SOU 2017:50
Personuppgiftsbehandling för forskningsändamål
Till statsrådet Helene Hellmark Knutsson
Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att med anledning av EU:s dataskyddsförordning föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål, med syftet att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas (dir. 2016:65). Den 16 mars 2017 beslutade regeringen tilläggsdirektiv till utredningen (dir. 2017:29) med uppdrag att analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, samt beslutade att uppdraget ska slutredovisas senast den 27 april 2018.
Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg.
Som huvudsekreterare anställdes den 1 september 2016 Linda Stridsberg. Samma dag anställdes Staffan Malmgren som utredningssekreterare. Den 26 september anställdes Magnus Stenbeck som utredningssekreterare.
Som experter att biträda utredningen förordnades den 10 november 2016 professor Johan Askling, enhetschef Anna Bennet Bark, jurist Ulrika Harnesk, professor Peter Höglund, chefsjurist Anna Hörnlund, verksjurist Jonas Jeppson, avdelningschef Petra Otterblad. Den 15 november 2016 förordnades även professor Robert Erikson som expert.
Som sakkunniga i utredningen förordnades den 10 november 2016 kansliråden Olle Sundberg, Maria Wästfelt och Tyri Öhman. Maria Wästfelt entledigades från uppdraget den 28 februari 2017 och förordnades samma dag som expert i utredningen. Den 23 mars 2017
förordnades även departementssekreterare Thomas Neidenmark som sakkunnig i utredningen.
Utredningen, som har tagit sig namnet Forskningsdatautredningen, överlämnar härmed delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).
Stockholm i maj 2017
Cecilia Magnusson Sjöberg
/Linda Stridsberg
Staffan Malmgren Magnus Stenbeck
Sammanfattning
Uppdraget
I detta delbetänkande redovisar vi uppdraget att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen (EU 2016/679) börjar tillämpas den 25 maj 2018, dels lämna de författningsförslag som behövs. Förslagen ska avse reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning.
Bakgrund, rättsliga utgångspunkter och begrepp
Dataskyddsförordningen trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och gäller i stället för motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet (95/46/EG) och dess svenska implementering genom personuppgiftslagen (1998:204). Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om själva behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens tillämpningsområde.
Begreppet forskningsändamål
Förordningens återkommande uttryck ”vetenskapliga eller historiska forskningsändamål” innefattar enligt utredningens bedömning forskning utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Begreppen forskning och forskningsändamål kan enligt utredningens bedömning likställas.
Personuppgiftsbehandling för forskningsändamål bör vidare kunna omfatta hela eller delar av forskningsprocessen. Iordningställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i bred bemärkelse. Utredningens bedömning är således att de enskilda delarna av denna process ska kunna betecknas som behandling för forskningsändamål utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier där förlopp studeras över tidsperioder som ibland omfattar många år.
En forskningsdatalag
Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.
Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen. Den generella kompletterande dataskyddslag som Dataskyddsutredningen föreslår ska vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår utredningen att det av forskningsdatalagen ska framgå att dataskyddslagen gäller om inte annat följer av forskningsdatalagen. En registerförfattning, eller en bestämmelse i en registerförfattning, som specifikt är tillämplig på personuppgiftsbehandling för ändamålet forskning ska ha företräde framför avvikande bestämmelser i forskningsdatalagen.
Rättslig grund
Fastställande av allmänt intresse som rättslig grund
Artikel 6 i dataskyddsförordningen anger vilka villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig. De rättsliga grunder som framför allt kan komma ifråga för forskningsändamål är, enligt utredningens bedömning, samtycke enligt artikel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e och (för privata aktörer) intresseavvägning enligt artikel 6.1 f.
Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende bl.a. artikel 6.1 e (nödvändig behandling för att bl.a. utföra en uppgift av allmänt intresse). Med tanke på att artikel 6.1 e är central i forskningssammanhang, eftersom forskning generellt sett är att anse som en uppgift av allmänt intresse, har utredningen i uppdrag att särskilt analysera dessa krav och vid behov komplettera dataskyddsförordningen.
Dessa krav anges i artikel 6.2 och 6.3, vilka möjliggör och kräver nationell reglering som fastställer och specificerar tillämpningen av den rättsliga grunden i artikel 6.1 e. Den rättsliga grunden kan som ett inslag i fastställandet t.ex. innehålla allmänna villkor för den särskilda behandlingen. Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.
Kravet enligt artikel 6.3 på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell rätt medför en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling.
För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på.
I skäl 45 till dataskyddsförordningen anges att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket visar att det är möjligt för såväl offentliga
som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.
Om inga nationella lagstiftningsåtgärder vidtas innebär förordningens bestämmelser att offentliga forskningsaktörer framför allt har att tillämpa den rättsliga grunden uppgift av allmänt intresse, enligt artikel 6.1 e, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att tillämpa de rättsliga grunderna samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, i praktiken beroende på vilken organisationsform aktören har, är enligt utredningens bedömning rimligen inte avsiktligt.
Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och i övrigt adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen för behandling av personuppgifter för forskningsändamål.
Ytterligare behandling
Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas, om den ursprungliga insamlingen utfördes med tillämpning av en rättslig grund enligt artikel 6.1. Detta skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med
stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar.
I samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgiftsansvarige måste dock ha en egen rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats till denne. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.
Samtycke
Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Dataskyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska lämnas genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med i personuppgiftslagen.
Utredningen bedömer att det med utgångspunkt i artikel 9.2 a i dataskyddsförordningen är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när ändamålet med den aktuella forskningen inte exakt kan beskrivas vid insamlingstillfället. Skäl 43 i dataskyddsförordningen innebär samtidigt begränsningar, för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här
om den rättsliga grunden allmänt intresse förekommer samtidigt som samtycke inhämtats.
Dataskyddsförordningen erbjuder ingen slutlig lösning på de hybridförhållanden, dvs. när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, som redan uppmärksammats av artikel 29-gruppen och som innebär att samtyckets giltighet kan ifrågasättas.
Ytterligare behandling av personuppgifter för forskningsändamål insamlade med samtycke bör normalt omfattas av inhämtande av nytt samtycke, oavsett om det sker hos samma eller hos en ny personuppgiftsansvarig, om det är praktiskt möjligt och inte olämpligt ur etisk synpunkt.
Känsliga personuppgifter
Av artikel 9.1 i dataskyddsförordningen framgår att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dataskyddsförordningens definition av den här kategorin av personuppgifter är något utökad jämfört med det nuvarande dataskyddsdirektivets. I dataskyddsförordningen används vidare benämningen särskilda kategorier av personuppgifter i artikel 9. I enlighet med Dataskyddsutredningens bedömning väljer vi dock att även fortsatt benämna dessa slags personuppgifter som känsliga personuppgifter.
För att behandling av känsliga personuppgifter ska vara tillåten under vissa förutsättningar krävs stöd i nationell rätt som fastställer lämpliga och särskilda skyddsåtgärder. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet. Som huvudsaklig skyddsåtgärd föreslår utredningen att kravet på etikprövning enligt etikprövningslagen ska kvarstå.
Personuppgifter om lagöverträdelser m.m.
Behandling av personuppgifter om lagöverträdelser m.m. regleras i artikel 10 i dataskyddsförordningen. Enligt dataskyddsförordningen behövs kompletterande reglering i nationell rätt för att behandling av uppgifter om lagöverträdelser m.m. för forskningsändamål för andra än myndigheter ska vara möjlig. Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan personuppgiftsbehandling när denna är nödvändig för att uppnå forskningsändamålet.
Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades rättigheter och friheter. Utredningen föreslår att etikprövning enligt etikprövningslagen fortsatt ska vara den huvudsakliga skyddsåtgärden.
Personnummer och samordningsnummer
Den reglering som Dataskyddsutredningen föreslår för behandling av personnummer eller samordningsnummer innehåller samma direkt tillämpliga villkor som återfinns i nuvarande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.
Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.
Begränsningar av registrerades rättigheter
I dataskyddsförordningens tredje kapitel (artiklarna 12–23) anges den registrerades rättigheter i samband med att dennes personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas. Dataskyddsutredningen har föreslagit vissa generella begränsningar i dessa rättigheter.
Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i första punkten i artikel 89. Vi har därför analyserat dessa rättigheters effekt på forskningen, och föreslår vissa begränsningar genom bestämmelser i forskningsdatalagen.
Rätten till rättelse (artikel 16) ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i arkiveringssyfte. Rätten till rättelse ska i övrigt gälla utan undantag.
Rätt till begränsning av behandling (artikel 18) ska inte gälla när den registrerade bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta, om detta medför att forskningen inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
Det saknas behov av ytterligare undantag från rätten till tillgång (artikel 15) samt rätten att göra invändningar (artikel 21) när personuppgifter behandlas för forskningsändamål, utöver vad Dataskyddsutredningen har föreslagit.
Tillsyn och sanktioner
Utredningen har översiktligt behandlat frågor om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål.
Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet, och ha befogenheter enligt dataskyddsförordningen, över den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå samt de andra nationella författningar som kompletterar dataskyddsförordningen.
Eftersom den föreslagna forskningsdatalagen kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogen-
heter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.
Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.
Skyddsåtgärder
Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid all behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att behandling alls ska vara möjlig, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.
Vi har därför analyserat centrala begrepp, som exempelvis personuppgift, pseudonymisering och anonymisering, för att därefter gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättigheter, särskilt mot bakgrund på dataskyddsförordningens säkerhetskrav.
Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform. Jämfört med villkor meddelade vid etikgodkännande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.
Utredningen föreslår att personuppgiftslagens befintliga bestämmelse som anger att uppgifter som samlats in för forskningsända-
mål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.
Vidare föreslår vi att en bestämmelse införs i forskningsdatalagen som anger att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis.
Slutligen är vårt förslag att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.
En proportionerlig lagstiftning
Utredningen har analyserat de föreslagna bestämmelserna i forskningsdatalagen utifrån de krav på framför allt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en form av ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgiftsbehandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen.
Den föreslagna regleringen måste uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Utredningens bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att forskningsdatalagen är proportionell utifrån samtliga dessa proportionalitetskrav.
Etikprövning
Utredningen har analyserat vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras inför att dataskyddsförordningen börjar tillämpas. Utred-
ningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.
Utredningen har därpå analyserat om etikprövningslagens tillämpningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de ytterligare uppgifter som i dagsläget framgår av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde.
Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Ett differentierat etikprövningsförfarande framstår som mer ändamålsenligt inom framför allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efterföljande behandlingen endast innebär en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.
Slutligen har utredningen analyserat vilka ändringar av etikprövningslagen som i övrigt behöver göras med anledning av att dataskyddsförordningen börjar tillämpas och lämnar behövliga författningsförslag i dessa delar.
Anpassningar av vissa registerförfattningar
Vi har i uppdrag att i utredningens nästa skede bereda Registerforskningsutredningens (U 2013:01) förslag i betänkandet Unik kunskap genom registerforskning (SOU 2014:45) vidare. Eftersom det är
kort tid tills dataskyddsförordningen ska börja tillämpas, den 25 maj 2018, kommer någon generell reglering av forskningsdatabaser inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen föreslår, som behöver göras i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister tills dess att dataskyddsförordningen ska börja tillämpas.
Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser har denna första del av uppdraget fokuserat uteslutande på lagtekniska anpassningar av registerlagarna i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i det nuvarande skedet har utgått ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagarna ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagarna i vart fall inte ska försämras.
Ikraftträdande
Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgiftslagen samtidigt ska upphöra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.
Av dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på
plats när förordningen börjar tillämpas. Det är utredningens uppfattning att det därmed inte finns utrymme för några övergångsbestämmelser i forskningsdatalagen. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål tilllämpa dataskyddsförordningen och, i de delar denna kompletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.
Konsekvenser
Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgiftslagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat analysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyserar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.
Utredningen bedömer att förslagen inte medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen (1998:1474). Utredningens bedömning är vidare att förslagen överlag innebär en förstärkning av den personliga integriteten.
Summary
Remit
In this interim report, we present our analysis of what regulation of personal data processing for research purposes is possible and may be required given that the Data Protection Regulation (EU 2016/679) is to be applied from 25 May 2018, and submit the legislative proposals required. The proposals refer to regulation in addition to the general provisions proposed by the Data Protection Inquiry (Ju 2016:04) in its report (SOU 2017:39). In addition, we have been tasked with considering, and where necessary proposing, amendments to certain related legislation.
Background, legal position and terms
The Data Protection Regulation entered into force on 24 May 2016, but under Article 99(2) is to apply from 25 May 2018. The Regulation is directly applicable in all Member States and will apply instead of equivalent national regulation. The Data Protection Regulation thus replaces the current Data Protection Directive (95/46/EC) and its implementation in Sweden by means of the Personal Data Act (1998:204). Under Article 2, the Regulation will constitute a legal starting point for the research that uses personal data and is carried out in the context of the activities of an establishment of a controller or a processor in the European Union, regardless of whether the processing takes place in the Union or not (Article 3). Research that does not encompass processing of personal data falls outside the scope of the Regulation as defined in Article 2.
The term “research purposes”
In the view of the Committee, the phrase “scientific or historical research purposes”, used repeatedly in the Regulation, covers research without the need to draw any particular distinctions in meaning between these two aspects in terms of personal data processing. The Committee judges that the terms “research” and “research purposes” can be considered equivalent.
Personal data processing for research purposes should additionally be able to encompass all or parts of the research process. Organising personal data in databases for research purposes should be covered by what is meant by research in a broad sense. The judgment of the Committee is thus that the individual parts of this process could be designated processing for research purposes without all the parts having to be included. This is particularly important in longitudinal studies in which subjects are studied over periods of time that sometimes span many years.
A Research Data Act
The Committee has defined a need to introduce a Research Data Act with the purpose of enabling personal data to be processed for the purpose of research and to protect the freedoms and rights of the individual in conjunction with such processing of personal data. The proposed Research Data Act must be applicable to all processing of personal data for research purposes irrespective of the legal basis for such processing.
The proposed Research Data Act is to apply in addition to that set out by the Data Protection Regulation. The general supplementary Data Protection Act proposed by the Data Protection Inquiry is to be subsidiary in relation to other acts and ordinances. For reasons of clarity, the Committee proposes that the Research Data Act state that the Data Protection Act applies unless stated otherwise in the Research Data Act. A statute on a specific data register or a provision in such a statute which is specifically applicable to processing personal data for research purposes shall take precedence over provisions to the contrary in the Research Data Act.
Legal basis
Establishing public interest as a legal basis
Article 6 of the Data Protection Regulation sets out the conditions that must be met for the processing of personal data to be lawful. In the view of the Committee, the legal grounds that tend to be most relevant for research purposes are consent under Article 6(1)(a), necessary processing for the performance of a task carried out in the public interest under Article 6(1)(e) and (for private actors) balance of interests under Article 6(1)(f).
However, regarding the legal grounds under Article 6(1), the Regulation requires additional national regulation regarding Article 6(1)(e) (processing necessary for the performance of a task carried out in the public interest). Considering that Article 6(1)(e) is central in a research context, because research in general is to be considered a task carried out in the public interest, the Committee has been charged with particularly analysing and, where necessary, supplementing the Data Protection Regulation.
These requirements are set out in Article 6(2) and Article 6(3), which enable and require national provisions to determine and specify the application of the legal grounds in Article 6(1)(e). The legal basis may as an element in such specification also contain general conditions governing the specific processing, for example. Under the Data Protection Regulation, it is thus possible to introduce specific provisions in national law that specify when and how personal data processing for research purposes is to take place.
The requirement under Article 6(3) that the basis for the processing under Article 6(1)(e) must be laid down by Member State law creates a tangible distinction between different categories of research actors regarding the legal conditions for processing personal data.
