det i vissa fall kan vara möjligt och lämpligt att strukturera arbetet så rent praktiskt.

Uppgifter som samlas in för forskningsändamål kan i vissa fall, när forskningsaktören tillhör det allmänna, få spridning genom offentlighetsprincipen. Det är dessutom en forskningspolitisk målsättning att främja öppen tillgång till forskningsresultat och tillgängliggörande av forskningsdata.13 Sådan spridning av uppgifter och forskningsresultat måste förstås ske i enlighet med dataskyddsförordningen.

När forskningsresultat publiceras sker detta i de flesta fall genom aggregerade personuppgifter eller andra sammanställningar som inte avslöjar enskilda personuppgifter. Inom vissa områden, särskilt vad gäller rättsvetenskaplig forskning, finns dock behov av att publicera indirekta personuppgifter i form av beslutsidentifierare såsom målnummer eller referatbeteckning, med hänvisning till att detta kan utgöra vedertagen forskningssed på dessa områden.

Finns det behov av nya sekretessbestämmelser och sekretessbrytande bestämmelser?

Utredningen föreslår varken någon tillkommande sekretessreglering eller sekretessbrytande bestämmelser.

Vilka sök- och sammanställningsmöjligheter är nödvändiga för ändamålet och hur kan de begränsas?

Det är, utifrån kravet att forskningsmetodik ska få utvecklas fritt, inte möjligt att på generell nivå ange vilka sök- och sammanställningsmöjligheter som är nödvändiga för forskningsändamål. Det är

13Prop. 2016/17:50 s. 106 f.

därför inte heller lämpligt att ställa upp generella krav på sökbegränsningar (se avsnitt 12.3.3). Det kan däremot i vissa fall vara lämpligt att i samband med etikprövning meddela villkor att vissa sökningar eller sammanställningar inte får göras.

Hur länge behöver personuppgifter bevaras?

Efter avslutat projekt kommer personuppgifter ofta kunna pseudonymiseras eller anonymiseras, vilket också är ett krav enligt artikel 89.1 i dataskyddförordningen. För longitudinella studier behöver personuppgifter, inklusive identifierande uppgifter, regelmässigt bevaras under en längre tid, vilket kan ske med stöd av artikel 5.1 e (undantag från principen om lagringsminimering) under förutsättning att lämpliga skyddsåtgärder genomförs.

När forskning utförs av en myndighet, och uppgifterna inte längre bevaras, måste arkivlagens (1990:782) regler om gallring beaktas (se vidare avsnitt 12.3.4). Även sådana kompletterande uppgifter som används vid pseudonymisering (såsom kodnycklar) kan vara föremål för gallring. Utredningen föreslår inga nya särskilda gallringsbestämmelser.

Vilket inflytande kommer de registrerade att ha över personuppgiftsbehandlingen?

Enligt den föreslagna regleringen kommer den registrerade som huvudregel ha möjlighet att motsätta sig behandling (”opt out”, se avsnitt 12.3.4). Utöver detta får uppgifterna användas för att vidta åtgärder i fråga om den registrerade endast om denne har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. När uppgifter hämtas direkt från den enskilde inom ramen för ett forskningsprojekt kan den enskilde alltid avstå från att uppge dessa. Utöver dessa möjligheter finns även de möjligheter till inflytande som följer direkt av dataskyddsförordningen, såsom rätt till rättelse (artikel 16), rätt till radering (artikel 17), rätt till begränsning av behandling (artikel 18), rätt till dataportabilitet (artikel 20) samt rätt att göra invändningar (artikel 21).

Vilken information om behandlingen av personuppgifter kommer de registrerade få?

De registrerade har rätt att få information om behandlingen i enlighet med artiklarna 13–15 dataskyddsförordningen. När möjlighet för den registrerade att motsätta sig behandling tillämpas som skyddsåtgärd, i enlighet med förslag i avsnitt 12.4.2, får denna rättighet inte inskränkas med stöd av något av de undantag som ges i dataskyddsförordningen.

Vilka regler kommer att gälla till skydd för de registrerades personliga integritet vid den föreslagna personuppgiftsbehandlingen?

Utredningen föreslår att pseudonymisering och möjlighet att motsätta sig behandling som huvudregel ska gälla generellt för all behandling av personuppgifter för forskningsändamål. Personuppgifter får som huvudregel inte heller användas för att vidta åtgärder i fråga om den registrerade (se avsnitt 12.4.2). Utöver detta ska etikprövning äga rum för behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. för forskningsändamål (se avsnitt 14.3.4). Sådan prövning kan vidare resultera i villkor för behandlingen, vilket också kan fungera som skyddsåtgärder.

Slutsats av integritetsanalysen

Som tidigare angetts omfattar inte utredningens uppdrag att detaljreglera den personuppgiftsbehandling som kan komma att ske för forskningsändamål. Den huvudsakliga regleringen av personuppgiftsbehandling, även för forskningsändamål, kommer att finnas i dataskyddsförordningen, som är direkt tillämplig. Den reglering som utredningen föreslår medför dock att viss personuppgiftsbehandling som annars hade varit förbjuden blir tillåten. Detta rör framför allt sådan behandling som sker utan stöd av giltigt samtycke, samt behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. Vidare görs även vissa begränsningar av de rättigheter som enligt dataskyddsförordningen tillkommer de registrerade, med stöd av artikel 89.2.

Genom de föreslagna skyddsåtgärderna begränsas dock integritetsintrånget avsevärt. Inte minst kravet på pseudonymisering, som motsvarar vad som är vanligt i forskningsmetodik, motverkar effekten av den kartläggning av enskilda som kan komma att ske i forskningsprojekt.

Det förhåller sig som sagt också så att dataskyddsförordningen, även om den ger visst utrymme för nationell reglering, är direkt tillämplig. En nationell lagstiftning om skyddsåtgärder kan exempelvis aldrig upphäva kravet i artikel 89.1 i dataskyddsförordningen på att personuppgiftsbehandling för forskningsändamål ska vara omgärdad av lämpliga skyddsåtgärder. Om de av utredningen föreskrivna skyddsåtgärderna är otillräckliga i det specifika fallet är det den personuppgiftsansvariges ansvar att självständigt efterleva dataskyddsförordningens krav.

Utredningens slutsats blir med hänvisning till ovanstående resonemang att konsekvenserna för den personliga integriteten är förenliga med det väsentliga innehållet i rätten till dataskydd. För att personuppgiftsbehandlingen ska vara tillåten måste dock det allmänna syftet med den behandling som möjliggörs (behandling för forskningsändamål) vägas in i en proportionalitetsbedömning.

13.3.2. Proportionalitetsbedömning

Som framgår av avsnitt 13.2 inrymmer samtliga här aktuella rättsliga instrument någon form av möjlighet att begränsa eller inskränka de rättigheter avseende skydd av den personliga integriteten som säkerställs på principiell nivå. Gemensamt för samtliga dessa (med undantag för Europarådets dataskyddskonvention) är att någon form av proportionalitetsbedömning ska göras. I en sådan bedömning ställs det ändamål för vilket personuppgiftsbehandlingen sker, och som måste vara godtagbart enligt olika kriterier, mot det integritetsintrång som behandlingen medför.