As far as private actors are concerned, the research task is rarely or never laid down as prescribed by the Regulation. However, it is generally accepted that private research may also be considered to constitute a task carried out in the public interest. In order for private actors to be able to cite Article 6(1)(e), statutory provisions need to be introduced on which application can be based.
Recital 45 of the Regulation states that Member States should state which actors, including private ones, are able to perform a
task carried out in the public interest, which shows that it is possible for both public and private actors to perform tasks carried out in the public interest in the sense of the Data Protection Regulation.
If no national legislative measures are taken, the provisions of the Regulation mean that public research actors predominantly have to use tasks carried out in the public interest, under Article 6(1)(e) when processing personal data for research purposes. Private research actors predominantly have to use consent, under Article 6(1)(a), or weighing up interests under Article 6(1)(f) when processing personal data for the same purposes. In the view of the Committee, the fact that the Data Protection Regulation entails such significant differences in opportunities to cite the different legal grounds in Article 6(1) when processing personal data for equivalent research purposes, in practice depending on the organisational form of the actor concerned, is unintentional.
It is necessary to have a coherent fundamental regulatory framework for processing personal data for research purposes, not least so as to attain protection for the personal privacy of the individual under the rule of law that is also adequate in other respects. The opportunities of different research actors to collaborate and carry out research that may benefit the public at large should be placed on as equal a footing as possible. Protection of personal privacy must remain equally high irrespective of the category into which the research actor falls. This should be achieved through safeguards. The Committee therefore proposes that a provision be introduced in the Research Data Act that enables both public and private research actors to cite “task carried out in the public interest” as the legal basis for processing personal data for research purposes.
Further processing
The provisions of the Data Protection Regulation mean that personal data for research purposes may be processed further by the same controller without a new legal basis having to be cited, provided that the data was originally collected citing a legal basis under Article 6(1). This differs from the application of the Personal Data Act, in which all processing must be justified under Section 10. When the personal data was originally gathered with consent, how-
ever, it is not as clear-cut whether further processing may be carried out without a new legal basis for doing so.
When transferring personal data to another controller for processing for research purposes, the new processing is still to be seen as compatible with the original processing, provided that the new purpose is research. However, the new controller must have their own legal basis for their processing for research purposes once the personal data has been transferred to them. This means that research actors that collect personal data for research purposes that was previously collected for other purposes, for example, by another agency, must cite a legal basis under Article 6(1) for the new processing. Such a legal basis may be research carried out in the public interest under Article 6(1)(e).
Consent
The definition of consent in the Data Protection Regulation essentially matches the provisions of the Personal Data Act. The introduction of the Data Protection Regulation thus entails no significant changes to the meaning of consent. Consent must be freely given, specific, informed and for sensitive personal data, explicit, and must be given by means of a statement or an unambiguously confirming document. The latter wording of the type of activity approved as consent has been added to the definition compared with the Personal Data Act.
The Committee judges that Article 9(2)(a) of the Regulation together with the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) means that it is possible to also process sensitive personal data for research purposes with consent as the legal basis if consent exists together with ethical approval under the Ethical Review Act.
Recital 33 of the Data Protection Regulation involves expanding the potential scope of consent where the purpose of the research concerned cannot be described precisely at the time of data collection. At the same time, Recital 43 of the Data Protection Regulation involves restrictions, for public authorities, regarding the opportunity to use consent as the legal basis for processing personal data. Here,
it is of particular importance whether the legal basis of public interest exists concurrently with consent being obtained.
The Data Protection Regulation offers no final solution to the hybrid circumstances already highlighted by the Article 29 Working Party and which mean that the validity of consent may be questioned.
Further processing of personal data for research purposes should normally be covered by obtaining new consent, irrespective of whether this is carried out by the same or a new controller. This should apply irrespective of the wording of Article 5(1)(b) second sentence if it is possible in practical terms and not inappropriate on ethical grounds.
Sensitive personal data
Article 9(1) of the Data Protection Regulation states that processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. The Data Protection Regulation’s definition of this category of personal data is somewhat expanded compared with that in the Data Protection Directive. Furthermore, Article 9 of the Data Protection Regulation uses the term special categories of personal data. However, in line with the view of the Data Protection Inquiry, we are choosing to continue to term this kind of data sensitive personal data.
For processing of sensitive personal data to be permitted under certain conditions, support must be provided in Member State law with suitable and specific safeguards. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research. As the main safeguard, the Committee proposes that the ethical review requirement in line with the Ethical Review Act remains.
Personal data that concern criminal offences, etc.
Processing of personal data relating to criminal convictions and offences is regulated in Article 10 of the Data Protection Regulation. Under the Data Protection Regulation, supplementary regulation in Member State law is required for bodies other than an official authority to be able to process data that concern criminal offences, etc. for research purposes. The Committee therefore proposes a provision in the Research Data Act that allows such processing where this is necessary to attain the purpose of the research.
Such regulation must furthermore contain provisions on suitable measures to safeguard the fundamental rights and interests of the data subject. The Committee proposes that ethical review under the Ethical Review Act should continue to be the main safeguard.
Personal identity numbers and coordination numbers
The regulation proposed by the Data Protection Inquiry for the processing of personal identity numbers and coordination numbers contains the same directly applicable conditions as found in current legislation. These conditions are likely to be met in certain research contexts.
The Committee judges that the legal position regarding the use of personal identity numbers for research purposes will not be changed by the provisions proposed by the Data Protection Inquiry. Compared with today, the same conditions must be met to permit processing of personal identity numbers, and the Government and the supervisory authority have the same opportunities as before to issue special provisions in the form of statutes on specific data registers for certain types of processing. There is thus no need for additional supplementary national regulation.
Restrictions on the rights of the data subject
Chapter III of the Data Protection Regulation (Articles 12–23) sets out the rights of the data subject in conjunction with the processing of his or her personal data. These rights may be restricted
under certain circumstances. The Data Protection Inquiry has proposed certain general restrictions to these rights.
According to Article 89(2) of the Data Protection Regulation, where personal data are processed for scientific or historical research purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of Article 89. We have therefore analysed the effect of these rights on research and propose certain restrictions in the Research Data Act.
The right to rectification (Article 16) shall not apply to such personal data as is processed for research purposes if this is only preserved for archiving purposes. The right to rectification shall otherwise apply without derogations.
The right to restriction of processing (Article 18) shall not apply where the data subject contests the accuracy of the data during the verification period required in order to verify the accuracy of the personal data if this means that the research cannot be carried out or would be crucially delayed or impeded. The same shall apply when the data subject has objected to processing, pending the verification whether the legitimate grounds of the controller override those of the data subject.
There is no need for further derogations from the right of access (Article 15) or the right to object (Article 21) where personal data is processed for research purposes, in addition to that proposed by the Data Protection Inquiry.
Monitoring and sanctions
The Committee has addressed issues of monitoring and sanctions in a general sense in relation to the processing of personal data for research purposes.
The Data Protection Inquiry proposes that the Swedish Data Protection Authority be appointed as a supervisory authority and have the powers under the Data Protection Regulation over the national Data Protection Act that supplements the Data Protection Regulation at a general level and the other national statutes that supplement the Data Protection Regulation.
Because the proposed Research Data Act supplements the Data Protection Regulation, it is the view of the Committee that the provision proposed by the Data Protection Inquiry thus also covers the Research Data Act regarding the powers of the supervisory authority. Therefore there is no need to introduce a separate provision on monitoring in the Research Data Act.
The Data Protection Inquiry proposes a provision in the Data Protection Act that provides that the right to compensation under Article 82 of the Data Protection Regulation also applies to infringement of the provisions of this act, i.e. the Data Protection Act, and other statutes supplementing the Data Protection Regulation. It is the view of the Committee that the provision proposed by the Data Protection Inquiry thereby also covers the right to compensation in the event of infringement of the Research Data Act. There is therefore no need to introduce a specific provision on compensation in the Research Data Act.
Safeguards
Our mandate was to analyse the safeguards that should apply to all processing of personal data for research purposes and the form these safeguards should take. Regarding sensitive personal data and personal data relating to criminal offences, etc, our mandate was to analyse the need for supplementary provisions in order to be able to process this data at all, and to determine which suitable and specific measures such a regulation should contain.
We have therefore analysed key concepts, such as personal data, pseudonymisation and anonymisation, so as to subsequently examine the requirements in the Data Protection Regulation regarding safeguards. Furthermore, we have analysed a selection of organisational, technical and legal measures to safeguard the fundamental rights of the data subject, particularly in the light of the security requirements of the Data Protection Regulation.
Bearing in mind existing opportunities to regulate safeguards when personal data is processed for research purposes, we judge that it is possible and appropriate to introduce such regulation in the form of a statute. Compared with conditions set in conjunction with ethical approval and codes of conduct, statutory regulation
can provide greater clarity in application and ensure that suitable measures are also taken regarding processing that does not cover sensitive personal data or personal data that concerns criminal offences, etc.
The Committee proposes that the existing provision in the Personal Data Act, which states that data gathered for research purposes may not normally be used to take measures regarding the data subject, be transferred to the Research Data Act.
Furthermore, we propose that a provision be introduced in the Research Data Act stating that personal data must be pseudonymised or protected in an equivalent manner when processed for research purposes provided that the purpose can be attained by doing so.
Finally, we propose that the individual be given an opportunity to contest their personal data being processed for research purposes. If providing the data subject with the opportunity to contest the processing of their data proves to be impossible or involves disproportionate effort, or if the purposes of the research cannot otherwise be attained, the data may, however, be processed nevertheless.
Proportionate legislation
The Committee has analysed the proposed provisions of the Research Data Act on the basis of the requirements predominantly of proportionality laid down in the Data Protection Regulation, the Instrument of Government and other relevant legal instruments. The analysis has been carried out on the assumption that the proposed Act is a form of framework legislation which is unable to regulate the processing of personal data at a detailed level, and that the actual processing of personal data carried out in research projects must be examined on the basis of the same proportionality requirement. Here, the proposed safeguards constitute a basis for ensuring that the infringement that the processing of personal data in question involves is proportionate to the expected benefit of the research.
The proposed regulation must meet requirements of proportionality laid down in several different legal contexts. The view of the Committee, on the basis of the survey of privacy carried out,
the safeguards proposed and the value of the processing of personal data enabled by the regulation, is that the Research Data Act is proportionate on the basis of all these proportionality requirements.
Ethical review
The Committee has analysed the modifications that need to be made to the Act (2003:460) concerning the Ethical Review of Research Involving Humans before the Data Protection Regulation starts to be applied. Initially, the Committee has addressed the issue of ethical review as a safeguard in line with the requirements of the Data Protection Regulation and reached the conclusion that ethical review constitutes such a suitable and specific safeguard as required by the Data Protection Regulation to process for research purposes sensitive personal data or personal data that concerns criminal offences, etc.
The Committee subsequently analysed whether the area of application of the Ethical Review Act should be expanded to apply to all processing of personal data for research purposes and reached the conclusion that this would be far too invasive a measure that is disproportionate for its purpose. The Committee therefore proposes that the requirement for ethical review, also in the future, cover the processing for research purposes of sensitive personal data or personal data that concerns criminal offences, etc. in line with the definitions set out in Articles 9(1) and 10 of the Data Protection Regulation, and that the ethical review requirement regarding the additional data currently set out in Section 21 of the Personal Data Act should continue to be covered by the area of application in the Ethical Review Act in the future.
The Committee has further found that there is reason to further investigate the need for changes to the ethical review procedure. A differentiated ethical review procedure appears to be more fit for purpose predominantly in certain sociological and legal research. We submit several examples of such needs in conjunction with processing personal data for research purposes being based on data that is already published and where subsequent processing merely involves a minor privacy risk. In the light of restrictions to our
mandate and frameworks in general, we propose that this be investigated further in a separate form.
Finally, the Committee has analysed the amendments to the Ethical Review Act that otherwise need to be made as the Data Protection Regulation starts to be applied and submits the necessary statutory proposals in this regard.
Modifications to certain register statutes
In the next stage of the inquiry we have been charged with further preparing the proposals of the Register-based Research Inquiry (U 2013:01) in the report Unik kunskap genom registerforskning (Unique knowledge through register-based research) (SOU 2014:45). As it is not long until the Data Protection Regulation starts to be applied, 25 May 2018, no general regulation governing research databases will be in place by then. Therefore, in an initial phase, an analysis needs to be carried out regarding which adaptations in respect to the Data Protection Regulation and the general regulation proposed by the Data Protection Inquiry that need to be carried out to the Act (2013:794) on certain registers for research into the impact of genetics and environment on people’s health and the Act (1999:353) on a forensic psychiatric research register until the Data Protection Regulation starts to be applied.
Because the Committee has a mandate in a second phase to investigate and propose long-term regulation of research databases, this first part of the mandate has focused solely on technical legal modifications to the register statutes in relation to the provisions of the Data Protection Regulation. This means that, in present phase, the Committee has assumed that considerations already made and its views on this matter should be adopted where these are compatible with the Data Protection Regulation. The analysis is thus focused on such amendments as are necessary due to the Data Protection Regulation. The overall purpose of the mandate in this phase is to ensure that the legislation on registers can also be applied after the Data Protection Regulation starts to be applied on 25 May 2018, and that the existing conditions for processing personal data in line with legislation on registers will not in any case be watered down.
Entry into force
According to Article 99 of the Data Protection Regulation, the Regulation is to be applied from 25 May 2018. The Data Protection Inquiry proposes that the Data Protection Act, which constitutes supplementary national legislation at a general level, is to enter into force the same day and that the Personal Data Act cease to apply at the same time. Because the Research Data Act constitutes supplementary national legislation to the Data Protection Act in the research sector, we also propose that it should enter into force the same day.
The Regulation states that references to the Data Protection Directive must be construed as references to the Data Protection Regulation as this starts to be applied and the Directive is thus repealed. Recital 171 of the Data Protection Regulation furthermore states that adaptations in Member States should be in place when the Regulation starts to be applied. It is the view of the Committee that there is thereby no scope for any transitional provisions in the Research Data Act. From 25 May 2018 all processing of personal data for research purposes must thus apply the Data Protection Regulation and, where this is supplemented, the Research Data Act and at a general level also the Data Protection Act.
Consequences
The Commission has been charged with analysing the consequences of our proposals on the basis of certain specifically stated aspects. Our proposals are simultaneously primarily caused by other changes, mainly the abolition of the Personal Data Act and the entry into force of the Data Protection Regulation, but also the proposals submitted by the Data Protection Inquiry. We have therefore limited the analysis to such consequences that we have an opportunity to influence in any real sense, and operated on the basis of the aim of retaining the opportunities for research and protection of personal privacy that follow from current regulation. We will therefore not analyse the consequences of the Data Protection Regulation starting to be applied.
The Committee judges that the proposals will not involve any changes in costs for the actors referred to in the Swedish Committees Ordinance (1998:1474). Furthermore, it is the view of the Committee that the proposals in general will reinforce personal privacy.
1. Författningsförslag
1.1. Förslag till forskningsdatalag
Inledande bestämmelser
1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.
2 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.
Lagens tillämpningsområde
4 § Denna lag tillämpas vid behandling av personuppgifter för forskningsändamål.
Behandling av personuppgifter för forskningsändamål
Rättslig grund
5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.
Generella skyddsåtgärder
7 § Vid personuppgiftsbehandling för forskningsändamål med stöd av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8–10 §§ denna lag.
8 § Vid personuppgiftsbehandling för forskningsändamål ska personuppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset.
9 § Personuppgifter får inte behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling.
Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas, får personuppgiftsbehandling ändå utföras.
10 § Personuppgifter som behandlas för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.
Känsliga personuppgifter
11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.
Personuppgifter om lagöverträdelser m.m.
12 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.
Undantag från registrerades rättigheter
13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskyddsförordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.
14 § Den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behandlas för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.
Utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.
Denna lag träder i kraft den 25 maj 2018.
1.2. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor
Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor
dels att 12 § ska upphöra att gälla,
dels att 2 och 3 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §1
I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,
forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,
forskningsperson: en levande människa som forskningen avser, och
behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).
behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
1 Senaste lydelse SFS 2008:192.
3 §2
Denna lag ska tillämpas på forskning som innefattar behandling av 1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller
2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.
1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), eller
2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Denna lag träder i kraft den 25 maj 2018.
2 Senaste lydelse SFS 2008:192.
1.3. Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
dels att 13 och 17 §§ ska upphöra att gälla,
dels att 2, 3, 12, 14 och 16 §§ och rubriken närmast före 3 § och 16 § ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 3 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §3
Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1§ 1.
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.
3 Senaste lydelse SFS 2013:794.
Förhållandet till
Förhållandet till
annan dataskyddsreglering
3 §4
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
3 a §
Lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
12 §5
Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrif-
Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrif-
4 Senaste lydelse SFS 2013:794. 5 Senaste lydelse SFS 2013:794.
ter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
ter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
14 §6
Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. för vilka ändamål behandling kan ske enligt 5–7 §§ och vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
Utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
6 Senaste lydelse SFS 2013:794.
4. vem som är personuppgiftsansvarig,
5. hur länge uppgifterna sparas,
6. rätten till rättelse av uppgifterna,
7. rätten till information enligt 15 § denna lag och26 § personuppgiftslagen (1998:204),
8. vilken myndighet som har tillsyn över att denna lag följs,
9. rätten till skadestånd, och 10. rätten att få uppgifter utplånade.
4. rätten till information enligt 15 § denna lag och artikel 15 i dataskyddsförordningen,
5. vilken myndighet som har tillsyn över att denna lag följs, och
6. rätten till skadestånd.
Utplåning av uppgifter Radering av uppgifter
16 §7
Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd utplåning även av uppgifter som avses i 9 § första stycket 7
I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. En begäran om radering ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar radering av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes radera uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd radering även av uppgifter som avses i 9 § första stycket 7
7 Senaste lydelse SFS 2013:794.
ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem utplånade.
ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem raderade.
Denna lag träder i kraft den 25 maj 2018.
1.4. Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister
Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister
dels att 15 och 16 §§ ska upphöra att gälla,
dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till
annan dataskyddsreglering
2 §8
Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret.
Vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
2 a §
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskydds-
8 Senaste lydelse SFS 1999:353.
lagen) gäller vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
12 §9
När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret skall Rättsmedicinalverket lämna den registrerade information om behandlingen.
Informationen skall innehålla upplysningar om
1. att Rättsmedicinalverket är personuppgiftsansvarigt för behandlingen,
2. ändamålen med behandlingen,
3. vilken typ av uppgifter behandlingen avser,
4. mottagarna av uppgifterna,
5. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,
6. bestämmelserna ipersonuppgiftslagen (1998:204) om information som skall lämnas efter ansökan samt om rättelse och skadestånd, samt
När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna den registrerade information om behandlingen.
Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om
1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,
2. bestämmelserna i dataskyddsförordningen och dataskyddslagen om den registrerades rätt till skadestånd, samt
9 Senaste lydelse SFS 1999:353.
7. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.
3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.
Denna lag träder i kraft den 25 maj 2018.
2. Vårt uppdrag och arbete
2.1. Utredningsuppdraget
Vårt övergripande uppdrag (dir. 2016:65, se bilaga 1) har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen1 börjar tillämpas den 25 maj 2018, dels lämna nödvändiga författningsförslag. Förslagen ska gälla reglering utöver de generella bestämmelser som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande (SOU 2017:39). Dessutom har vi haft i uppdrag att överväga och eventuellt föreslå anpassningar i viss närliggande lagstiftning. Det uppdrag som nu redovisas har bestått av två huvudsakliga delar: reglering av personuppgiftsbehandling för forskningsändamål samt anpassningar av vissa registerförfattningar.
2.1.1. Reglering av personuppgiftsbehandling för forskningsändamål
Den första delen av vårt uppdrag har varit att föreslå kompletterande reglering i förhållande till de anpassningar av svensk lagstiftning som Dataskyddsutredningen (Ju 2016:04) föreslår. Syftet med denna kompletterande reglering är att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Uppdraget innefattar huvudsakligen följande:
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
- Att lämna förslag på lämpliga skyddsåtgärder för den registrerades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av.
- Att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
- Att, vid en sådan eventuell utvidgning av kravet på etikprövning, analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena, samt att överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet.
- Att se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår.
- Att analysera om det, utöver den generella reglering som Dataskyddsutredningen föreslår och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla.
- Att analysera om det utöver den generella reglering som Dataskyddsutredningen föreslår även finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag på hur sådana undantag i så fall bör utformas, samt
- Att lämna de författningsförslag som behövs.
2.1.2. Vissa anpassningar av registerförfattningar
Eftersom det är kort tid tills dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser då inte kommer att kunna vara på plats, behöver det i ett första skede analyseras vilka anpassningar som behöver göras i viss lagstiftning som reglerar specifika forskningsdatabaser. De författningar som anges i utredningens direktiv är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister.
2.1.3. Fortsatta uppdrag
I tilläggsdirektiv (dir. 2017:29, se bilaga 2) har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskyddsförordningen, kan behövas för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i Kungliga bibliotekets verksamhet. Detta deluppdrag ska redovisas senast den 13 oktober 2017.
Utöver ovanstående har utredningen även i uppdrag att i ett nästa skede föreslå långsiktiga regleringar av forskningsdatabaser, analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning samt lämna förslag till en reglering av Nationella biobanksregistret. Detta deluppdrag ska redovisas senast den 27 april 2018.
2.2. Anknytande utredningar
Det framhålls i utredningens direktiv att en enhetlig tolkning bör eftersträvas vid anpassningen av svensk rätt till den nya EU-regleringen. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Behovet av planering och samordning när det gäller utrednings- och lagstiftningsarbetet på detta område har även uppmärksammats av Justitiekanslern.2
Utredningen har därför på flera sätt samverkat med andra utredningar vars uppdrag berör dataskyddsförordningen.
2Remissyttrande över betänkandet Hur står det till med den personliga integriteten? (SOU 2016:41), dnr 4260-16-80.
2.2.1. Dataskyddsutredningen
Av utredningsdirektiven framgår på flera ställen att vi ska förhålla oss till den reglering som Dataskyddsutredningen (Ju 2016:04) haft i uppdrag att föreslå. Vi har därför löpande hållit oss uppdaterade om Dataskyddsutredningens arbete och utgått från dess förslag när vi bedömt vilken ytterligare reglering som behövs för personuppgiftsbehandling för forskningsändamål.
Av Dataskyddsutredningens direktiv (dir. 2016:15) framgår att den utredningen har att analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. Eftersom våra utredningsdirektiv beslutades efter ovanstående direktiv resulterade detta i ett delvis överlappande uppdrag för dessa båda utredningar. Mot denna bakgrund har vi i samråd med Dataskyddsutredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs i detta sammanhang. Dataskyddsutredningen har därför på eget initiativ avstått från att i sitt betänkande behandla frågan om behandling av personuppgifter för forskningsändamål.
2.2.2. Samordningsgruppen
Dataskyddsförordningen har föranlett ett stort antal utredningsinitiativ, både i form av uppdrag för särskilda utredare såväl som departementsinterna utredningar. Uppdragen har handlat om såväl anpassning av befintlig lagstiftning inom en viss sektor för att vara förenlig med dataskyddsförordningen, som annat lagstiftningsarbete som måste beakta dataskyddsförordningens krav.
Av direktiven framgår att utredningen ska hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, i syfte att uppnå en enhetlig nationell reglering. Mångfalden utredningar som haft anledning att utforska dataskyddsförordningen ur ett svenskt perspektiv föranledde bildandet av en informell samordningsgrupp. Gruppen har haft tio möten under hösten 2016 och
våren 2017, och har utgjort ett forum för dialog om gemensamma frågor om terminologi, avgränsningar, rättsliga bedömningar m.m. i arbetet med att anpassa den nationella lagstiftningen till dataskyddsförordningen.
Sammanlagt har representanter för ett femtontal utredningar deltagit i gruppens möten.
2.2.3. Övriga kontakter
Utöver arbetet i samordningsgruppen har utredningen genom enskilda möten hållit sig särskilt informerad om och beaktat arbetet i Dataskyddsutredningen (Ju 2016:04), Utbildningsdatautredningen (U 2016:03), Socialdataskyddsutredningen (S 2016:05), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), Utredningen om översyn av etikprövningen (U 2016:02) och Integritetskommittén (Ju 2014:09).
2.3. Utredningsarbetet
Arbetet har utgått från utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och två övriga sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga.
2.3.1. Expertgruppsmöten
Utredningens expertgrupp (inbegripet de sakkunniga) har hittills sammanträtt sammanlagt sex gånger, inklusive ett internatsammanträde. I samband med dessa möten har ett antal promemorior presenterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utredningen vid särskilda möten och i dialog om specifika frågor m.m.
2.3.2. Referensgruppsmöten
Utöver expertgruppen har utredningen bildat en referensgrupp med närmare tjugo deltagare. Syftet med denna grupp har varit att komplettera utredningens perspektiv och ta tillvara kompetens i
utredningens frågor som deltagarna besitter. Personerna i referensgruppen har medverkat i arbetet utan ersättning och i mån av tid.
Utredningen har hittills haft två möten med referensgruppen i sin helhet för att diskutera uppdraget och anknytande frågor av särskild betydelse för utredningen, samt flera mindre möten med delar av referensgruppen för att närmare diskutera tekniska och organisatoriska skyddsåtgärder.
2.3.3. Hearing
Utredningen har uppmärksammats på vissa behov av översyn av etikprövningslagens nuvarande krav avseende bland annat forskning som innefattar behandling av personuppgifter ur offentligt material. Med anledning av detta anordnade utredningen den 2 mars 2017 en hearing. Deltagare var företrädare för rättsvetenskaplig forskning från Linköpings universitet, Lunds universitet, Stockholms universitet, Umeå universitet, Uppsala universitet och Örebro universitet, som delgav utredningen synpunkter på dagens etikprövningskrav och behovet av en översyn i vissa delar.
2.3.4. Övriga möten
Utredningen har i olika sammanhang träffat representanter från Stockholms läns landsting, Kungliga biblioteket, Rättsmedicinalverket och Finansdepartementets utredning om mikrosimuleringsmodellen FASIT. Utredningen har även presenterat pågående arbete på ett möte med nätverket för EU:s dataskyddsförordning, organiserat av Pensionsmyndigheten.3 Utredningen har också deltagit i det årliga nationella mötet med SUNET4 som i år varit inriktat på konsekvenserna av förordningens införande för svenska universitet.
Utredningen har utöver detta tillsammans med utbildningsdepartementets representant medverkat vid två möten i ett nordiskt samarbete mellan företrädare för regeringar och myndigheter
3 Nätverket för EU:s dataskyddsförordning arbetar med att bevaka den nationella rättsutvecklingen och tolka bestämmelserna i dataskyddsförordningen. Se http: //www.esamverka.se/om -esam/organisation-och-forum/natverket-for-eusdataskyddsforordning.html 4 Swedish University computer Network, se http://www.sunet.se
kring förberedelser inför dataskyddsförordningens införande. Utredningen har dessutom deltagit i ett möte med representanter för forskarintressen i de nordiska länderna.
2.4. Betänkandets disposition m.m.
Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till dataskyddsförordningen och den nuvarande regleringen, med ett särskilt fokus på villkoren för forskning.
Kapitel 4 behandlar förslaget till forskningsdatalag och lagens tillämpningsområde. Kapitel 5 redogör för utredningens bedömning och förslag avseende fastställande av den rättsliga grunden allmänt intresse. Kapitel 6 behandlar samtycke till personuppgiftsbehandling för forskningsändamål. Kapitel 7, 8 och 9 redogör för särskilda regler för känsliga personuppgifter, personuppgifter om lagöverträdelser m.m. samt personnummer och samordningsnummer. Kapitel 10 behandlar vissa begränsningar av registrerades rättigheter och kapitel 11 rör frågor om tillsyn och sanktioner.
Eftersom dataskyddsförordningen särskilt kräver skyddsåtgärder för behandling av personuppgifter i flera sammanhang innehåller kapitel 12 en översiktlig analys av förordningens krav, tänkbara skyddsåtgärder av olika slag samt författningsförslag till vissa skyddsåtgärder.
I kapitel 13 bedöms den föreslagna lagstiftningens proportionalitet gentemot de grundläggande rättigheter som framgår ur bl.a. regeringsformen och Europakonventionen.
Frågor om etikprövning avhandlas i kapitel 14, bl.a. hur etikprövningen ska regleras för att uppfylla förordningens krav på särskilda och lämpliga skyddsåtgärder och frågan om etikprövningslagens tillämpningsområde.
Den del av utredningens uppdrag som rör översyn av befintliga registerförfattningar för att föreslå nödvändiga förändringar i samband med dataskyddsförordningen redovisas i kapitel 15.
Nödvändiga ikraftträdandebestämmelser avhandlas i kapitel 16. Konsekvensbedömningar finns i kapitel 17. Författningsförslagen kommenteras i kapitel 18.
Utredningens direktiv återges i bilaga 1 och 2. Avslutningsvis finns även en strukturerad genomgång av dataskyddsförordningen
med betoning på de bestämmelser som är av vikt för forskning i bilaga 3.
Till sist kan noteras att betänkandetexten är utformad med användning av ”vi-form” omfattande utredningen i sin helhet. Arbetet har bedrivits med aktivt deltagande av och i samverkan med experter och sakkunniga. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika specialområden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.
3. Bakgrund, rättsliga utgångspunkter och begrepp
3.1. Inledning
Dataskyddsutredningen (Ju 2016:04) har i uppdrag att redogöra för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen1börjar tillämpas.2 Utöver detta ska ett antal sektorsspecifika utredningar analysera konsekvenserna för specifika samhällssektorer. Forskningsdatautredningen har i uppdrag att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella kompletteringslagstiftning som Dataskyddsutredningen föreslår, samt komma med lämpliga författningsförslag.3 I detta kapitel presenteras utgångspunkterna för arbetet i form av bakgrund, rättsliga utgångspunkter och centrala begrepp.
Kapitlet inleds med en kort redogörelse för den reglering som för närvarande gäller med avseende på personuppgiftsbehandling för forskningsändamål. Därefter följer en redogörelse för EU:s dataskyddsreform utifrån ett forskningsperspektiv, där utvecklingen fram till den slutgiltiga förordningstexten vad gäller några för forskningen särskilt viktiga frågor beskrivs.
För att avgränsa konsekvenserna av dataskyddsförordningens införande, och kunna lämna de författningsförslag som behövs, krävs som utgångspunkt en genomgång av några centrala begrepp. Därför följer också en allmänt hållen analys av vad som i detta sammanhang avses med begreppet forskning och vad som avses med
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Dir. 2016:15. 3 Dir. 2016:65.
förordningens uttryck ”vetenskapliga och historiska forskningsändamål”. Även överväganden om behovet av att skilja mellan vetenskapliga och historiska forskningsändamål samt om det finns behov av att skilja på begreppen forskning och forskningsändamål behandlas. Slutligen görs en bedömning av vad som avses med personuppgiftsbehandling för forskningsändamål, som därmed utgör avgränsningen för det materiella tillämpningsområdet av dataskyddsförordningens bestämmelser och de kompletterande bestämmelser som föreslås i detta betänkande.