Den personuppgiftsbehandling som vårt lagförslag kan medföra, med beaktande av effekten av de skyddsåtgärder som föreslås, ska alltså ställas mot värdet av det ändamål för vilket personuppgiftsbehandlingen sker.

En viktig utgångspunkt är att själva forskningsändamålet generellt kan anses vara legitimt och godtagbart i ett demokratiskt sam-

hälle. Personuppgiftsbehandling för forskningsändamål intar en särställning i dataskyddsregleringen. Bland de många särregleringarna för forskningsändamål kan särskilt nämnas det s.k. forskningsundantaget i artikel 5.1 b, och möjligheterna att inskränka flera av de registrerades rättigheter enligt artikel 89.2. I bilaga 3 finns en mer fullständig genomgång av dataskyddsförordningens särreglering för forskningsändamål.

Utgångspunkter för en proportionalitetsbedömning

De här diskuterade frågeställningarna är hämtade från den tidigare nämnda vägledningen för integritetsanalys från Datainspektionen. Syftet med det närmaste följande är att belysa den avvägning mellan motstående intressen som görs i alla proportionalitetsbedömningar.

Vilket eller vilka ändamål motiverar behandlingen av personuppgifter?

Den behandling av personuppgifter som kan komma att ske med stöd av den föreslagna forskningsdatalagen är sådan som är nödvändig för att utföra forskning av allmänt intresse. Den forskning som sedan sker med stöd av lagen måste fortfarande ange:

  • Sitt specifika ändamål på så sätt att det går att avgöra vilka uppgifter som ska behandlas.
  • Behandlingens förenlighet med ändamålet för vilket de samlades in (med beaktande av att det s.k. forskningsundantaget medför att ytterligare behandling inte ska anses oförenlig med det ursprungliga ändamålet).
  • Hur länge personuppgifter ska bevaras (med beaktande av att personuppgifter får lagras under längre perioder vid behandling för forskningsändamål).

Finns det några mindre integritetsingripande alternativ för att uppnå det avsedda ändamålet än den föreslagna personuppgiftsbehandlingen?

Ändamålet som utgör bas för forskningsdatalagen – forskningsändamål – är för generellt till sin natur för att det ska gå att bedöma alternativa metoder för att uppnå detta. Av särskild betydelse i sammanhanget är att en förutsättning för att tillämpa den rättsliga grund som utredningen föreslår är att behandlingen ska vara nödvändig för att kunna utföra forskning av allmänt intresse. Vidare gäller för sådan forskning som kräver etikprövning att forskning inte får godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för bl.a. forskningspersoners personliga integritet (10 § etikprövningslagen).

Står integritetsintrånget som behandlingen medför i rimlig proportion till den nytta som behandlingen innebär för de avsedda ändamålen?

Även den förväntade nyttan kan endast bedömas på ett generellt plan. Värdet av forskning framhålls emellertid såväl i dataskyddsförordningen som i andra rättskällor. Vad gäller nyttobedömningen bör man särskilt uppmärksamma att forskning som kräver etikprövning endast får godkännas om de risker som den kan medföra för bl.a. forskningspersonernas personliga integritet uppvägs av dess vetenskapliga värde (9 § etikprövningslagen).

Proportionalitetskrav i dataskyddsförordningen

Vi föreslår nationell lagstiftning som med stöd av artikel 6.2 och 6.3 fastställer den rättsliga grunden allmänt intresse för personuppgiftsbehandling för forskningsändamål. Sådan nationell rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Målet är att forskning ska kunna bedrivas på ett effektivt sätt med respekt för de registrerades personliga integritet. Detta mål framgår även från dataskyddsförordningen (se exempelvis skäl 157 och 159). Målet är alltså legitimt och av allmänt intresse också enligt förordningen.

Forskningsdatalagen innehåller två viktiga begränsningar till förmån för den personliga integriteten.

  • Den rättsliga grund som vi fastställer är begränsad till nödvändig och proportionerlig behandling för forskning av allmänt intresse.
  • Vi föreslår även skyddsåtgärder för all behandling av personuppgifter för forskningsändamål.

Lagen innehåller dock även vissa begränsningar av den registrerades rättigheter och därmed integritetsskyddet. Dessa begränsningar är utformade för att endast kunna tillämpas när det är nödvändigt för att uppnå forskningsändamålen. Det sammanlagda integritetsintrånget blir därför begränsat. Ställt mot det stora värde som forskningen har, vilket även framhålls i förordningen, finner vi att den föreslagna lagstiftningen måste anses vara proportionell.

Vi föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla känsliga personuppgifter. Av artikel 9.2 j framgår att lagstiftning som tillåter behandling av känsliga personuppgifter ska stå i proportion till det eftersträvade syftet. Vi föreslår att sådan tillåtande lagstiftning ska innehålla bestämmelser om skyddsåtgärder i form av etikprövning. Detta ställningstagande har sin grund i att etikprövningslagstiftningen särskilt kräver att de risker som forskningen medför ska uppvägas av dess vetenskapliga värde, att endast sådan forskning som innebär den minsta risken för det förväntade resultatet kan godkännas, samt att forskning endast får godkännas om den kan utföras med respekt för människovärdet. Även denna reglering måste anses stå i proportion till det eftersträvade syftet.

Proportionalitetskrav i regeringsformen

Regeringsformen skyddar inte den personliga integriteten mot all slags personuppgiftsbehandling. Den första bedömning som måste göras är därför om den personuppgiftsbehandling som utredningens förslag kan medföra når upp till kravet för skydd av den personliga integriteten enligt 2 kap. 6 § regeringsformen (se avsnitt 13.2.2).

Det ska alltså vara fråga om personuppgiftsbehandling som utgör betydande intrång i den personliga integriteten, sker utan sam-

tycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Vid denna bedömning ska särskilt beaktas att det är fråga om en rättighetsbegränsande lagstiftning, vilket talar för en restriktiv tolkning till den enskildes fördel. Kartläggningen ovan visar att den personuppgiftsbehandling som forskningsdatalagen möjliggör åtminstone i vissa fall kommer uppfylla samtliga dessa krav, i det fall det är fråga om omfattande uppgiftsinsamlingar om enskilda som inbegriper integritetskänsliga behandlingar.

Eftersom det kan vara fråga om bestämmelser som omfattas av 2 kap. 6 § regeringsformen blir det därför nödvändigt att ta ställning till de krav som ställs i 21 § samma kapitel.

Vid denna bedömning är det återigen värt att uppmärksamma att forskning är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle utan som är legitimt enligt gällande lag. Forskningsfriheten är dessutom även grundlagsskyddad (18 § andra stycket samma kapitel). Det finns inget som talar för att den här aktuella begränsningen på något sätt skulle utgöra ett hot mot den fria åsiktsbildningen. Begränsningens utformning tar inte sikte på politisk, religiös, kulturell eller annan sådan åskådning. Det kan i och för sig förekomma forskningsprojekt där exempelvis forskningspersoner väljs ut utifrån sådana kriterier, men kravet på etikprövning säkerställer att en sådan urvalsmetod är motiverad och godtagbar från etisk synvinkel.