3.2. Rättsliga utgångspunkter
Persondataskydd regleras på många nivåer, av olika aktörer. FN:s allmänna förklaring om de mänskliga rättigheterna, Europakonventionen och EU:s rättighetsstadga innehåller alla någon form av skydd för privatlivet, i vilket ingår ett skydd för den enskildes personliga integritet och personuppgifter. I anslutning till sådana allmänna rättighetsförklaringar finns ofta även mer detaljerade konventioner eller andra rättsliga instrument som närmare behandlar persondataskydd.
I det följande ger vi en inledande översikt av de rättsliga instrument som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Det nuvarande dataskyddsdirektivet och dataskyddsförordningen behandlas löpande genom hela betänkandetexten. Övriga rättsliga instrument behandlas mer ingående i vissa avsnitt, exempelvis i kapitlen om proportionerlig lagstiftning och etikprövning. Genomgången utgår delvis från liknande översikter i framför allt SOU 2014:45 samt SOU 2016:41.4
4SOU 2014:45 – Unik kunskap genom registerforskning (Registerforskningsutredningen) respektive SOU 2016:41 – Hur står det till med den personliga integriteten? (Integritetskommittén).
3.2.1. Internationell reglering
I det följande behandlas reglering som härstammar från Förenta nationerna, Europarådet samt Europeiska unionen, i den ordningen.
FN:s allmänna förklaring om de mänskliga rättigheterna m.m.
Artikel 12 i FN:s allmänna förklaring om mänskliga rättigheter stadgar att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagligt skydd mot sådana ingripanden och angrepp. FN:s allmänna förklaring om de mänskliga rättigheterna är inte rättsligt bindande men ses som ett uttryck för sedvanerättsliga regler.
Sverige är ansluten till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i ovannämnda artikel 12 i den allmänna förklaringen. Konventionen är till skillnad från förklaringen bindande för anslutna stater.
FN:s generalförsamling antog den 14 december 1990 riktlinjer om datoriserade register med personuppgifter.5 Riktlinjerna anger tio grundläggande principer rörande minimigarantier som medlemsstaternas lagstiftning ska uppfylla. Dessa principer rör bland annat uppgifters korrekthet, ändamålsbeskrivningar, insyn i behandlingen och för vilka skäl undantag från dessa principer kan tillåtas.
Europakonventionen m.m.
En utgångspunkt för all personuppgiftsbehandling är den Europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.6 Av 2 kap. 19 § regeringsformen framgår att lag
5 ”Guidelines concerning computerized personal data files”, resolution 45/95. 6 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Det är framför allt artikel 8 i konventionen som har betydelse för personuppgiftsbehandling. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär.
Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utvecklingen och relationer till andra individer. Det krävs inte att det är fråga om rent privata relationer, utan skyddet kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv. Skyddet gäller även mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden. Vidare omfattar rätten till respekt för privatlivet ett skydd mot registrering och utlämnande av uppgifter ur allmänna register.7
Dataskyddskonventionen
Europarådets konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) från år 1981 har till syfte att säkerställa respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet, i samband med automatisk databehandling av personuppgifter. Konventionens tillämpningsområde är automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen har ändrats år 1999 och ett tilläggsprotokoll (nr 181) har antagits år 2001.
Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10, antagen den 23 september 1983, till skydd för personuppgifter som används för vetenskaplig forskning
7 Se SOU 2016:41 s. 151 och där refererade rättsfall.
och statistik. Rekommendationerna är, till skillnad från konventionen, inte direkt bindande.
Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår. De övergripande syftena med översynen är att bemöta utmaningar för den personliga integriteten som en följd av användning av ny informations- och kommunikationsteknik, samt att stärka konventionens uppföljningsmekanism.
Första fasen av detta arbete slutfördes år 2014. Den andra fasen, som inleddes år 2016, syftar till att ta fram ett slutligt förslag som även ska säkerställa överensstämmelse med dataskyddsförordningen.8
Europarådets konvention om mänskliga rättigheter och biomedicin
Europarådet antog år 1996 en konvention om mänskliga rättigheter och biomedicin. Konventionen skyddar människor i samband med hälso- och sjukvård och medicinsk forskning, och innehåller bl.a. principer om information och samtycke, ställföreträdare för icke beslutskompetenta personer, gendiagnostik och genterapi, forskning och försök på människor, tagande och användning av biologiskt material från människor.
Europeiska unionens stadga om de grundläggande rättigheterna m.m.
Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) antogs år 2000. Lissabonfördraget har medfört att stadgan numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s regelverk.
Vad gäller skyddet för den personliga integriteten anger stadgan att var och en har rätt till fysisk och mental integritet (artikel 3), respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd av de personuppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på
8 Se även http://www.coe.int/en/web/portal/28-january-data-protection-day-factsheet för en beskrivning av översynsarbetet.
grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter och att få rättelse av dem.
Även artikel 16.1 i fördraget om Europeiska unionens funktionssätt anger att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
Dataskyddsdirektivet och dataskyddsförordningen
Det nuvarande dataskyddsdirektivet9 har införts i svensk lagstiftning i form av personuppgiftslagen (1998:204). Dataskyddsdirektivet utgör en precisering och en förstärkning av principerna i dataskyddskonventionen.
Dataskyddsförordningen, som ersätter dataskyddsdirektivet och vars tillkomst behandlas ingående i de olika delarna av detta betänkande, utgår från och respekterar de grundläggande friheter som erkänns i stadgan.
Det nya dataskyddsdirektivet
Parallellt med de nationella anpassningarna till dataskyddsförordningen sker arbete med införlivande av det nya dataskyddsdirektivet.10 Enligt artikel 63 i det nya dataskyddsdirektivet ska medlemsstaterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att efterleva detta direktiv. Det är Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) som har i uppdrag att föreslå en sådan reglering.11 Utredningen har lämnat ett delbetänkande den 5 april 201712 och lämnar slutbetänkande senast den 30 september 2017. Utredningens förslag till brottsdatalag syftar till att genomföra dataskyddsdirektivet i svensk rätt.
9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 10 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 11 Dir. 2016:21. 12SOU 2017:29 Brottsdatalag.
Dataskyddsdirektivets mål är att fastställa bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1).
Dataskyddsdirektivets tillämpningsområde är därmed snävare än dataskyddsförordningens, som syftar till att fastställa bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1). Gränsdragningen mellan direktivet och förordningen kan dock behöva tydliggöras, särskilt avseende personuppgiftsbehandling för vetenskapliga forskningsändamål.
Behandling av personuppgifter för vetenskapliga ändamål inom dataskyddsdirektivets tillämpningsområde
Principer för behandling av personuppgifter framgår av artikel 4 i dataskyddsdirektivet. Artikel 4.3 anger att behandling som utförs av en personuppgiftsansvarig kan inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Utredningen om 2016 års dataskyddsdirektiv föreslår en bestämmelse i 2 kap. 5 § brottsdatalagen som föreskriver att en behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.
Detta gäller således behandling av personuppgifter för vetenskapliga ändamål inom direktivets och den föreslagna brottsdatalagens tillämpningsområde, dvs. för ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller behandling i syfte att upprätthålla allmän ordning och säkerhet (förslag till 1 kap. 2 § brottsdatalagen).
Behandling av personuppgifter för vetenskapliga forskningsändamål utanför dataskyddsdirektivets tillämpningsområde
Regleringen i dataskyddsdirektivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde, vilket innebär att om personuppgifter behandlas för något annat ändamål än brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet ska direktivet, och den föreslagna brottsdatalagen, inte tillämpas. En myndighet kan således ha såväl verksamhet som faller inom direktivets tillämpningsområde som utanför det. Det är de faktiska aktiviteterna som styr när direktivet blir tillämpligt. Detta innebär att behandling av personuppgifter som omfattas av unionsrätten faller in under tillämpningsområdet för antingen direktivet eller förordningen. Direktivet och förordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan såväl direktivet som förordningen vara tillämpliga parallellt.13
I artikel 9.1 i dataskyddsdirektivet anges att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas, om behandlingen omfattas av unionsrätten.
Artikel 9.2 anger vidare att om myndigheter som omfattas av direktivet har andra verksamhetsuppgifter än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas på behandling för sådana andra ändamål. Det gäller även behandling för arkivändamål av allmänt intresse eller för historiska eller vetenskapliga forskningsändamål eller för statistiska ändamål, om behandlingen omfattas av unionsrätten.
Detta gäller således för personuppgiftsbehandling för ändamål utanför direktivets tillämpningsområde. Prövningen av om sådan behandling är tillåten ska därmed enbart göras utifrån bestämmelserna i dataskyddsförordningen och nationell kompletterade lagstiftning.
13SOU 2017:29 s. 171 f.
Av artikel 2.1 d i dataskyddsförordningen framgår att förordningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Dessa bestämmelser i direktivet och förordningen mynnar ut i att Utredningen om 2016 års dataskyddsdirektiv föreslår en upplysande bestämmelse i 2 kap. 21 § brottsdatalagen med följande lydelse:
Behandling för ändamål utanför denna lags tillämpningsområde
21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags tillämpningsområde.
Detta innebär sammanfattningsvis att personuppgiftsbehandling för vetenskapliga ändamål i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller i syfte att upprätthålla allmän ordning och säkerhet faller inom dataskyddsdirektivets, och den föreslagna brottsdatalagens, tillämpningsområde. En ytterligare förutsättning är att behandlingen också utförs av en behörig myndighet enligt direktivet.
All annan personuppgiftsbehandling för vetenskapliga forskningsändamål ska tillämpa dataskyddsförordningen och kompletterande nationell rätt.
3.2.2. Nationell lagstiftning
Regeringsformen
Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. I förarbetena till denna bestämmelse anförs bl.a. att kränkningar av den
personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.
I 2 kap. 6 § RF föreskrivs ett skydd mot bl.a. husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande.
För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges nu även att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Offentlighet och sekretess
Offentlighetsprincipen, som framgår av 2 kap. tryckfrihetsförordningen (TF), medför en grundläggande rätt för alla att ta del av allmänna handlingar hos en myndighet. Med handling avses enligt 2 kap. 3 § TF framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Rätten att ta del av allmänna handlingar får endast begränsas om det är påkallat med hänsyn till något av de intressen som framgår av 2 kap. 2 § TF första stycket, där sjätte punkten (skyddet för enskilds personliga eller ekonomiska förhållanden) är av särskilt intresse vad gäller personuppgiftsbehandling.
I offentlighets- och sekretesslagen (2009:400) finns undantag från huvudregeln om handlingsoffentlighet som medför att möjligheterna att ta del av allmänna handlingar begränsas. Lagen innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar, gemensamt betecknat som sekretess. Bestämmelserna om offentlighet och sekretess är således av avgörande betydelse för möjligheten att få ta del av myndigheters handlingar. Bestämmelserna reglerar också skyddet för de uppgifter myndigheter förvarar hos sig.
Personuppgiftslagen är, som ovan nämnts, resultatet av det svenska genomförandet av det nuvarande dataskyddsdirektivet. Personuppgiftslagen följer i stort sett dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, säkerhet och sanktioner.14 Det angivna syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Etikprövningslagen
I syfte att bland annat uppfylla de krav som ställdes i Europarådets konvention om mänskliga rättigheter och biomedicin infördes den 1 januari 2004 lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestämmelser om samtycke till sådan forskning.
Registerspecifika författningar
Utöver generell lagstiftning finns ett antal författningar som reglerar personuppgiftsbehandling för forskningsändamål i specifika verksamheter. Nedan presenteras ett par författningar av detta slag.
Lag ( 2013:794 ) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”) tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att
14 Sedan år 2007 (SFS 2006:398) har dock den hanteringsmodell som framgår av dataskyddsdirektivet i personuppgiftslagen kompletterats av en missbruksmodell, med omfattande undantag när personuppgifter i s.k. ostrukturerat material behandlas.
skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen (SOU 2014:45). Efter förlängning gäller lagen till och med den 31 december 2017. Förslag om ytterligare förlängning bereds för närvarande inom Regeringskansliet. Nödvändiga anpassningar av denna lag inför att dataskyddsförordningen börjar tillämpas behandlas i kapitel 15.
Lag ( 1999:353 ) om rättspsykiatriskt forskningsregister
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete). Registret regleras i lagen (1999:353) om rättspsykiatriskt forskningsregister. Nödvändiga anpassningar av denna lag inför att dataskyddsförordningen börjar tillämpas behandlas i kapitel 15.
3.3. Bakgrund utifrån ett forskningsperspektiv
3.3.1. EU:s dataskyddsreform
EU-kommissionen initierade den 1 maj 2009 en konsultation riktad till allmänheten rörande skyddet för personuppgifter inom EU.15Utgångspunkter för det kommande arbetet presenterades genom ett bidrag av den s.k. artikel 29-gruppen,16 publicerat den 1 december
15 Se http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm 16 Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.
samma år.17 Den 25 januari 2012 presenterade EU-kommissionen ett förslag till ny allmän uppgiftsskyddsförordning för Europa.18Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) arbetade under år 2012 och 2013 fram ett ändringsförslag som i sina huvuddrag antogs av parlamentet efter den s.k. första läsningen i mars 2014.19 Ministerrådet antog en i väsentliga delar annan ståndpunkt i sitt ändringsförslag av den 11 juni 2015.20 Som resultat av den därpå följande trilogen21antogs en gemensam ståndpunkt den 15 december 2015. Det slutliga förslaget till allmän dataskyddsförordning antogs av ministerrådet den 8 april 2016 och av parlamentet den 14 april samma år.
Dataskyddsförordningen publicerades den 4 maj och trädde i kraft den 24 maj 2016, men ska enligt artikel 99.2 tillämpas först från och med den 25 maj 2018. Förordningen är direkt tillämplig i alla medlemsstater och ersätter motsvarande nationell reglering. Dataskyddsförordningen ersätter därmed bl.a. det nuvarande dataskyddsdirektivet och dess svenska implementering genom personuppgiftslagen. Förordningen kommer enligt artikel 2 att utgöra rättslig utgångspunkt för den forskning som använder sig av personuppgifter och bedrivs av en personuppgiftsansvarig eller personuppgiftsbiträde som är etablerad i Europeiska unionen, oavsett om behandlingen sker inom unionen eller inte (artikel 3). Forskning som inte omfattar behandling av personuppgifter faller, genom den avgränsning som görs i artikel 2, utanför förordningens materiella tillämpningsområde.
17 The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data. 02356/09/EN WP 168. 18 COM (2012) 11 final av den 11 januari 2012. Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning). 19 P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). 20 Note 9565/15 from the Presidency to the Council, 11 June 2015. Annex: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). 21 Trepartsförhandlingar mellan kommissionen, ministerrådet och parlamentet.
3.3.2. Frågor för forskningen vid dataskyddsförordningens tillkomst
Två grundläggande syften bakom den nya dataskyddsförordningen är:22
- Att skydda fysiska personers fundamentala rättigheter och friheter med avseende på skyddet för personuppgifter mot bakgrund av den snabba utveckling av teknik och organisation som har gjort att kommersiella företag och myndigheter har allt större möjligheter att samla in, lagra och samutnyttja personlig information från olika källor.
- Att underlätta den fria rörligheten vad gäller personuppgifter inom den Europeiska unionen genom likformig lagstiftning i alla medlemsstater. Härigenom avses att även inom de områden där personuppgifter används komma närmare förverkligandet av artikel 179 i EUF-fördraget23 som verkar för att skapa ett gemensamt europeiskt forskningsområde.