Proportionalitetskrav i övriga rättsliga instrument

Av artikel 8.2 i Europakonventionen framgår att inskränkningar endast får ske med stöd av lag och om det är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det framgår inte klart av ovanstående att forskning är ett av de ändamål som kan motivera en inskränkning (legitima ändamål). I doktrinen har det dock framhållits att det är naturligt att ge varje konventionsstat stor rörelsefrihet och inte kräva mera än att särskilt känslig information behandlas på ett ansvarsfullt sätt och inte

görs i onödan tillgänglig för andra än dem som har ett legitimt intresse av att få del av informationen.14 Vidare har uttalats att uppräkningen legitima ändamål är omfattande, att de olika ändamålen är allmänt formulerade, och att det är i de flesta fall möjligt att hänföra ett ingrepp till någon av dessa kategorier.15 Vår bedömning är därför att forskningsändamål ryms inom ovanstående uppräkning.

De proportionalitetskrav, och de legitima syften för vilka inskränkningar kan göras, som framgår av dataskyddskonventionen, rättighetsstadgan och Europakonventionen skiljer sig i övrigt inte på ett avgörande sätt från de ovan behandlade kraven. Vår bedömning är därför att en reglering som uppfyller dataskyddsförordningens och regeringsformens krav även uppfyller kraven i de övriga behandlade rättsliga instrumenten.

Slutsats av proportionalitetsbedömningen

Inskränkningarna i de registrerades fri- och rättigheter görs för att tillgodose forskningsändamålet. Detta är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle utan som dessutom är grundlagsskyddat. Inskränkningarna har utformats så de inte går utöver vad som är nödvändigt med hänsyn till ändamålet. Den föreslagna lagstiftningen kan därför anses vara förenlig med dataskyddsförordningen, regeringsformen och övriga rättsliga instrument.

13.3.3. De föreslagna bestämmelserna kräver reglering i lagform

Utredningen föreslår bestämmelser i nationell rätt som kompletterar och fyller ut dataskyddsförordningens bestämmelser, inom ramen för vad som är möjligt enligt förordningen. Förordningen innehåller i sig inte närmare krav på i vilken form den nationella rätten ska fastställas.

I svensk rätt kan generell bindande reglering ges i form av lag, förordning eller myndighetsföreskrifter (8 kap. 1 § regeringsformen). Normgivning i form av lag förutsätter riksdagsbeslut, medan

14SOU 2004:20 s. 89, som hänvisar till Danelius. 15 Danelius, Mänskliga rättigheter i europeisk praxis, 5 u, s. 370.

normgivning i form av förordning kan ske genom regeringsbeslut. Normer som måste ges i form av lag sägs tillhöra det obligatoriska lagområdet. Kapitel 8 regeringsformen innehåller närmare bestämmelser om denna gränsdragning.

Av den föreslagna regleringen följer att vissa personuppgiftsbehandlingar som annars skulle ha varit förbjudna blir tillåtna. Eftersom det dessutom åtminstone i vissa fall rör behandling utan den registrerades samtycke är det fråga om ett ingrepp i enskildas personliga förhållanden. Enligt 8 kap. 2 § andra punkten regeringsformen måste sådan reglering ges i form av lag.

Utöver detta är det fråga om lagstiftning som begränsar var och ens rätt att vara skyddad mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket. Enligt 2 kap. 20 § regeringsformen ska sådan reglering ske i form av lag.

13.4. Överväganden

Utredningens bedömning: Den föreslagna regleringen uppfyller

de krav på proportionalitet m.m. som följer av dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument.

Som redovisat i avsnitt 13.3.2 måste den föreslagna regleringen uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Vår bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att regleringen är proportionell utifrån samtliga dessa proportionalitetskrav.

13.5. Sammanfattning

I detta kapitel har vi analyserat de föreslagna bestämmelserna utifrån de krav på framför allt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgifts-

behandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen. Vidare har den föreslagna regleringen bedömts utifrån de normgivningsprinciper som framgår av regeringsformen. Det är utredningens bedömning att den föreslagna regleringen uppfyller de krav på proportionalitet m.m. som följer av dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument.

14. Etikprövning av personuppgiftsbehandling för forskningsändamål

14.1. Vårt uppdrag i denna del

Utredningen har i uppdrag att analysera behovet av anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) med anledning av att dataskyddsförordningen (EU 2016/679) blir tillämplig den 25 maj 2018. Detta uppdrag har flera beståndsdelar.

Etikprövning framhålls i utredningens direktiv som en möjlig skyddsåtgärd i enlighet med förordningens krav på skyddsåtgärder vid behandling av personuppgifter för forskningsändamål. Mot bakgrund av att kravet på etikprövning i dag enbart omfattar behandling av vissa kategorier av personuppgifter enligt 19 och 21 §§personuppgiftslagen (1998:204) är det utredningens uppdrag att överväga om kravet på etikprövning bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål. Ett sådant ställningstagande kan komma att medföra behov av ändringar i etikprövningslagen, alternativt ny reglering i annan författning som kompletterar dataskyddsförordningen samt den nationella kompletterande reglering som Dataskyddsutredningen (Ju 2016:04) föreslår.

Utredningen har även i uppdrag att se över vissa aspekter på förfarandereglerna i etikprövningslagen. Denna översyn hänger samman med uppdraget att överväga en utvidgning av etikprövningsförfarandet till att gälla all personuppgiftsbehandling för forskningsändamål. Om utredningen kommer fram till att all personuppgiftsbehandling för forskningsändamål ska etikprövas behöver det övervägas hur den ökade ärendehanteringen i så fall ska kunna ske på ett effektivt sätt och om samma krav på prövningen behöver gälla i alla slags

ärenden. Utredningen ska, givet ett ställningstagande avseende en utvidgning av etikprövningskravet, analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden. Utredningen ska i sådana fall även överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet. Utöver detta ska utredningen även se över vilka anpassningar i övrigt som behövs med anledning av dataskyddsförordningen och den generella kompletterande reglering Dataskyddsutredningen föreslår. Utredningen ska i alla delar lämna behövliga författningsförslag.

Framställningen i denna del av betänkandet kommer att följa utredningens direktiv på så vis att efter en inledande beskrivning av etikprövningslagen och dess anknytning till personuppgiftslagen kommer etikprövning som möjlig skyddsåtgärd enligt dataskyddsförordningens krav att analyseras. Därefter överväger utredningen enligt sitt uppdrag ett utökat tillämpningsområde för kravet på etikprövning, varefter utredningen behandlar frågan om ett eventuellt behov av förenklat etikprövningsförfarande under vissa förhållanden. Avslutningsvis lämnar utredningen förslag på vilka anpassningar av etikprövningslagen i övrigt som är behövliga med anledning av dataskyddsförordningen.

14.2. Rättsliga förutsättningar

14.2.1. Inledning

Lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) började gälla den 1 januari 2004. Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor och om samtycke till sådan forskning (1 §). Etikprövningslagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen (3 §).

Utöver detta tillämpas etikprövningslagen på forskning som innebär ett fysiskt ingrepp på en forskningsperson, utförs enligt en

metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Utredningen kommer i det följande att fokusera på etikprövningslagens tillämpningsområde enligt 3 §.