Dataskyddsförordningen kommer att få central betydelse för forskning inom EU. I Sverige liksom i några andra länder är möjligheten att använda personuppgifter i stora befolkningsbaserade register av särskilt intresse. Förekomsten av register som täcker flera generationer av hela befolkningen, deras omfattning vad gäller olika samhällssektorer, samt existensen av ett nationellt personnummer ger särskilda möjligheter för forskning och ställer samtidigt höga krav på ett starkt integritetsskydd för fysiska personer. Det nuvarande svenska regelverket utgör en implementering av dataskyddsdirektivet från år 1995 som kan sägas ha tagit hänsyn till behovet av att balansera dessa motstående intressen.
Under den process som ledde fram till den slutliga utformningen av dataskyddsförordningen gjordes ansträngningar från den svenska regeringens företrädare, med stöd från olika forskningsaktörer, att klargöra dessa för Sverige speciella förutsättningar och värdera de förslag till förordningstexter som lades fram utifrån ett forsknings-
22 Se skäl 1–7 i dataskyddsförordningen. 23 Fördraget om Europeiska Unionens funktionssätt EUT C 326, 26.10.2012 s. 47.
perspektiv. De nordiska länderna och andra länder med motsvarande behov samverkade i detta arbete.
En viktig fråga för forskningen hade att göra med forskningens möjligheter att använda personuppgifter hämtade från andra verksamheter än de som har forskning som primärt syfte. En annan fråga hade att göra med samtyckets roll som rättslig grund för personuppgiftsbehandling när mängden personuppgifter är så stor att inhämtandet av individuella samtycken försvåras. En tredje fråga rörde de rättsliga möjligheterna att kombinera uppgifter från olika datakällor och över långa tidsperioder med användning av personnummer eller motsvarande personbundna identifikatorer.
Med detta som allmän utgångspunkt framstod tre frågor som särskilt betydelsefulla för forskningen:
- Det s.k. forskningsundantagets24 plats i förordningstexten (i den slutliga förordningen i artikel 5 b).
- Förslag till särskilda regler om obligatoriskt samtycke vid forskning med användning av personuppgifter om hälsa (tidigare förslag till skrivning av artikel 81).
- Förslag om pseudonymisering som skyddsåtgärd (i den slutliga förordningen i artikel 89.1).
Med avseende på de två första frågorna fanns skillnader mellan Europaparlamentets position25 efter första läsningen26 och ministerrådets uppfattning.27 Den sista punkten, som rör pseudonymiseringens ställning, diskuterades mellan representanter för medlemsländerna under hela processen fram till den överenskommelse som träffades som resultat av trilogen den 15 december 2015.
24 Artikel 5 b i dataskyddsförordningen, andra meningen: ”Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen.” 25 P7_TA(2014)0212. 26 Beslutet togs den 12 mars 2014 efter den inledande parlamentsbehandlingen. Beslut efter den andra läsningen i parlamentet var det konsoliderade förslaget (nuvarande förordningstext) efter trilogen som antogs den 14 april 2016. 27 Note 9565/15 from the Presidency to the Council, 11 June 2015.
Forskningsundantaget
I 9 § andra stycket personuppgiftslagen anges (med hänvisning till bestämmelsen om den i första stycket föreskrivna finalitetsprincipen):
I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Denna särställning för bland annat forskning benämns ibland ”forskningsundantaget”.
I dataskyddsförordningen finns de allmänna principerna för personuppgiftsbehandling i artikel 5. Ytterligare behandling för forskning regleras genom att sådan behandling enligt 5 b inte ska betraktas som oförenlig med det ursprungliga ändamålet för insamlingen av personuppgifter. Formuleringen av denna bestämmelse är således parallell till det nuvarande dataskyddsdirektivet och dess implementering i personuppgiftslagen.
Forskningsundantaget fanns varken med i kommissionens ursprungliga förslag till ny uppgiftsskyddsförordning från januari 201228 eller i parlamentets förslag till modifikationer från mars 2014.29 I stället för ett generellt undantag fanns i kommissionens förslag skäl 4030 där formuleringen föreföll tillåta forskning för ändamål som inte står i motsättning till det ursprungliga ändamålet. Detta torde ha utgjort en inskränkning av den nuvarande regeln där inte något nytt ändamål för ytterligare behandling behöver anges utan ett generellt undantag görs för behandling för forskningsändamål utförd av samma personuppgiftsansvarig. Dessutom återfanns formuleringen om forskning i ett skäl och inte i den artikel som beskriver ändamålsbegränsning och finalitetsprincip.
Parlamentet tog ett ytterligare steg i denna riktning genom att helt stryka skäl 40 från förslaget31 utan att införa undantaget i artikeltexten. Den förändring i förhållande till gällande rätt det skulle medföra att forskningsundantaget saknas i förordningen skulle enligt den dåvarande svenska bedömningen kraftigt kunna begränsa forskningen. Möjligheten att i forskning återanvända personuppgif-
28 COM (2012) 11 final av den 25 januari 2012. 29 P7_TA(2014)0212. 30 COM (2012) 11 final av den 25 januari 2012, skäl 40. 31 P7_TA(2014)0212.
ter från administrativa register eller verksamhetsregister, samt att återanvända data insamlade för vissa forskningsändamål för annan forskning är av central betydelse. Det skulle därmed också påverka möjligheten att dela information mellan forskargrupper, och att använda sig av historiska uppgifter, exempelvis för retrospektiva kohortstudier.32
Förslaget att eliminera undantaget från texten torde ha varit ett led i att förstärka skyddet för enskilda mot bakgrund av de allt större tekniska möjligheterna att samla in och samutnyttja stora mängder av personuppgifter som i skäl 6 beskrivs som ett av de grundläggande motiven för dataskyddsreformen.
Forskningsfrågorna upptog en viktig plats i ministerrådets arbete, bland annat var det en av de frågor som prioriterades av den svenska regeringen under förhandlingsarbetet. De framsteg inom bland annat den medicinska forskningen som ytterligare behandling av personuppgifter från befolkningsregister har inneburit utgjorde ett tungt vägande skäl för att behålla forskningsundantaget.
Ministerrådet kompletterade kommissionens förslag genom att i artikel 5 b lägga till undantaget för arkivändamål, forskning och statistik med samma ordalydelse som återfinns i det nuvarande dataskyddsdirektivet, och man omformulerade skäl 40 i enlighet med detta. Tillägget ingår nu som andra mening i artikel 5 b tillsammans med ett förtydligande i skäl 50.
Samtycke för uppgifter om hälsa
Artikel 9.2 j (i kommissionens förslag artikel 9.2 i33) fastställer att behandling av särskilda kategorier av personuppgifter (”känsliga personuppgifter” i nuvarande lagtext) är tillåten för vetenskapliga eller historiska forskningsändamål under förutsättning att behandlingen är nödvändig enligt artikel 89.1 (tidigare artikel 83), att det i unionsrätten eller den nationella rätten finns ett rättsligt grundat
32 Studier där en population följs under lång tid, baserad på uppgifter som samlats in för många år sedan och sedan används i efterhand av forskare. 33 COM(2012) 11 final av den 25 januari 2012, s. 47.
skydd för uppgifterna, och att proportionalitetsprincipen34 beaktats. I definitionen innefattas enligt artikel 9.1 uppgifter om hälsa.
Utöver detta föreslog kommissionen särskilda bestämmelser om hälsa i artikel 81.35 Kommissionen föreslog att personuppgifter om den registrerades hälsotillstånd enligt artikel 81 får behandlas för forskningsändamål i enlighet med bestämmelser i (dåvarande) artikel 83.
Parlamentet gick även i detta avseende längre än kommissionen när det gällde att föreslå skydd genom att i artikel 81.2 som huvudprincip lägga till ett krav på samtycke när uppgifterna behandlas för forskningsändamål.36 Ett ytterligare tillägg (artikel 81.2 a) möjliggjorde dock undantag från denna restriktion “with regard to research that serves a high public interest, if that research cannot possibly be carried out otherwise”.37 Utöver detta innebar parlamentsförslaget krav på anonymisering eller pseudonymisering38 och att den registrerade skulle ha rätt att motsätta sig behandlingen när som helst under processen. Vad som är “high public interest” skulle enligt förslaget avgöras av kommissionen efter konsultation med den Europeiska dataskyddsstyrelsen39 (dåvarande artikel 81.3). De tillägg som föreslogs av parlamentet skulle innebära ett särskilt förstärkt skydd för personuppgifter om hälsa utöver vad som stadgas i artikel 9 om särskilda kategorier av personuppgifter.
Mot detta ska vägas de konsekvenser ett sådant tillägg skulle kunna få för forskning och statistikverksamhet. Forskning om hälsa
34 Den europeiska unionsrätten anger att åtgärden för att vara proportionerlig ska vara ägnad att tillgodose ändamålet, nödvändig för att uppnå ändamålet samtidigt som mindre inskränkande alternativ saknas, och den fördel som uppnås med åtgärden ska stå i rimlig proportion till den eventuella skada den kan orsaka för de berörda. 35 COM(2012) 11 final av den 25 januari 2012, s. 96–97. 36 P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), s. 305 37 A.a., s. 307. 38 I dataskyddsförordningens terminologi är pseudonymisering enligt artikel 4.5 personuppgifter som inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Anonymisering är enligt skäl 26 information som inte hänför sig till en identifierad eller identifierbar fysisk person. Förordningen är inte tillämpbar på anonyma uppgifter. Terminologin i förordningen kan avvika något från i Sverige etablerade uppfattningar om dessa termers betydelse. 39 Se dataskyddsförordningens avsnitt 3 där denna styrelse inrättas som ett unionsorgan med uppgift att se till att förordningen tillämpas enhetligt. Styrelsen ersätter den nuvarande artikel 29-gruppen som haft en liknande uppgift i relation till det nuvarande dataskyddsdirektivet.
använder sig i Skandinavien ofta av hundratusentals uppgifter från befolkningsomfattande hälsodataregister. Registerbaserade studier utgör en betydelsefull del av den europeiska epidemiologin. Det föreslagna kravet på samtycke skulle i praktiken förhindra denna forskning.
Från forskare framhålls också ofta att samtycke kan medföra snedvridning i forskningsresultaten. Att söka aktivt samtycke medför ofta överrepresentation av personer med bättre hälsa, underrepresentation av personer i vissa åldersgrupper, etc. Om syftet exempelvis är att undersöka förekomsten av hälsoproblem kan detta medföra att problemens förekomst undervärderas. I vilken riktning en icke representativ selektion snedvrider resultaten av forskningen kan inte generellt värderas och är därför svårt att kompensera för i resultatredovisningen.
Eftersom det av parlamentet föreslagna tillägget till artikel 81.2 tog sikte också på statistiska ändamål skulle myndigheter som enbart använder personuppgifterna för statistikproduktion antingen bli skyldiga att inhämta samtycke från samtliga, eller i det fall undantaget i artikel 81.2 a gällde, erbjuda den registrerade möjligheten att bli struken från registret. I samband med kravet på samtycke uppkom därför frågan om hur de grundläggande nationella personnummerbaserade populationstäckande registren vid Statistiska Centralbyrån, Socialstyrelsen, Försäkringskassan, Folkhälsomyndigheten och andra myndigheter med uppgifter om hälsa skulle påverkas av krav på samtycke som grundprincip och en absolut rätt att motsätta sig behandling i efterhand. Den nuvarande svenska lagstiftningen rörande obligatoriska hälsodataregister skulle då behöva modifieras, och förändringar skulle också bli nödvändiga i vissa registerförfattningar, som i särskilda fall innefattar möjligheten att motsätta sig behandling med andra formuleringar än de föreslagna.40
Ministerrådet föreslog strykning av de särskilda regler om hälsouppgifter som fanns i artikel 81. Man ansåg att den reglering som enligt artikel 9 erbjuder ett förhöjt skydd för särskilda kategorier av personuppgifter och som innefattar uppgifter om hälsa skulle vara tillräcklig. Detta vann gehör i trilogen. Därmed upphävdes den föreslagna artikel 81 i sin helhet.
40 Exempelvis enligt 7 kap. 2 § patientdatalagen som reglerar kvalitetsregister i hälso- och sjukvården.
Pseudonymiseringens ställning som skyddsåtgärd
Frågan om pseudonymiseringens ställning som skyddsåtgärd var föremål för diskussion mellan medlemsstaterna under hela förhandlingsprocessen. Pseudonymisering innebär att uppgifter som möjliggör identifiering av personer hålls separerade från andra uppgifter. Pseudonymiserade uppgifter är personuppgifter, vilket innebär att uppgifterna kan återidentifieras med tillförande av kompletterande uppgifter (artikel 4.5 i dataskyddsförordningen). Pseudonymisering innebär enligt förordningen “tekniska eller organisatoriska åtgärder”, men regleringen identifierar inte vad detta innebär i detalj. Artikel 29-gruppen har gjort en genomgång av de vanligaste metoderna.41
Det kan vara personuppgifter som är indirekt identifierbara och/eller data som försetts med en kodnyckel av mer eller mindre avancerat slag. Pseudonymiseringen kan även innebära att indirekt identifiering ska försvåras. Eftersom indirekt identifiering ofta kan åstadkommas med hjälp av relativt få uppgifter (t.ex. ålder, kön, diagnosdatum, diagnoskod och geografisk region) skulle många sådana uppgifter komma att behöva elimineras eller omkodas för att uppnå erforderligt skydd.
Pseudonymisering har framhållits som en av de viktigaste skyddsåtgärderna för forskningsdata. Kommissionens förslag till reglering av forskning i artikel 83 löd som följer:42
Inom ramen för denna förordning får personuppgifter behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att
a) dessa ändamål inte kan uppfyllas på annat sätt genom behandling av uppgifter som inte medger eller inte längre medger identifiering av den registrerade,
b) uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person hålls åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet.
41 0829/14/EN WP216. Yttrande 05/2014 om avidentifieringsmetoder, avsnitt 4 s. 20 f. 42 COM(2012) 11 final av den 25 januari 2012, s. 97.
Parlamentet föreslog som ett led i att öka personuppgiftsskyddet en förstärkning av formuleringarna i artikel 83 b genom att stryka bisatsen ”så länge som dessa ändamål kan uppfyllas på det sättet”.43Man föreslog således i praktiken ett obligatoriskt krav på pseudonymisering för statistik och forskningsändamål.
I ministerrådets behandling av frågan fanns skilda meningar om pseudonymiseringens roll i förhållande till andra skyddsåtgärder. En synpunkt var att pseudonymisering borde likställas med andra skyddsåtgärder och att en dominerande ställning för denna specifika skyddsåtgärd skulle medföra en reglering som inte var teknikneutral. Ministerrådets slutförslag innehöll en formulering som lyfte fram pseudonymisering utan krav på obligatorium och med ett liknande undantag som kommissionen hade föreslagit:
The appropriate safeguards referred to in paragraphs 1 and 1a shall be laid down in Union or Member State law and be such to ensure that technological and/or organisational protection measures pursuant to this Regulation are applied to the personal data (…), to minimise the processing of personal data in pursuance of the proportionality and necessity principles, such as pseudonymising the data, unless those measures prevent achieving the purpose of the processing and such purpose cannot be otherwise fulfilled within reasonable means.44
Ett långtgående krav skulle för forskningens del kunna leda till att de uppgiftssamlingar som är tillräckligt pseudonymiserade i praktiken inte kan användas av forskare som avser att sambearbeta uppgifter från olika källor och där insamlingen av uppgifter försiggår under långa tidsperioder.
Användning av pseudonymer vid påförande av nya data medför också sannolikt fel i matchningsproceduren. De kan orsakas både av rena datafel och av att de data som används som grund för pseudonymiseringen ändras för en individ över tid. Pseudonymisering kommer därför att resultera i förlust av datakvalitet i datamängder som förs över tid och behöver uppdateras.45 I vissa sammanhang,
43 P7_TA (2014)0212, s. 316. 44 COM(2012) 11 final av den 25 januari 2012, s. 195. 45 Felkällor som uppstår med användning av pseudonymiserade data illustreras närmare i en jämförelse mellan skandinavisk och tysk cancerstatistik: Andersen MR, Storm HH, on behalf of the Eurocourse Work Package G. Cancer registration, public health and the reform of the European data protection framework: Abandoning or improving European public health research? European journal of cancer. 2013. doi:10.1016/j.ejca.2013.09.005.
t.ex. vad avser uppgifter i biobanker, kan det vara svårt att åstadkomma en tillräcklig eliminering av uppgifter för att tillgodose kravet på pseudonymisering enligt artikel 4.5.
Ett krav på pseudonymisering skulle påverka såväl uppgiftssamlingar för forskningsändamål som registerhållningen hos statistik- och arkivmyndigheter. Ett exempel kan vara Statistiska centralbyråns (SCB) register över totalbefolkningen (RTB) som är ett utdrag från Skatteverkets grunduppgifter. RTB används för befolkningsstatistiken och utgör en viktig bas i snart sagt alla populationsbaserade studier eller i urvalsstudier där uttag och samkörningar mot andra uppgifter behöver göras. Möjligheten att behandla personnummer har således avgörande betydelse för den svenska forskningen.
Kravet på pseudonymisering kvarstod under hela trilogen. I slutskedet av förhandlingen föreslogs obligatorisk pseudonymisering om ändamålet ändå skulle kunna uppfyllas med användning av denna skyddsåtgärd. Till slut modifierades dock skrivningen i artikel 89.1 till att skyddsåtgärderna ”får inbegripa pseudonymisering under förutsättning att dessa ändamål kan uppfyllas på det sättet” (vår kursivering). Pseudonymiseringen kvarstår därmed som en i förordningen prioriterad skyddsåtgärd, men förutsätts bara användas när så är möjligt med hänsyn till personuppgiftsbehandlingens syfte.
3.3.3. Sammanfattning
Några frågor som diskuterades som särskilt viktiga för forskningen under den slutliga processen var finalitetsprincipen och forskningsundantaget, samtycke som grundprincip för hälsoinriktad forskning, och obligatorisk pseudonymisering av forskningsdata.
Efter att ha varit frånvarande från kommissionens förslag och parlamentets modifieringsförslag efter första läsningen togs ett undantag från finalitetsprincipen, för bland annat personuppgiftsbehandling för forskningsändamål, med i artikel 5 b i dataskyddsförordningen. Det har i princip samma lydelse som det undantag som finns i 9 § personuppgiftslagen.
De särskilda regler som kommissionen föreslog för personuppgifter om hälsa, och som genom parlamentets tillägg innebar mycket strikta begränsningar i forskningens möjlighet att utnyttja personuppgifter utan att samtycke inhämtats, upphävdes i sin helhet i den
slutliga förordningstexten där känsliga personuppgifter innefattande uppgifter om hälsa regleras genom artikel 9 tillsammans med andra känsliga personuppgifter.
Kravet på obligatorisk pseudonymisering om inte detta förhindrar att forskningen kan utföras fanns med sent under förhandlingen mellan ministerrådet, parlamentet och kommissionen, men ersattes slutligen med en formulering som innebär att pseudonymisering får användas om syftet med personuppgiftsbehandlingen ändå kan uppnås.
I flera fall innebar förhandlingarna att heterogeniteten mellan olika materiella tillämpningsområden och delar av det territoriella tillämpningsområdet (t.ex. mellan medlemsstaterna) var så stor att den slutliga texten innehåller en rad bestämmelser om att medlemsstaterna kan eller ska instifta nationella regler som kompletterar förordningen.
3.4. Begreppsdefinitioner
3.4.1. Inledning
Forskningsdatautredningen har, till skillnad från Utredningen om översyn av etikprövningen (U 2016:02),46 inte fått särskilda direktiv att se över definitionen av forskningsbegreppet. Eftersom särskilda regler kommer att gälla för personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål finner utredningen ändå ett behov av att adressera gränsdragningen mellan sådan behandling och annan behandling av personuppgifter. För forskningsändamål finns i dataskyddsförordningen möjlighet till undantag från flera bestämmelser som avser att skydda fysiska personer. Det är därför väsentligt att forskningsändamål ges en innebörd som möjliggör nuvarande och framtida forskning, men inte omfattar mer än vad som behövs och är tillåtligt enligt dataskyddsförordningen.47
I detta avsnitt görs först en genomgång av de begrepp och uttryck som används i dataskyddsdirektivet, personuppgiftslagen och
46 Dir. 2016:45. 47 Detta motiveras också genom de grundläggande friheter och rättigheter som fastställs i regeringsformens andra kapitel och i de internationella överenskommelser om mänskliga rättigheter som har Sverige anslutit sig till.
dataskyddsförordningen för att beskriva forskning. Därefter diskuteras hur en avgränsning av begreppet ”forskning” lämpligen kan göras och dess relation till begreppet ”forskningsändamål”, samt hur det närliggande begreppet ”akademiskt skapande” förhåller sig till forskning.
3.4.2. Begreppsanvändning i dataskyddsregleringen
Nuvarande reglering
I det nuvarande dataskyddsdirektivet förekommer begreppet ”forskning” i artikel 13.2 i uttrycket ”ändamål som har med vetenskaplig forskning att göra”, i artikel 32.3 där ”historisk forskning” omnämns, samt i skäl 34 där uttrycket ”vetenskaplig forskning” används. På flera ställen förekommer uttrycket ”vetenskapliga ändamål” (artikel 6 b och e samt skäl 29 och 40) och i ett fall ”vetenskapliga forskningsändamål” (artikel 11.2). Formuleringarna i de olika delarna av direktivet är således inte identiska eller konsekventa.
I 9 § andra stycket personuppgiftslagen används, i överensstämmelse med motsvarande artikel 6 b i direktivet, uttrycket ”vetenskapliga ändamål” för att beskriva de undantag från 9 c § som medges för bland annat forskning och i 26 § om den registrerades rätt till information efter ansökan. När det gäller forskning med känsliga personuppgifter används i 19 § uttrycket ”forskningsändamål”.
Dataskyddsförordningen
I bilaga 3 finns en detaljerad genomgång av alla de termer i dataskyddsförordningens skäl och artiklar som berör forskning. Några av dessa termer har definierats i dataskyddsförordningens artikel 4. Denna artikel innehåller dock inga definitioner av just forskning eller forskningsändamål. Begreppet ”forskning” förekommer över huvud taget inte i artiklarna, där man genomgående använder det sammansatta uttrycket ”vetenskapliga eller historiska forskningsändamål”.
När det gäller ”forskning” får man därför vända sig till skälen för att få vägledning. ”Forskning” eller ”vetenskaplig forskning” omnämns i skälen 33, 157, 159, 160 och 161. De fyra senare ger viss
vägledning om vad som bör innefattas i forskningsbegreppet när det omfattar personuppgiftsbehandling.
I skäl 159 ges en allmän vägledning till vad forskning ska anses innefatta. Skälet inleds med att fastställa att personuppgiftsbehandling för forskningsändamål omfattas av förordningen. Därefter anges att denna typ av personuppgiftsbehandling bör ges en vid tolkning som innefattar:
- Teknisk utveckling och demonstration.
- Grundforskning.
- Tillämpad forskning.
- Privatfinansierad forskning.
- Studier som utförs av ett allmänt intresse inom folkhälsoområdet.
Skäl 160 tillägger att forskning för historiska och genealogiska48ändamål ska innefattas, dock med beaktande av att förordningen inte gäller för avlidna. Vad gäller vetenskaplig forskning inom ramen för kliniska prövningar hänvisar skäl 161 till Europaparlamentets och rådets förordning (EU) nr 536/2014.49 Forskning som innefattar kliniska prövningar torde dock även omfattas av den uppräkning som görs i skäl 159.
Uppräkningarna i de angivna skälen förefaller ange en viljeinriktning snarare än att vara heltäckande. Det bör därför finnas utrymme för att i nationell reglering skapa, alternativt behålla, en avgränsning av forskningsbegreppet som är relevant för den forskning som använder personuppgifter. En sådan avgränsning ska överensstämma med den i skäl 159 uttryckta viljeinriktningen att forskning ska ges en vid tolkning.
48 Vetenskaplig släktforskning. 49 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG (EUT L 158,27.5.2014, s. 1).
3.4.3. Begreppet forskning
Begreppets definition i närliggande sammanhang
Det huvudsakliga arbetet i Sverige med att definiera forskning har skett inom ramen för etikprövningssystemets utveckling. Diskussionen har dominerats av överväganden som har att göra med etikprövningens syften, nämligen att utgöra ett skydd mot otillbörligt utnyttjande av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Forskning som enbart omfattar teoretiska överväganden utan att använda uppgifter som härrör från enskilda personer ska inte omfattas av etikprövning. Forskning som inte omfattar känsliga personuppgifter ska inte heller etikprövas. Sådan forskning som inte berörs av etikprövningen kan således ha givits mindre uppmärksamhet i arbetet med att definiera forskning i etikprövningslagen.
Eftersom känsliga personuppgifter ofta förekommer i hälsoinriktad forskning har de exempel lagstiftaren utgått ifrån troligen ofta härrört från medicinsk och epidemiologisk empirisk forskning med användning av denna kategori av känsliga personuppgifter.
Forskningsdatautredningen har i uppdrag att föreslå den kompletterande reglering till dataskyddsförordningen som behövs för all slags behandling av personuppgifter för forskningsändamål. Utöver detta ska utredningen i sin senare fas ta ställning till en långsiktig generell reglering av forskningsdatabaser.
Utredningen ska således framöver lämna förslag på ett bredare område än det som i dag omfattas av etikprövning, men den ska inte ta ställning till forskning som inte innefattar personuppgiftsbehandling. Avgränsningen till behandling av personuppgifter för forskningsändamål är således gemensam. Etikprövningslagens forskningsdefinition och de bedömningar som föregick dess förändring från och med år 200850 utgör därmed en relevant bakgrund.
Den lydelse av forskningsdefinitionen som gällde före 1 januari 2008 enligt 2 § etikprövningslagen var:
Vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund.51
50 SFS 2008:192. 51SOU 2005:78, s. 23.
En anledning till den utredning som föregick 2008 års ändring i etikprövningslagens definition var att den äldre formuleringen innehöll ett cirkelresonemang (forskning definierades som vetenskaplig forskning) och var dessutom alltför allmänt hållen för att utgöra en väl fungerande vägledning för etikprövningsnämndernas arbete.52
Den äldre definitionen inkluderade såväl grundläggande vetenskaplig verksamhet (grundforskning) som utvecklingsarbete (tillämpad forskning), men uteslöt utvecklingsarbete som inte vilade på vetenskaplig grund. Detta synsätt får anses överensstämma med intentionerna i dataskyddsförordningen såsom de uttrycks i skäl 159.
Inför revideringen av etikprövningslagen efterfrågades också en tydligare avgränsning mellan forskning och lärosätenas utbildningsverksamhet. Detta har tillgodosetts genom en kompletterande bisats i 2008 års formulering som undantar utbildning på grund- och avancerad nivå från forskningsdefinitionen. I propositionen anges att forskning som utförs av studenter på forskarnivå ska genomgå etikprövning om den faller inom ramen för lagens tillämpningsområde.53 Den avgränsning som görs avser därmed utbildning på grundnivå samt avancerad nivå enligt högskolelagen54, men inte utbildning på forskarnivå. Denna avgränsning mot utbildning återfinns inte uttryckligen i dataskyddsförordningen, men står enligt utredningens bedömning inte i motsättning till formuleringarna i skäl 159 som genomgående använder uttrycket ”vetenskapliga forskningsändamål”.
Etikprövningsutredningen fann vid sin genomgång att Centrala etikprövningsnämnden (CEPN) i praktiken har definierat verksamheter som forskning utifrån företrädesvis två aspekter:55
- Utförarnas egenskaper eller anställning (”kvalificerade forskare”).
- Forskarnas/utförarnas intentioner (framför allt att publicera arbetet i vetenskaplig tidskrift).
52SOU 2005:78, s. 55 f. 53Prop. 2007/08:44, s. 20. 541 kap. 7 § högskolelagen (1992:1434) samt lag (2006:173) om ändring i högskolelagen. 55SOU 2005:78 s. 50.
Regelrätta definitioner av forskning saknas i andra förarbeten till lagstiftning om personuppgiftsbehandling, men forskning diskuteras i olika sammanhang. Efter 2008 hänvisar 19 § personuppgiftslagen till etikprövningslagen.56 För tiden före denna förändring sägs i Etikprövningsutredningen:
Före den nu nämnda förändringen av 19 § PUL beskrevs forskningsbegreppet i litteraturen på följande sätt. Begreppet forskning i 19 § sades i första hand avse den verksamhet som bedrevs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut. Även sådana epidemiologiska undersökningar som utfördes vetenskapligt omfattades. Släktforskning föll utanför, liksom annan forskning eller utredningsverksamhet av mera privat natur. Det krävdes ett samhällsintresse av att forskningen bedrevs, och den behövde vara vetenskaplig i någon mening.57
Här hänvisades således huvudsakligen till vem som är forskningsaktör.
Man kan alltså urskilja tre huvudlinjer i resonemangen. I de teoretiska övervägandena görs försök att definiera forskning utifrån verksamhetens karaktär och inriktning. När man ser till de praktiska överväganden som görs i etikprövningsnämnderna eller av forskningsfinansiärer så spelar verksamhetens organisatoriska inramning en större roll, samt de rent praktiskt närliggande målen för verksamheten, såsom vetenskaplig publicering.
Utifrån detta resonemang skulle man kunna utveckla en ”checklista” för forskning som har liknande karaktär som de just citerade praktiskt tillämpade kriterierna. Således skulle en verksamhet kunna betecknas som forskning exempelvis om:
- Den som är ansvarig för forskningen har avslutad forskarutbildning.
- Den som är ansvarig för forskningen är aktiv forskarstuderande.
- Arbetet avses publiceras i vetenskaplig tidskrift. (Vad som menas med en vetenskaplig tidskrift kan diskuteras och varierar mellan olika discipliner).
56Personuppgiftslagens 19 § anger att personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål är tillåten om den godkänts enligt lagen (2003:460) om etikprövning av forskning. 57SOU 2005:78, s. 50.
- Arbetet avses publiceras i annat vetenskapligt alster (exempelvis monografi, doktorsavhandling, datorprogram, konstinstallation, bildmaterial, bearbetade rådata i digital form, andra media).
- Arbetet bedrivs inom universitet, högskola eller privat forskningsinstitut och betecknas där som forskning.
- Arbetet finansieras av budget avsedd för forskning i privat näringsverksamhet och betecknas där som forskning.
- Arbetet finansieras av eller drivs inom ideell organisation och betecknas där som forskning.
- Arbetet finansieras av ett etablerat statligt eller privat forskningsråd.
- Arbetet finansieras av annan forskningsaktör som betecknar aktiviteten som forskning.
- Arbetet finansieras av ett offentligt anslag avsett för forskning i offentlig budget.
Exemplen ovan gör inte anspråk på att vara heltäckande eller ha någon prioritetsordning, men där ingår kriterier som grundar sig på:
- Finansiering av forskningen.
- Dokumentation av forskningen.
- Vem som utför forskningen.
- Forskningens organisatoriska inramning.