Syftet med etikprövningslagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 §). Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde och bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (7–11 §§).

14.2.2. Personuppgiftslagens relation till etikprövningslagen

Aktuella bestämmelser

Personuppgiftslagen och etikprövningslagen relaterar till varandra på flera sätt. I det följande återges de relevanta delarna av de aktuella bestämmelser som utredningen kommer att återkomma närmare till i det följande.

De bestämmelser som främst aktualiseras i personuppgiftslagen är följande:

Undantag för behandling av personuppgifter i ostrukturerat material 5 a § Bestämmelserna i 9, 10, 13– 19, 21– 26, 28, 33, 34 oc h 42 §§ behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet.

Förbud mot behandling av känsliga personuppgifter

13 § Det är förbjudet att behandla personuppgifter som avslöjar

a) ras eller etniskt ursprung

b) politiska åsikter,

c) religiös eller filosofisk övertygelse, eller

d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.

Undantag från förbudet mot behandling av känsliga personuppgifter

14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15– 19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.

Uppgifter om lagöverträdelser m.m.

21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbu det i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

De bestämmelser som främst aktualiseras i etikprövningslagen är följande:

Definitioner

2 § I denna lag avses med – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – behandling av personuppgifter: sådan behandling som anges i artikel 3 § personuppgiftslagen (1998:204).

Forskning som omfattas av lagen

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enli gt 21 § personuppgiftslagen.

Godkännande

6 § Forskning som avses i 3– 5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande skall avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft. Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.

Utgångspunkter för etikprövningen

7 § Forskning får godkännas bara om den kan utföras med respekt för människovärdet.

8 § Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd skall ges företräde framför samhällets och vetenskapens behov.

9 § Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde.

10 § Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

11 § Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.

Utlämnande av personuppgifter

12 § Personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt.

Det territoriella tillämpningsområdet för respektive lag skiljer sig åt enligt följande:

Personuppgiftslagen:

Det territoriella tillämpningsområdet

4 § Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige.

Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren.

Etikprövningslagen:

Geografiskt tillämpningsområde

5 § Denna lag skall tillämpas på forskning som skall utföras i Sverige.

Etikprövningslagens tillämplighet vid viss behandling av personuppgifter

Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige, till skillnad från personuppgiftslagen som huvudsakligen tar sikte på sådana personuppgiftsansvariga som är etablerade i Sverige.1Detta innebär att det enbart är sådan forskning som ska utföras i Sverige som kräver etikprövning enligt etikprövningslagen. Forskning som ska utföras i andra länder av personuppgiftsansvariga som är etablerade i Sverige kan dock omfattas av krav på etikgodkännande enligt respektive lands lagstiftning. Relationen mellan etikprövningslagens och personuppgiftslagens territoriella tillämpningsområde har kommenterats i lagkommentaren till personuppgiftslagen.

Etikprövningslagen tillämpas bara på forskning som ska utföras i Sverige (5 §). Om en svensk forskningshuvudman (dvs. en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs) deltar i ett internationellt forskningsprojekt (multicenterstudie), ska etikprövning ske av den del av projektet som ska utföras i Sverige (prop. 2002/03:50 s. 109 och 194). Det territoriella tillämpningsområdet för etikprövningslagen är alltså inte samordnat med tillämpningsområdet för personuppgiftslagen, som enligt huvudregeln bestäms av var den personuppgiftsansvarige är etablerad och inte var behandlingen utförs, se 4 § och kommentaren till den paragrafen. En personuppgiftsansvarig som är bunden av personuppgiftslagen (företrädesvis därför att han eller hon är etablerad i Sverige) och som ska utföra forskning utanför Sverige kan alltså inte behandla känsliga personuppgifter för forskningsändamål efter en etikprövning enligt etikprövningslagen utan torde i praktiken ha att förlita sig på uttryckligt samtycke till behandlingen från alla registrerade.2

Etikprövningslagen blir, enligt 3 §, tillämplig när forskning innefattar behandling av känsliga personuppgifter, enligt 13 § personuppgiftslagen, eller personuppgifter om lagöverträdelser m.m., enligt 21 § personuppgiftslagen. Enligt 6 § etikprövningslagen får sådan forskning enbart utföras om den har godkänts vid en etikprövning.

1 Dataskyddsförordningen ska enligt artikel 3 i vissa fall tillämpas även på personuppgiftsansvariga som inte är etablerade i unionen. 2 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo), kommentaren till 19 §.

När laglig personuppgiftsbehandling förutsätter etikprövning

Av 13 § personuppgiftslagen framgår att det som huvudregel är förbjudet att behandla känsliga personuppgifter. Vilka uppgiftskategorier detta är framgår uttömmande av bestämmelsens första och andra stycke. I 14 § anges dock att undantag från förbudet framgår av 15–19 §§. Genom ett villkor i 19 § undantas behandling för forskningsändamål från det generella förbudet att behandla känsliga personuppgifter. Villkoret utgörs av etikgodkännande enligt etikprövningslagen för behandling av känsliga personuppgifter.

Av 21 § personuppgiftslagen framgår ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Detta förbud kan dock enligt andra stycket upphävas på liknande sätt som för känsliga personuppgifter, dvs. genom ett krav på etikgodkännande enligt etikprövningslagen för sådan behandling som utförs av andra än myndigheter.

Detta innebär sammantaget att det föreligger krav på etikprövning av behandling för forskningsändamål av såväl känsliga personuppgifter som personuppgifter om lagöverträdelser m.m. enligt etikprövningslagen och att sådan behandling enligt personuppgiftslagen kan få utföras om behandlingen har godkänts vid prövning enligt etikprövningslagen.

Personuppgiftslagens tillämplighet vid etikgranskning av forskning

En utgångspunkt vid tillämpningen av personuppgiftslagen i relation till annan lagstiftning är att den, enligt 2 §, är subsidiär i förhållande till avvikande bestämmelser i annan lag eller förordning. Sådan annan lagstiftning som har företräde framför personuppgiftslagen är till exempel etikprövningslagen.

Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. I förarbetena betonas att 6 § bara anger betydelsen av etikprövningen och inte innefattar någon prövning enligt alla andra regler som kan påverka om och hur forskningen får utföras, ett godkännande vid etikprövning är därmed

långtifrån alltid en tillräcklig nödvändig förutsättning för forskningens bedrivande.3

Av 6 § första stycket etikprövningslagen framgår att forskning får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Innan etikprövningslagen infördes hanterades undantaget från förbudet att behandla känsliga personuppgifter för forskningsändamål enligt en avvägningsnorm i den dåvarande 19 § personuppgiftslagen. Denna avvägningsnorm innebar att behandlingen skulle vara nödvändig för forskningen och samhällsintresset skulle klart överväga risken för intrång i enskildas personliga integritet. Den personuppgiftsansvarige kunde välja att tillämpa avvägningsnormen själv och sedan föranmäla behandlingen till Datainspektionen som gjorde en bedömning av eventuella åtgärder. Alternativt lät den personuppgiftsansvarige en etikkommitté granska personuppgiftsbehandlingen. En sådan etikgranskning omfattades dock inte av något krav på användning av avvägningsnormen som framgick av dåvarande 19 § personuppgiftslagen.

Införandet av etikprövningslagen innebar att bedömningen av själva personuppgiftsbehandlingen flyttades över till etikprövningsnämnderna som, i samband med granskningen av forskningsprojektet i fråga, har att förhålla sig till samma avvägningsnorm i sak som enligt tidigare bestämmelse i personuppgiftslagen.4 Denna avvägningsnorm baseras på de principer som en bedömning enligt personuppgiftslagen utförs på, och grunderna för den ingår i etikprövningslagens utgångspunkter för etikprövningen i 7–11 §§ etikprövningslagen. Det var med andra ord framför allt ansvaret för bedömningen som flyttades till etikprövningsnämnderna.

Denna regelkonstruktion innebär vidare att det i samband med etikprövningen av ett forskningsprojekt också ska göras en bedömning av själva personuppgiftsbehandlingen, en bedömning som annars skulle ske enligt bestämmelser i personuppgiftslagen. Personuppgiftslagen är således subsidiär till etikprövningslagen i detta hänseende även om bedömningen baseras på samma principer, se särskilt nödvändighetskravet i 10 § andra stycket etikprövningslagen. Det ska samtidigt noteras att forskning som har etikgodkänts därefter

3Prop. 2002/03:50 s. 195 f. 4 A.a s. 172 f.

ändå måste vara förenlig med personuppgiftslagens bestämmelser i de delar där någon tillämplig särreglering inte förekommer, t.ex. avseende säkerheten vid behandlingen och rätten till registerutdrag.

Av 12 § etikprövningslagen framgår att personuppgifter får lämnas ut för att användas i forskning om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen ska läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen. Där framgår att om personuppgifter samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Sådan information behöver dock inte lämnas om det finns bestämmelser om registreringen eller utlämnandet av personuppgifterna i lag eller annan författning.

Bestämmelsen i 12 § etikprövningslagen är en sådan bestämmelse om utlämnande av personuppgifter som avses i 24 § andra stycket personuppgiftslagen. Den för med sig att en forskare som i enlighet med bestämmelsen hämtar in personuppgifter från annat håll än den registrerade inte behöver informera den registrerade om sin behandling. Däremot kan etikprövningsnämnden ställa som villkor att information ändå ska lämnas. Bestämmelsen innebär inte någon skyldighet att lämna ut personuppgifter, men gör det tillåtet för den som har uppgifterna att göra detta. Om något annat följer av regler om sekretess och tystnadsplikt får uppgifterna dock inte lämnas ut. En motsvarande bestämmelse avseende utlämnande för användning i statistikprojekt finns i 19 § fjärde stycket personuppgiftslagen.

Särskilt om förhållandet mellan missbruksregeln i personuppgiftslagen och etikprövningslagen

Bestämmelsen i 5 a § personuppgiftslagen infördes år 20075 och innebär lättnader i regleringen vid behandling av personuppgifter i vad som betecknas som ostrukturerat material. Enligt den utredning som låg till grund för införandet av bestämmelsen var syftet i korthet att de detaljerade hanteringsreglerna i personuppgiftslagen inte skulle tillämpas på s.k. vardaglig hantering av personuppgifter. Det rör sig till exempel om produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning

5 SFS 2006:398.

av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ska infogas i en databas med en avancerad personuppgiftsanknuten struktur, till exempel ett ärendehanteringssystem.6

Sådan ostrukturerad behandling kan alltså utföras utan att den personuppgiftsansvarige behöver beakta ett flertal av de övriga reglerna i personuppgiftslagen. Bestämmelsen innebär således att behandling av personuppgifter kan göras jämförelsevis fritt, vilket i sig motiverade skrivningen i bestämmelsens andra stycke som anger att sådan behandling inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Eftersom regeln avser att skydda mot missbruk av personuppgifter kallas den missbruksregeln.

Vad som innebär en kränkning av den personliga integriteten avgörs från fall till fall utifrån bland annat vilka uppgifter som behandlas, i vilket sammanhang, för vilket syfte, vilken spridning uppgifterna kan få samt vad behandlingen kan leda till. I förarbetena angavs fem förhållningsregler att beakta vid kränkningsbedömningen:

  • Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse och skandalisering.
  • Samla inte utan godtagbara skäl en stor mängd uppgifter om en person.
  • Rätta personuppgifter som visar sig vara felaktiga eller missvisande.
  • Förtala eller förolämpa inte någon annan.
  • Bryt inte mot sekretess eller tystnadsplikt.7

Missbruksregelns tillämpningsområde har varit föremål för utredning sedan den infördes. Informationshanteringsutredningen (Ju 2011:11) föreslår exempelvis i sitt slutbetänkande att missbruksregeln inte längre ska kunna tillämpas av myndigheter eftersom bestämmelsen motiverades av helt andra skäl än att underlätta myndigheternas informationshantering.8

6SOU 2004:6 s. 134 f. 7 A.a. s. 148. 8SOU 2015:39 s. 240 ff.

Personuppgiftslagens 5 a § i relation till etikprövningslagen

Enligt 5 a § personuppgiftslagen behöver varken 13, 19 eller 21 §§ tillämpas på sådan behandling som tas upp i bestämmelsen, dvs. ostrukturerat material. Eftersom personuppgiftslagen är subsidiär till etikprövningslagen så går dock kraven enligt etikprövningslagen före undantaget i 5 a § personuppgiftslagen. Etikprövningslagen hänvisar i 3 § till 13 § (känsliga personuppgifter) och 21 § (lagöverträdelser m.m.) i personuppgiftslagen samt fastslår i 6 § att sådan forskning endast får utföras efter etikgodkännande. Detta innebär kortfattat att om förutsättningarna för tillämpning av etikprövningslagen är uppfyllda krävs ett etikgodkännande för behandlingen.

Missbruksregeln sett i relation till dataskyddsförordningen

Möjligheten att tillämpa den svenska särregleringen i 5 a § personuppgiftslagen försvinner i och med att dataskyddsförordningen börjar tillämpas. Något utrymme att komplettera med en sådan nationell bestämmelse om undantag från tillämpningen av förordningen finns inte. Eftersom förordningen ska tillämpas i sin helhet på all behandling av personuppgifter måste sådan behandling som tidigare utförts enligt missbruksregeln ha sin rättsliga grund i förordningens bestämmelser.

14.3. Etikprövning som skyddsåtgärd

14.3.1. Inledning

Etikprövning utgör i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. för forskningsändamål. Etikprövning framhålls i utredningens direktiv som en möjlig skyddsåtgärd i enlighet med dataskyddsförordningens krav på skyddsåtgärder vid behandling av personuppgifter för forskningsändamål. För att ta ställning till om etikprövning utgör en skyddsåtgärd som är förenlig med dataskyddsförordningen kommer utredningen i det följande att analysera etikprövningens beståndsdelar samt uppmärksamma vilka bedömningar som legat till grund för införandet av etikprövning som en redan i dag befintlig skyddsåtgärd.