Inget av dessa kriterier tar på ett tillfredsställande sätt fasta på den vägledning som ges i förordningens skäl 159. I detta skäl anges att ”privatfinansierad forskning” ska inräknas, dock utan att offentligt finansierad forskning räknas upp särskilt. Detta torde kunna förstås som att skäl 159 framhåller att finansieringsformen inte ska vara avgörande för bedömningen.
Inget i skälet aviserar något krav på forskares kvalifikationer eller, utöver finansieringsformen, vilken organisatorisk ram som är acceptabel. Skälet anger som allmän riktlinje att behandling av personuppgifter för forskningsändamål bör ges en vid tolkning och att forskning förekommer i flera olika sammanhang. Utredningens
bedömning av skälets formulering är att verksamhetens innehåll därför bör vara avgörande.
Etikprövningsutredningen föreslog en forskningsdefinition med inriktning på verksamhetens innehåll. För att undvika styrning av forskningens inriktning och för att lämna öppet för framtida utveckling föreslog man efter den genomgång som refererats ovan en nästan lika vid definition av forskning som tidigare:
Vetenskapligt systematiskt sökande efter ny kunskap.58
Av den proposition som följde på denna utredning framgår att flera remissinstanser ansåg att Etikprövningsutredningens förslag var alltför allmängiltigt för att tjäna som användbar avgränsning för etikprövningsnämndernas verksamhet.59 Cirkelresonemanget i den gamla definitionen var visserligen borta, men vidden och osäkerheten i forskningsbegreppet kvarstod. Regeringen ville därför ha en tydligare avgränsning av begreppet.
Organisationen för ekonomiskt samarbete och utveckling (OECD) har som ett led i sitt stöd till olika verksamheter över världen tagit fram den s.k. Frascati-manualen, i vilken man gör ett försök att definiera forsknings- och utvecklingsverksamhet.60 Man urskiljer tre nivåer:
The term R&D covers three activities: basic research, applied research and experimental development; these are described in detail in Chapter 4.
Basic research is experimental or theoretical work undertaken primarily to acquire new knowledge of the underlying foundation of phenomena and observable facts without any particular application or use in view. Applied research is also original investigation undertaken in order to acquire new knowledge. It is, however, directed primarily towards a specific practical aim or objective. Experimental development is systematic work, drawing on existing knowledge gained from research and/or practical experience, which is directed to producing new materials, products or devices, to installing new processes, systems and services, or to improving substantially those already produced or installed. R&D covers both formal R&D in R&D units and informal or occasional
R&D in other units. (Våra kursiveringar.)
58SOU 2005:78, s. 23.59Prop. 2007/08:44 s. 17 f. 60 OECD (2002) Frascati Manual: Proposed Standard Practice for Surveys on Research and Experimental Development, 6th ed., 2002, Ch 7, p. 30.
Den vida inriktning av forskningsbegreppet som OECD använder motsvarar i stora drag ambitionerna i skäl 159. Dock utgör OECD:s definition en avgränsning av forsknings- och utvecklingsarbete, medan förordningen ska tillämpas på personuppgiftsbehandling för vetenskapliga forskningsändamål. Det får anses som en något smalare målsättning eftersom det utvecklingsarbete (”teknisk utveckling och demonstration”) som omnämns i skäl 159 fortfarande torde förutsätta att arbetet sker på vetenskaplig grund och har vetenskapligt ändamål.
I regeringens proposition om ändring av etikprövningslagen föreslogs ett forskningsbegrepp som nära ansluter till OECD:s, men där indelningen i tre grupper slopats.61 Den nuvarande lydelsen av 2 § etikprövningslagen är:
Vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
Efter ändringen har även denna definition visat sig vara otillräcklig. Detta påpekas av Centrala etikprövningsnämnden i en skrivelse till regeringen.62 Definitionen sägs vara för smal, och i vissa fall även för bred, för att vara tillämplig. Den synes exempelvis utesluta andra vetenskapliga metoder för analys av data än de experimentella.
Etikprövningslagens definition av empirisk forskning63 pekar på den typ av forskning som genererar observationer experimentellt genom att manipulera ett eller flera forskningssubjekt i syfte att studera resultaten på ett kontrollerat sätt. När det gäller människor sker detta ofta genom att slumpmässigt indela försökspersoner i försöksgrupp och kontrollgrupp och studera skillnaden i ett utfall efter manipulering av försöksgruppen (s.k. randomiserad studie).
De vetenskapliga studier som använder personuppgifter och ska bli föremål för etisk prövning domineras av andra metoder än de experimentella. Etikprövningslagen ska tillämpas om forskningen medför fysisk eller psykisk påverkan på försökspersonerna även utan närvaro av någon experimentell manipulering.64 I många fall
61Prop. 2007/08:44 s. 17. 62 CEPN dnr A28-2009, RK dnr U2009/4528/F. 63 Dvs. forskning som använder data. 643 och 4 §§ lagen (2003:460) om etikprövning av forskning som avser människor.
studeras människor och processer utan forskarens ingripande. Det gäller exempelvis redan insamlade uppgifter om personer i myndighetsregister. Det gäller när biologiska prover tagna inom hälso- och sjukvården även används för forskningsändamål. Inom exempelvis pedagogik kan forskning innebära att undervisning i praktiken studeras, beskrivs och systematiseras av en forskare. Inom etnografi kan datainsamling bestå av passiv observation och/eller inspelning av ett naturligt skeende, där systematisering av informationen i huvudsak sker i efterhand. Ett liknande förfaringssätt aktualiseras vid studier av dokument, exempelvis i rättsvetenskaplig eller historisk forskning.
En samlande beteckning på detta är ”observationsstudier”.65Observationsstudier innefattar antingen användning av uppgifter insamlade primärt för forskningsändamål eller andrahandsanvändning av uppgifter som samlats in för andra ändamål än forskning. Här utgör de befolkningsbaserade administrativa registren ett särskilt viktigt underlag. I denna grupp ingår exempelvis uppgifter från folkbokföringen (SCB), hälsodataregister (Socialstyrelsen), hälso- och sjukvårdens kvalitetsregister (landstingen), register över inkomster (Skatteverket) m.m. Uppgifter som har samlats in primärt för forskningsändamål kan innefatta frågeundersökningar, medicinsk provtagning eller fysiska/mentala tester. Slutligen inryms i observationsstudier forskningsmaterial som till stor del är ostrukturerat med avseende på forskningssyftet, t.ex. inspelningar av naturlig konversation, bilder och olika slag av textdokument.
Etikprövningslagens nuvarande definition av forskning förefaller därmed inte täcka hela det område etikprövningen har omfattat. I skrivelsen till regeringen föreslog CEPN att en ny definition av forskning som anpassas till etikprövningsnämndernas ansvarsområde införs:
I denna lag avses med
1. forskning: empiriskt vetenskapligt arbete och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå [---]66
65 Ett något missvisande begrepp eftersom även experiment genererar observationer. Här avses dock observationer av naturliga fenomen, dvs. de som inte genererats av forskaren. 66 CEPN dnr A28-2009, RK dnr U2009/4528/F.
CEPN:s förslag innefattar observationsstudier och tydliggör dessutom, liksom Frascatimanualen och skäl 159 i dataskyddsförordningen, att visst utvecklingsarbete ska betraktas som forskning. Det tydliggör också att det för etikprövningens del är fråga om att ta ställning till empirisk forskning (som använder personuppgifter) och inte till eventuella etiska aspekter på rent teoretisk forskning.
Överväganden
Utredningens bedömning: Begreppet forskning bör vid person-
uppgiftsbehandling för forskningsändamål avgränsas på följande sätt: ”vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå”.
Utredningen föreslår i föreliggande betänkande en forskningsdatalag. Av detta följer att lagens materiella tillämpningsområde behöver avgränsas. Det medför i sin tur behov av att definiera vad som i lagens mening avses med forskning och för vilka typer av forskning lagen ska vara tillämplig.
För utredningen framstår det inte som aktuellt att i lagens tillämpningsområde innefatta rent teoretiskt arbete, dvs. som inte innefattar personuppgiftsbehandling, innebärande utveckling av perspektiv, begreppssystem och förklaringsmodeller utan användning av observationer. CEPN:s förslag till ändrad lydelse av 2 § etikprövningslagen innebär att termen ”teoretiskt arbete” bör uteslutas från avgränsningen.
CEPN har därutöver påpekat att den nu gällande lydelsen ”vetenskapligt experimentellt arbete” är alltför smal och bör ersättas med den bredare termen ”empiriskt vetenskapligt arbete”. Enligt vår bedömning omfattar inte begreppet ”empiriskt” med självklarhet all den behandling av personuppgifter för forskningsändamål som är möjlig och som omfattas av dataskyddsförordningen. Det kan exempelvis ifrågasättas om behandling för forskningsändamål av redan insamlade uppgifter i rättsvetenskapliga källor kan betecknas som ”empirisk”.
En bättre precisering av den forskning som lagen ska tillämpas på skulle åstadkommas genom en avgränsning till ”vetenskapligt arbete … som omfattar personuppgiftsbehandling”. Utredningen konstaterar dock att denna begränsning redan följer av dataskyddsförordningens artikel 2.1 som avgränsar förordningens materiella tillämpningsområde. Eftersom forskningsdatalagen uteslutande ska gälla inom dataskyddsförordningens tillämpningsområde saknas behov av att tydliggöra en sådan avgränsning.
Med hänsyn till ovanstående resonemang anser utredningen att termerna ”experimentellt”, ”teoretiskt” och ”empiriskt” bör undvikas, och konstaterar att en avgränsning till personuppgifter redan följer av dataskyddsförordningen. Utredningen bedömer därmed att en anpassad mindre modifikation av CEPN:s förslag behövs i detta avseende. Vidare föreslår utredningen att avgränsningen förtydligas ytterligare genom att arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå undantas. Detta för att tydliggöra gränsdragningen mellan utbildning och forskning. Utredningens bedömning är således att inom forskningsdatalagens tillämpningsområde ska med forskning avses:
Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
Den föreslagna formuleringen innefattar utvecklingsarbete på vetenskaplig grund och inbegriper därmed de intentioner som beskrivs i skäl 159. Den ska betraktas som en fungerande avgränsning av den forskning som omfattas av förordningens särskilda bestämmelser om personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål.
Det är avslutningsvis utredningens bedömning att någon definition av begreppet forskning inte bör införas i den föreslagna forskningsdatalagen. Den avgränsning utredningen här har redogjort för får anses vara en tillräcklig utgångspunkt för hur forskningsbegreppet ska tolkas vid personuppgiftsbehandling för forskningsändamål, samtidigt som arbete pågår i en annan utredning (U 2016:02) med att se över definitionen av forskning i etikprövningslagen.
3.4.4. Begreppet forskningsändamål
Begreppets användning i dataskyddsförordningen
I dataskyddsförordningens artiklar används genomgående och konsekvent uttrycket ”vetenskapliga eller historiska forskningsändamål”. Uttrycket används i artikel 5 som rör principerna för behandling av personuppgifter och i artikel 9 som rör känsliga personuppgifter (i förordningen kallat särskilda kategorier av uppgifter). Det förekommer också i samband med föreskrifter om undantag för forskningsändamål från vissa av de registrerades rättigheter i artiklarna 14, 17 och 21. Det återfinns även i artikel 89.1 som anger att personuppgiftsbehandling för forskningsändamål ska omfattas av lämpliga skyddsåtgärder och i artikel 89.2 som lämnar utrymme för att i unionsrätten eller nationell rätt föreskriva undantag från artiklarna 15, 16, 18 och 21. Dessa artiklar behandlar den registrerades rättigheter i det fall personuppgifter behandlas för forskningsändamål. Undantag från rättigheterna får göras när behoven av skyddsåtgärder är tillgodosedda och när det behövs för att forskningen ska kunna genomföras. För närmare analyser av dessa bestämmelser hänvisas till separata avsnitt i detta betänkande.
I artikel 6, som handlar om laglig behandling av personuppgifter, omnämns inte forskningsändamål särskilt. Det ingår här i den mer omfattande grupp ändamål som tillsammans kan (eller förutsätts) bli föremål för medlemsstaternas eller unionens kompletterande reglering (artikel 6.1 e allmänt intresse och 6.1 c rättslig förpliktelse).
Begreppet forskningsändamål förekommer tillsammans med mer eller mindre avgränsade uttryck67 och formuleringar i flera av förordningens skäl. I skäl 26 fastställs exempelvis att anonym information för forskningsändamål faller utanför förordningens tillämpningsområde. I skäl 33 förtydligas att samtycke till personuppgiftsbehandling för forskningsändamål kan innefatta avgränsade forskningsområden av bredare karaktär än enskilda projekt. Skäl 50 innehåller ett förtydligande av artikel 5.1 b om vilka krav som ställs på ytterligare behandling av redan insamlade personuppgifter. Skälen 52 och 53 förtydligar att undantag i unionsrätten eller nationell rätt från förbudet att behandla särskilda kategorier av person-
67 Se fig. 1 i bilaga 3.
uppgifter i artikel 9.1 kan göras för forskningsändamål. Skälen 62 och 65 beskriver undantag från de registrerades rättigheter vid personuppgiftsbehandling för forskningsändamål. I skäl 113 anges att hänsyn till samhällets legitima förväntningar om ny kunskap ska tas när överföring till tredje land görs för forskningsändamål. I skäl 156 formuleras riktlinjer för skyddsåtgärder och undantag från de registrerades rättigheter när uppgifter används för forskningsändamål. I skäl 157 framhålls vikten av att den personuppgiftsbehandling för forskningsändamål som innebär samkörning av personuppgifter från olika register kan göras. I skälen 159–162 beskrivs, som diskuterats i föregående avsnitt, vad som ska anses innefattas i personuppgiftsbehandling för vetenskapliga och historiska forskningsändamål.
Varken i skälen eller i de bindande artiklarna finns någon vägledning vad avser den eventuella distinktionen mellan ”vetenskapliga forskningsändamål” och ”historiska forskningsändamål”. De förekommer åtskilda från varandra endast i de vägledande skälen 159, som särskilt beskriver vetenskapliga forskningsändamål, och 160, som särskilt behandlar vad som innefattas i historiska forskningsändamål. Huruvida de separata formuleringar som finns i dessa skäl är avsett att skilja dem åt med avseende på bestämmelserna om personuppgiftsbehandling framgår inte tydligt. Inte heller finns det någon klart uttalad beskrivning av distinktionen mellan ”forskning” och ”forskningsändamål”.
Dessa två frågeställningar har betydelse för hur förordningen bör tolkas, och analyseras i det följande.
Historiska, statistiska och vetenskapliga forskningsändamål
I kommissionens ursprungliga förslag från januari 2012 förekommer uttrycket ”historiska, statistiska och vetenskapliga forskningsändamål”.68 Denna sammanhållna formulering förekommer inte i det nuvarande dataskyddsdirektivet, där motsvarande uttryck i artikel 6 b och e är ”historiska, statistiska eller vetenskapliga ändamål”. Frågan uppstod om den nya sammanhållna satsen i kommissionens
68 COM (2012) 11 final av den 25 januari 2012, s. 97.
förslag skulle förstås som hänförlig till olika typer av forskning, eller om de två första områdena inte skulle avse forskningsändamål.
Avgränsningsproblemet blev särskilt tydligt i den engelskspråkiga versionen genom att uttrycket ”research purposes” kan ges en bredare definition än svenskans ”forskningsändamål”. Avsikten visade sig vara att historiska och statistiska ändamål inte ska avse forskning. Man strök därför ordet ”research” och ändrade ordföljden i formuleringen till ”archiving purposes in the public interest or for scientific, historical and statistical purposes”69 varmed det tydliggjordes att de vetenskapliga ändamålen är separerade från övriga ändamål. Förslaget innebar med andra ord att förutom ändringen av ordföljd återgå till den formulering som finns i dataskyddsdirektivet.