14.3.2. Etikprövning som befintlig skyddsåtgärd

Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 7–11 §§ etikprövningslagen. Dessa bestämmelser är emellertid inte avsedda att utgöra en detaljerad beskrivning av hur själva prövningen ska gå till. Lagstiftaren ansåg nämligen vid etikprövningslagens införande att den materiella prövning som ska göras, beträffande bedömningen av bl.a. forskningens vetenskapliga värde och om riskerna för forskningspersonerna uppvägs av detta vetenskapliga värde, varken kan eller bör detaljstyras i lagen. Denna bedömning motiverades med att forskning utförs på så många olika sätt och att forskningsmetoder och andra förhållanden av betydelse ständigt utvecklas och förändras.9

I den proposition som låg till grund för etikprövningslagen hänvisas dock till den avvägningsnorm som vid den tiden framgick av 19 § personuppgiftslagen och som tillämpades vid prövning av om undantag från förbudet att behandla känsliga personuppgifter var tillåtet vid behandling för forskningsändamål. Denna avvägningsnorm innebar att behandlingen skulle vara nödvändig för forskningen och att samhällsintresset klart skulle överväga risken för intrång i enskildas personliga integritet. Enligt förarbetena till personuppgiftslagen (till vilka det hänvisades i propositionen till etikprövningslagen) bestod avvägningsnormen av en helhetsbedömning av samtliga omständigheter i det enskilda fallet.10

Vid helhetsbedömningen skulle således beaktas bl.a. forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, omständigheter vid ett eventuellt samtycke, om information lämnats till de berörda och i vilken utsträckning den som begärde detta hade rätt att bli struken. I viss mån skulle även beaktas hur pass svårt det var att på grund av de behandlade uppgifterna identifiera enskilda personer.

Regeringen framhöll i propositionen med förslag till etikprövningslag att några sakliga förändringar i avvägningsnormens innehåll inte var avsedda i samband med att dess grunder fördes över från personuppgiftslagen till de allmänna utgångspunkterna för etikprövningen enligt etikprövningslagen. Avsikten var helt enkelt att

9Prop. 2002/03:50 s. 113 f. 10 A.a. s. 172 f.

prövningen av forskning som innefattar behandling av känsliga personuppgifter skulle ske på samma sätt som enligt den avvägningsnorm som då fanns i personuppgiftslagen.11 Grunderna för avvägningen mellan risk och värde i samband med etikprövning av personuppgiftsbehandling för forskningsändamål har således sitt ursprung i personuppgiftslagen, vilken i sin tur baseras på det nuvarande dataskyddsdirektivet (95/46/EG).

Den personuppgiftsbehandling som är föremål för etikprövning ska vidare vara nödvändig enligt 10 § andra stycket etikprövningslagen. Nödvändighetskravet i etikprövningslagen motsvarar det som gäller enligt 10 § personuppgiftslagen.12 Enligt utredningens bedömning torde nödvändighetskravet också ha samma innebörd som kravet på nödvändighet i dataskyddsförordningen.13

Ett beslut om etikgodkännande kan förenas med villkor. Detta görs i de fall integritetsaspekterna kan anses tillvaratagna på ett tillfredsställande sätt genom särskilda villkor, i stället för att en ansökan avslås. Sådana villkor antogs i etikprövningslagens förarbeten behövas till exempel beträffande formerna för rekrytering av forskningspersoner och inhämtande av samtycke, lämnande av information eller strykningsrätt. Lagstiftaren ansåg vidare att det i praxis får utvecklas närmare när villkor i något avseende behöver meddelas, eftersom det inte går att förutse alla uppkommande situationer när något villkor borde meddelas.14

Etikprövningsnämnderna har utvecklat denna praxis till att omfatta villkor avseende t.ex. krav på inhämtande av samtycke, möjligheter för den registrerade att motsätta sig behandling av personuppgifter samt tydligare information till den enskilde. Allmänna anvisningar för datasäkerhet har också utvecklats, vilka anger på vilket sätt personuppgifter ska hanteras för att uppnå tillräckligt dataskydd.

Etikprövning har i tidigare lagstiftningsarbete uttryckligen bedömts utgöra en skyddsåtgärd enligt dataskyddsdirektivet vid behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.15 I propositionen som föregick vissa ändringar i etik-

11 A.a. s. 196. 12Prop. 2002/03:50 s. 196. 13 Se vidare avsnitt 5.2.2. 14Prop. 2002/03:50 s. 115. 15SOU 2005:78 s. 71.

prövningslagen anförde regeringen att den prövning av personuppgifter om lagöverträdelser m.m., som ska ske av en etikprövningsnämnd, för ett godkännande av forskning som innebär behandling av sådana uppgifter, innefattar sådana lämpliga och specifika skyddsåtgärder som avses i dataskyddsdirektivet.16 Syftet med etikprövning har följaktligen bedömts vara överensstämmande med dataskyddsregleringens övergripande syfte.

Etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. har alltså tidigare bedömts i relation till kraven i dataskyddsdirektivet.

Av dataskyddsdirektivets artikel 8 p. 4 och 5 (artikel 8.1 reglerar förbudet mot behandling av känsliga personuppgifter och 8.2 anger undantag från förbudet) framgår att:

4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.

5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

Dataskyddsdirektivet kräver således lämpliga skyddsåtgärder för behandling av hänsyn till ett viktigt allmänt intresse av känsliga personuppgifter17 och lämpliga och specifika skyddsåtgärder för behandling av personuppgifter om lagöverträdelser m.m. I båda fallen har etikprövning sedan tidigare bedömts uppfylla kraven i dataskyddsdirektivet på skyddsåtgärd fastställd i nationell rätt.

14.3.3. Dataskyddsförordningens krav

Dataskyddsförordningen kräver lämpliga skyddsåtgärder för behandling av alla slags personuppgifter för forskningsändamål, inklusive personuppgifter om lagöverträdelser m.m., och lämpliga och sär-

16Prop. 2007/08:44 s. 31. 17 Behandling för forskningsändamål av känsliga personuppgifter har av lagstiftaren bedömts utgöra ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet.

skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) för forskningsändamål. Dataskyddsförordningen saknar närmare definitioner av begreppen lämpliga och särskilda skyddsåtgärder. En analys av begreppet lämpliga skyddsåtgärder finns i kapitel 12.

Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Etikprövningen måste således uppfylla kraven avseende de olika kategorierna av personuppgiftsbehandling för att vara förenlig med förordningen. Dataskyddsförordningens krav i dessa delar har tre olika nivåer:

  • All personuppgiftsbehandling för forskningsändamål, innefattande uppgifter om lagöverträdelser m.m. som utförs under kontroll av myndighet, måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1).
  • Personuppgiftsbehandling för forskningsändamål av uppgifter om lagöverträdelser m.m. som utförs av enskild får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).
  • Personuppgiftsbehandling för forskningsändamål av känsliga uppgifter måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).18

Dataskyddsförordningens krav har stora likheter med de krav som det nuvarande dataskyddsdirektivet ställer. Dataskyddsdirektivet kräver, som angetts ovan, lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser m.m. Utredningen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsförordningen skulle

18 I dataskyddsdirektivet saknas ett undantag specifikt för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter. Undantaget i nuvarande lagstiftning baseras därför på att forskningsändamålet utgör en uppgift av viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet. I dataskyddsförordningen finns undantaget för behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g. Enligt utredningens slutsats i kapitel 7 bör dock personuppgiftsbehandling för forskningsändamål av allmänt intresse, med rättsligt stöd i artikel 6.1 e, tillämpa undantaget i artikel 9.2 j vid behandling av känsliga personuppgifter.

innebära någon skillnad i sak jämfört med begreppet specifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”suitable and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet anger kravet på ”suitable specific safeguards”. Det engelska begreppet ”specific” har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförordningen och dataskyddsdirektivet.

Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskyddsförordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläggande rättigheter och intressen. I artikel 10 anges kravet på lämpliga skyddsåtgärder för de registrerades rättigheter och friheter vid personuppgiftsbehandling av uppgifter om lagöverträdelser m.m. Någon motsvarande formulering av syftet med skyddsåtgärderna finns inte i dataskyddsdirektivet, som dock har som övergripande syfte enligt artikel 1 att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

I kapitel 12 finns utförligare beskrivningar av dataskyddsförordningens krav på skyddsåtgärder generellt. I korthet bör i detta sammanhang lyftas fram att en av dataskyddsförordningens grundläggande generella principer för personuppgiftsbehandling, principen om integritet och konfidentialitet (artikel 5.1 f), anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Till den generella regleringen hör även allmänna skyldigheter i artikel 24 i dataskyddsförordningen för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.

Artikel 32 i dataskyddsförordningen ställer mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Där framgår att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varie-

rande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.

Av skäl 75 i dataskyddsförordningen framgår att risker för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling av bland annat känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. I skäl 76 i förordningen anges att hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

Ansvaret för att denna riskbedömning görs åligger enligt dataskyddsförordningen den personuppgiftsansvarige. Om det föreligger ett krav på etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för forskningsändamål, varigenom denna avvägning mellan risk och nytta utförs, måste dock etikprövningen vara förenlig med dataskyddsförordningens reglering av riskbedömningen. Ansvaret för att varje enskild personuppgiftsbehandling uppfyller dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar dock alltid den personuppgiftsansvarige.

14.3.4. Överväganden

Utredningens bedömning: Etikprövning enligt etikprövnings-

lagen utgör en sådan fastställd lämplig och särskild åtgärd som krävs vid personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen. Etikprövning enligt etikprövningslagen utgör också en sådan fastställd lämplig skyddsåtgärd som krävs för personuppgiftsbehandling av personuppgifter om lagöverträdelser m.m. enligt artikel 10 i dataskyddsförordningen.

Syftet med etikprövningslagen är att skydda den enskilda människan och respekten för människovärdet vid forskning. Skyddsobjektet är alltså inte helt identiskt med vad som ska skyddas enligt personuppgiftslagen (mot att människors personliga integritet kränks

genom behandling av personuppgifter) eller dataskyddsförordningen (fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter).

Vid etikprövningen ska dock, som ovan redogjorts för, en avvägning göras mellan det förväntade värdet av den kunskap forskningen sannolikt kan ge och riskerna för den enskildes skada och obehag. Riskerna får inte stå i bristande proportion till forskningens potentiella allmängiltiga värde. Oavsett värdet av forskningen måste den genomföras med respekt för människovärdet.

Vid etikprövningen ska beaktas bl.a. forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, omständigheter vid ett eventuellt samtycke, om information lämnats till de berörda och i vilken utsträckning den som begärde detta hade rätt att bli struken samt risken för identifiering av enskilda personer. Avvägningen har, som utredningen visat, sitt ursprung i personuppgiftslagen som i sin tur baseras på dataskyddsdirektivet. Den riskbedömning som etikprövningsnämnderna gör av personuppgiftsbehandling för forskningsändamål har därmed sedan tidigare bedömts förenlig med kraven i dataskyddsdirektivet.

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda, men viss vägledning till vilka faktorer som bör beaktas vid bedömningen av lämpligt skydd vid personuppgiftsbehandling finns i artikel 32 i dataskyddsförordningen. Av artikel 32 framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas. Risken bör, enligt skäl 76, utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

Det är inte möjligt att inom vårt uppdrag till fullo utreda hur etikprövningen går till i praktiken. Utredningen har därför att utgå ifrån att etikprövningslagens bestämmelser, och de vägledningar för tillämpningen som finns i förarbetena, följs av etikprövningsnämnderna och att etikprövningen därmed utförs enligt den avvägningsnorm och riskbedömning som är avsedd. I enlighet med vad utred-

ningen redogjort för i detta avsnitt är det därmed vår bedömning att etikprövningen som helhet uppfyller dataskyddsförordningens krav. Meddelade villkor kan enligt utredningens bedömning utgöra skyddsåtgärder enligt dataskyddsförordningen och komplettera etikprövningen i de fall det krävs för ett fullgott skydd. Att prövningen görs av etikprövningsnämnderna uppfyller, enligt utredningens uppfattning, dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter.

Mot bakgrund av detta är det utredningens sammanvägda bedömning att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid behandling av känsliga personuppgifter för forskningsändamål, samt utgör en sådan fastställd lämplig skyddsåtgärd som artikel 10 i dataskyddsförordningen kräver för behandling av personuppgifter om lagöverträdelser m.m.

Närmare föreskrifter om etikprövningen

Eftersom dataskyddsförordningen blir direkt tillämplig som lag från och med den 25 maj 2018 är det viktigt att den faktiska bedömning av avsedd behandling av personuppgifter som utförs i samband med etikprövningen efter detta datum vid behov anpassas till förordningens krav. Till skillnad från personuppgiftslagen är dataskyddsförordningen inte subsidiär till etikprövningslagen. Dataskyddsförordningens ställning som direkt tillämplig reglering medger inte att bestämmelser som redan framgår av förordningen fastställs i nationell rätt, men i begränsad utsträckning tillåts preciseringar eller upplysningar i syfte att förtydliga förordningens krav. I särskilda fall kräver förordningen nationell reglering.

Det är utredningens uppfattning att etikprövningslagens utgångspunkter för etikprövningen är förenliga med dataskyddsförordningens krav på skydd. Dessa utgångspunkter för etikprövningen anger dock inte i detalj hur själva bedömningen ska gå till. Det är vidare utredningens uppfattning att en sådan detaljreglering heller inte bör ske i lag.

Tillämpningen av dataskyddsförordningen innebär troligen att utbildningsinsatser behöver genomföras för att höja etikprövnings-

nämndernas kompetens avseende det nya regelverket för skydd av den personliga integriteten. Det är vidare möjligt att föreskrifter som närmare tydliggör vilka krav i dataskyddsförordningen som etikprövningsnämnderna särskilt bör beakta vid sin bedömning måste utformas. En sådan översyn görs lämpligen av etikprövningsnämnderna själva. Mot bakgrund av det föreliggande förslaget om en ny etikprövningsmyndighet19 är det utredningens uppfattning att en sådan översyn och anpassning av själva bedömningskriterierna bör avvakta genomförandet av denna organisatoriska förändring.

14.4. Tillämpningsområdet för kravet på etikprövning

14.4.1. Inledning

Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål har utredningen i uppdrag att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål:

Det finns anledning att i detta sammanhang överväga om etikprövning av forskning liksom i dag enbart ska tillämpas på forskning som innefattar behandling av sådana personuppgifter som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.20

Etikprövningslagens tillämpningsområde avseende vilken slags personuppgiftsbehandling som ska omfattas av kravet på etikprövning har på uppdrag av regeringen utretts tidigare vid ett par tillfällen. Vid införandet av etikprövningslagen år 2004 omfattade kravet på etikprövning behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag enbart om forskningspersonen inte hade lämnat

19 I Ds 2016:46 föreslås att de regionala etikprövningsnämnderna organiseras i en myndighet framöver för att bland annat centralisera den administrativa handläggningen av ärendena. Det framgår också av förslaget att ett nytt gemensamt elektroniskt system för ansökan till etikprövningsnämnderna kommer att tas i bruk inom kort. Förslaget till ny organisation för etikprövning av forskning är under beredning, varför utredningen har hänvisat till den befintliga strukturen i samband med våra överväganden och förslag. 20 Dir. 2016:65.

sitt uttryckliga samtycke till behandlingen. Regeringen framhöll då att frågan om etikprövning av annan forskning som i vissa fall kan vara känslig från integritetssynpunkt borde utredas närmare innan ett ställningstagande avseende en eventuell utvidgning av lagens tillämpningsområde kunde göras.21

Denna fråga utreddes sedan närmare inför en lagändring år 2008 som innebar att etikprövningslagens tillämpningsområde utvidgades så att all forskning som innefattar behandling av sådana personuppgifter som anges i 13 och 21 §§personuppgiftslagen ska etikprövas, oavsett om forskningspersonen har lämnat sitt uttryckliga samtycke till behandlingen eller inte.22 Lagens tillämpningsområde avseende personuppgiftsbehandling har dock alltjämt enbart omfattat sådana slags personuppgifter som anges i 13 och 21 §§personuppgiftslagen. Det kan därför vara av intresse, i samband med utredningens övervägande av en eventuell utvidgning av kravet på etikprövning till att omfatta all personuppgiftsbehandling för forskningsändamål, att se något närmare på tidigare resonemang kring avgränsningarna av lagens tillämpningsområde.

14.4.2. Etikprövningslagens ursprungliga tillämpningsområde

Ett övergripande syfte med etikprövningslagen angavs redan från början vara att skydda forskningspersonerna från risker att skadas fysiskt, psykiskt eller integritetsmässigt. De delar av lagens tillämpningsområde som omfattar personuppgiftsbehandling tar sikte på risken för integritetsmässig skada. Lagen omfattar i andra delar krav som avser att skydda forskningspersonerna från risker att skadas fysiskt eller psykiskt. Den utredning som föregick införandet av etikprövningslagen föreslog att lagen skulle tillämpas på forskning med personuppgifter som direkt eller indirekt kunde hänföras till en viss forskningsperson och som skulle utföras utan dennes samtycke, dock bara om forskningen innefattade behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.

Utredningen som föregick införandet av etikprövningslagen framhöll särskilt vikten av den enskildes skydd för forskningens anse-

21Prop. 2002/03:50 s. 102. 22Prop. 2007/08:44 s. 21.

ende, dvs. allmänhetens förtroende för att forskningen utfördes etiskt korrekt. Utredningens bedömning var därför att de olika skyddsaspekterna skulle beaktas på ett ändamålsenligt sätt genom att etikprövning skulle ske på förhand av forskning som kunde antas innebära särskilda risker. Beträffande vilken slags forskning som typiskt sett kunde innebära sådana särskilda risker för forskningspersonerna resonerade utredningen utifrån utgångspunkten att ett förslag till vilken slags forskning som ska omfattas av etikprövning behöver innehålla överväganden om vid vilken sorts deltagande för forskningspersonen som skyddsaspekter blir särskilt framträdande. Det ansågs inte avgörande inom vilket vetenskapligt område forskningen utförs, utan vilken metod som används och hur forskaren avser behandla personuppgifterna.23

Utredningen ansåg att samtycke från forskningspersonen innebar att krav på etikprövning inte var motiverat. Detta ställningstagande gjordes mot bakgrund av bedömningen att forskningspersonen, om denne tillfrågas, själv kan välja att avstå från att delta om denne anser att uppgifterna är för integritetskänsliga. Bedömningen av uppgiftens integritetskänslighet utförs då av forskningspersonen själv.

Forskning som hanterar integritetskänsliga uppgifter om enskilda som inhämtats från annat håll ansågs däremot innebära en sådan integritetsrisk att det motiverade etikprövning, enligt utredningens bedömning. Som utgångspunkt framhölls känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. utifrån personuppgiftslagens definitioner som särskilt integritetskänsliga och utredningen ansåg därför att forskning som innehåller den typen av personuppgifter bör etikprövas. Bedömningen av dessa uppgiftskategoriers integritetskänsliga karaktär baserades alltså i stor utsträckning på den bedömning som föregick regleringen i personuppgiftslagen.

Som exempel på personuppgifter som inte borde omfattas av etikprövning uppgav utredningen att information som avser direkta faktauppgifter om en person (till exempel adress och ålder) inte är att anse som särskilt integritetskänsliga i sig, liksom uppgifter om en persons neutrala värderingsfrågor (som exempel angavs i utredningen vilken mat en person föredrar). Avgörande för vad som

23Ds 2001:62 s. 109 f.

skulle etikprövas ansågs således vara informationens karaktär, oavsett inom vilket vetenskapligt ämne eller område forskningen bedrevs. Fördelen med denna grund för etikprövning framhölls vara att olika sätt att forska inom skilda områden inte påverkar kravet på etikprövning i sig. All forskning som omfattade behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. utan inhämtat samtycke skulle enligt utredningens förslag omfattas av kravet på etikprövning.24

I samband med remissbehandlingen av utredningens förslag inkom en del synpunkter på att lagens föreslagna tillämpningsområde var för snävt avgränsat. En allmän uppfattning var att också observationsstudier, enkäter och intervjuer borde omfattas av etikprövning. Några remissinstanser ansåg att etikprövning borde ske av all behandling av känsliga personuppgifter för forskningsändamål, dvs. även i det fallet forskningspersonen samtyckt. En annan synpunkt som framkom var att lagförslaget bedömdes minska omfattningen av den granskning som redan skedde, avseende sådan forskning som utfördes med samtycke inom det medicinska området, och att denna förändring var diskutabel ur trovärdighetssynpunkt för granskningsprocessen och forskningen.25

Regeringen fann dock att utredningens förslag till avgränsning av etikprövningslagens tillämpningsområde var rimlig och några materiella ändringar gjordes därför inte i regeringens proposition. Etikprövningslagen infördes att gälla från och med den 1 januari 2004 och omfattade då (bland annat) personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. enligt definitionerna i 13 och 21 §§personuppgiftslagen, om forskningspersonen inte lämnat sitt uttryckliga samtycke till behandlingen.

14.4.3. Etikprövningslagens nuvarande tillämpningsområde

Hösten 2004 beslutade regeringen att tillsätta en utredning med uppdrag att se över etikprövningslagen, bland annat med avseende på frågan