Det fanns dock ett önskemål om att tydliggöra att historisk och statistisk forskning inte skulle undantas från de bestämmelser som gäller forskning. För att lösa detta delade man upp begreppet ”historiska ändamål” i två beståndsdelar: ”arkivändamål av allmänt intresse” och ”historiska forskningsändamål”. Den formulering som genomgående används i förordningen blev därmed ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Man återinförde därmed termen ”forskning” i formuleringen, men den placerades på ett sätt som inte återskapade den ursprungliga ambivalensen vad gäller historisk forskning. Införandet av det separata uttrycket ”historiska forskningsändamål” torde därmed inte vara avsett att skilja på historisk och vetenskaplig forskning. Det är snarare ämnat att särskilja historiska forskningsändamål från arkivändamål av allmänt intresse.
Det bör noteras att motsvarande ändring inte infördes för statistisk forskning. Ingen vägledning finns till hur detta ska uppfattas. Utredningens bedömning är att statistisk forskning, snarare än att innefattas i ”statistiska ändamål”, bör omfattas av ”vetenskapliga och historiska forskningsändamål”.
69 Note 9565/15 from the Presidency to the Council, 11 June 2015 s. 195.
Forskning och forskningsändamål
I det följande görs en bedömning av huruvida begreppen ”forskning” och ”forskningsändamål” bör åtskiljas när man bedömer vilken personuppgiftsbehandling för forskningsändamål som är tillåten enligt förordningen. En utförlig genomgång av allmänna principer och rättsliga grunder för forskningens användning av personuppgifter görs i kapitel 5. Behandling av personuppgifter för forskningsändamål med samtycke och behandling av känsliga personuppgifter för forskningsändamål tas upp i kapitel 6 respektive kapitel 7. Av dessa kapitel framgår att insamling av personuppgifter kan ske för forskningsändamål och att ytterligare behandling för forskningsändamål av personuppgifter insamlade för andra ändamål än forskning är tillåten. Nedan diskuteras innebörden av detta med avseende på vad som ska förstås som personuppgiftsbehandling för forskningsändamål.
Enligt nuvarande bestämmelser i 9 § c personuppgiftslagen ska personuppgifter samlas in för särskilt, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte behandlas för ändamål som är oförenliga med dessa ändamål (9 § d) Behandling för vetenskapliga ändamål ska inte anses som oförenligt med dessa ändamål enligt 9 § andra stycket. Motsvarande formuleringar finns i dataskyddsförordningens artikel 5 b. Personuppgiftsbehandling för vetenskapliga ändamål ska tillgodose proportionalitetsprincipen och principen om uppgiftsminimering (9 § f personuppgiftslagen och artikel 5 c i förordningen). Syftet med behandlingen för forskningsändamål måste vara tillräckligt beskrivet för att en bedömning enligt dessa kriterier ska kunna göras. Förordningen synes inte innebära någon förändring av bestämmelserna i dessa avseenden.
Begreppet forskningsändamål intar därför en central roll för att avgöra om den avsedda behandlingen avser forskning och därmed ska omfattas av de särskilda regler och undantag som ska gäller för detta. Det är enligt utredningens bedömning lämpligt att personuppgiftsbehandling för ändamålet forskning och för forskningsändamål likställs och omfattas av förordningens regelverk på samma sätt oavsett om den ena eller andra termen används.
I det följande görs en analys av vissa aspekter som aktualiseras av detta ställningstagande. Analysen föranleds av behovet av att avgöra om en personuppgiftsbehandling avser forskningsändamål
eller inte. En för utredningens fortsatta arbete särskilt intressant frågeställning är huruvida iordningsställande av databaser för breda syften, exempelvis inom ramen för ett forskningsprogram, ska anses ingå i forskningsprocessen och således anses ha forskningsändamål.
Observationsstudier innefattar ofta en lång process där data samlas in över tid och naturliga förlopp studeras. Vanliga beskrivningar av den empiriskt inriktade forskningsprocessen innefattar bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, datainsamling (inklusive i förekommande fall prövning enligt offentlighets- och sekretesslagen (2009:400)), konstruktion av databas, lagring av data, analys av data, manusförfattande, publicering, dokumentation (bl.a. av data), samt arkivering av data. Detta benämns ibland med termen ”forskningsprotokoll” och ingår som en helhet i forskningen. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt förekommande om forskningen följer ett program med flera enskilda separata forskningsprojekt som ingående delar.
Det kan som sagt ibland vara svårt att exakt definiera enskilda ändamål vid insamlingstillfället. Detta är exempelvis fallet när det gäller forskningsprogram som är utsträckta över en lång tidsperiod. En långvarig process kan här innebära att alla delar av forskningen inte kan vara slutligen planerade. För att arbetet ska kunna betecknas som personuppgiftsbehandling för forskningsändamål krävs dock fortfarande en tydlig avgränsning av behandlingens ändamål. Det är enligt utredningens bedömning rimligt att konstruktionen av forskningsdatabaser, under förutsättning att syftet fastställs som ett väl avgränsat forskningsområde, kan bedömas som personuppgiftsbehandling för forskningsändamål och därmed utgöra en del av själva forskningen.
I kapitel 6 om behandling av personuppgifter för forskningsändamål med samtycke redogörs kortfattat för det så kallade LifeGeneprojektet70 som av bl. a. Datainspektionen ansågs ha ett alltför brett ändamål för att kunna tillåtas enligt personuppgiftslagen. LifeGeneprojektet omfattade under de första åren ett förberedande insamlingsarbete som behövs för att långt senare kunna formulera närmare hypoteser och genomföra analyser av de långsiktiga konse-
70 Se http://www.lifegene.se
kvenserna som arv och miljö har på hälsan. Den centrala etikprövningsnämnden bedömde att detta arbete på grund av att det saknades ett tillräckligt tydligt avgränsat forskningsändamål skulle betraktas som skapande av en infrastruktur för forskning och därmed inte utgjorde sådan forskning som ska etikprövas. Databaser som har denna bredare karaktär har i stället ansetts behöva grundas på särskild lagstiftning. Riksdagen har i vissa fall stiftat sådana lagar för insamlingar av forskningsdata. Utöver lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) finns exempelvis lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen).
Att tillskapa forskningsinfrastrukturer är enligt utredningens preliminära bedömning en integrerad del av forskningsprocessen som i vissa fall är nödvändig och som har bredare formulerade forskningsändamål än de som förekommer i enskilda forskningsprojekt. I dataskyddsförordningens skäl 33 har nu tillkommit en tydligt uttryckt ambition att tillåta bredare samtycken för forskningsändamål.71 Hur artikel 33 ska tolkas med avseende på insamling i enlighet med den plan som finns i LifeGene-projektet, utan att stöd måste finnas i särskild författning, utgör en av utredningens kommande uppgifter i samband med att vi tar ställning till långsiktig reglering av forskningsdatabaser.72
Forskningsdatabaser som ytterligare behandling av personuppgifter
I det föregående avsnittet har insamling av data i en databas för framtida forskning inom ett specificerat forskningsområde diskuterats. En näraliggande men separat frågeställning är om myndigheter och andra personuppgiftsansvariga kan iordningsställa personuppgifter i databaser för forskningsändamål med hjälp av uppgifter som redan samlats in för andra ändamål.
Två exempel på databaser avsedda helt eller delvis för forskningsändamål är Statistiska Centralbyråns av forskare flitigt använda databas Longitudinell Integrationsdatabas för Sjukförsäkrings- och
71 För en mer utförlig redogörelse se kapitel 6. 72 Se dir. 2016:65.
Arbetsmarknadsstudier (LISA) och Försäkringskassans Mikrodata för analys av sjukförsäkringen (MiDAS). Här har personuppgifter som lagras hos myndigheten iordningställts för forskningsändamål och annat analysarbete. I SCB:s terminologi används begreppet ”studier” och i Försäkringskassans ”analys” i databasernas namn, vilket anger deras syfte. Uppgifter kan begäras ut och användas såväl för forskningsändamål som för andra ändamål.
Varken LISA eller MiDAS grundas på särskilda registerförfattningar. MiDAS används såväl för myndighetens egen verksamhetsuppföljning som för forskning, företrädesvis vid universiteten. LISA används inte i myndighetens egen verksamhet utan är avsedd att underlätta iordningställandet av uppgifter för externa projekt. Såväl SCB som Försäkringskassan är statistikmyndigheter och har därmed stöd i 14 och 15 §§ lagen (2001:99) om den officiella statistiken för behandling av personuppgifter för framställning av statistik inom de områden respektive myndighet ansvarar för enligt förordningen (2001:100) om den officiella statistiken med dess bilaga där statistikområden för respektive myndighet anges.
Det är tveksamt om uppbyggnaden av de beskrivna databaserna för studier och analyser bör grundas på den lagstiftning som avser statistikproduktion. En alternativ tolkning kan vara att söka lagligt stöd för databasernas skapande i 9 § personuppgiftslagen, att behandling av myndighetens personuppgifter för vetenskapliga ändamål inte ska anses stå i motsättning till de ändamål för vilka data ursprungligen samlades in. Denna formulering återfinns, som beskrivits ovan, också i förordningens artikel 5 b.
Sammanställningen av befintliga personuppgifter för forsknings- och analysändamål har hos myndigheterna betraktats som tillåten utan att ett eller flera specifika ändamål måste anges före det att personuppgifterna sammanställts. Först när uppgifterna begärs ut och ska användas i ett specifikt vetenskapligt projekt av en ny personuppgiftsansvarig har de regler som gäller insamling (i detta fall från sekundär källa) tillämpats.
SCB och Försäkringskassan omfattas av statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Ett lärosäte är i många fall en myndighet. Detta medför bland annat att personuppgifter som skyddas av sekretess och som lämnas ut för
forskningsändamål vid lärosätet omfattas av den sekretess som gäller för uppgifterna vid den utlämnande myndigheten.73
Vid lärosätet kan uppgifter på ett liknande sätt som LISA och MiDAS med stöd av dataskyddsförordningens artikel 5.1 b och skäl 50 kunna sammanställas för forskningsändamål utan att ett nytt ändamål behöver fastställas.
De allmänna principer som föreskrivs i artikel 5.1 ska dock vara uppfyllda. Enligt artikel 5.2 ska den personuppgiftsansvarige kunna visa att dessa efterlevs. Därutöver ska skyddsåtgärder enligt artikel 89.1 finnas och den rättsliga reglering som krävs enligt artiklarna 6.3 och 9.2 j ska vara tillgodosedd. Hur detta kan kombineras med iordningsställande av forskningsdatabaser på ovan angivet sätt kräver ytterligare analys. Utredningen avser att återkomma till detta i vårt slutbetänkande.
Överväganden
Utredningens bedömning: Historiska, statistiska och veten-
skapliga forskningsändamål ska betraktas som likställda.
Förordningens återkommande uttryck ”vetenskapliga eller historiska forskningsändamål” innefattar enligt utredningens bedömning forskningsändamål utan att någon särskild betydelseåtskillnad bör göras mellan dessa två delar med avseende på personuppgiftsbehandling.
Vidare bedömer utredningen att statistiska ändamål inte innefattar forskning. Statistisk forskning kan därmed i stället innefattas i uttrycket ”vetenskapliga forskningsändamål” och omfattas av samma bestämmelser om personuppgiftsbehandling för forskningsändamål som andra vetenskapsområden.
Utredningens bedömning: Personuppgiftsbehandling för ända-
målet forskning och för forskningsändamål ska betraktas som likställda.
7311 kap. 3 § offentlighets- och sekretesslagen (2009:400).
Arbete med forskningsändamål bör kunna omfatta hela eller delar av forskningsprocessen. Iordningsställande av personuppgifter i databaser för forskningsändamål bör kunna innefattas i vad som avses med forskning i vid bemärkelse. De allmänna principer för personuppgiftsbehandling som föreskrivs i artikel 5 ska gälla för detta arbete. Av särskild betydelse är här bedömningen av hur forskningsdatabaser med bredare ändamål än ett enskilt forskningsprojekt kan tillfredsställa principen om uppgiftsminimering i artikel 5 c. Viss vägledning till detta ges i förordningens skäl 33 som anger att samtycke ska kunna inhämtas för områden för vetenskaplig forskning när det exakta syftet med insamlingen inte fullt ut kan identifieras vid insamlingstillfället.
Utredningen bedömer att det kan finnas visst stöd för att den personuppgiftsansvarige med hänvisning till artikel 5 b i förordningen kan behandla redan insamlade personuppgifter för att iordningsställa databaser avsedda för forskningsändamål. Att ändamålet är forskning bör vara tydligt för att artikel 5 b ska vara tillämplig.
Utredningens bedömning är att de enskilda delarna av forskningsprocessen ska kunna betecknas som arbete med vetenskapligt ändamål och forskningsändamål var för sig utan att alla delar måste ingå. Detta är särskilt viktigt i s.k. longitudinella studier (också kallat kohortstudier) där förlopp studeras över tidsperioder som ibland omfattar många år. Det måste dock stå klart att arbetet är en del av forskningsprocessen och tillgodoser de principer som gäller för all personuppgiftsbehandling enligt förordningens artikel 5.
Utredningen avser att återkomma bland annat till hur begreppet forskningsändamål ska betraktas i relation till uppbyggnaden av forskningsdatabaser i vårt slutbetänkande. Utredningens sammanfattande bedömning i detta skede är att personuppgiftsbehandling för ändamålet forskning och för forskningsändamål ska betraktas som likställda.
3.4.5. Begreppet akademiskt skapande
Vårt uppdrag är att utreda och föreslå en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål. Dataskyddsförordningen öppnar för ett flertal möjligheter till sådan nationell reglering genom att direkt hänvisa till personuppgifts-
behandling för historiska och vetenskapliga forskningsändamål i ett flertal artiklar och skäl, vilka utredningen kommer att behandla i de olika delarna av betänkandet. I ett fall förekommer dock ett begrepp som kan tyckas angränsande till vetenskapliga forskningsändamål. I artikel 85 i dataskyddsförordningen återfinns begreppet akademiskt skapande. Utredningen kommer i det följande att analysera begreppet akademiskt skapande sett i relation till vårt uppdrag att utreda och föreslå reglering för personuppgiftsbehandling för forskningsändamål.
Rättsliga förutsättningar
I 7 § andra stycket personuppgiftslagen anges att flertalet bestämmelser i lagen inte ska tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Denna bestämmelse har sin grund i artikel 9 i det nuvarande dataskyddsdirektivet som anger att medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande ska besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.
I artikel 85 i dataskyddsförordningen återfinns motsvarande bestämmelse:
Artikel 85
Behandling och yttrande- och informationsfriheten
1. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
2. Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.
3. Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.
Det kan inledningsvis noteras att dataskyddsförordningen, till skillnad från dataskyddsdirektivet och personuppgiftslagen, inte föreskriver att enbart sådan behandling som sker uteslutande för de uppräknade ändamålen får undantas, utan det räcker att det sker för sådant ändamål. Undantagsmöjligheten är således utökad i dataskyddsförordningen.
Vad som dessutom skiljer artikel 85 från artikel 9 i dataskyddsdirektivet och 7 § andra stycket personuppgiftslagen är att även personuppgiftsbehandling som sker för akademiskt skapande får undantas. Eftersom begreppet akademiskt skapande är nytt i sammanhanget uppkommer frågan vad som innefattas i detta begrepp och även hur det förhåller sig till begreppet vetenskapliga forskningsändamål.
Dataskyddsutredningens uppdrag och förslag
Det framgår av Dataskyddsutredningens direktiv att regeringen anser att artikel 85 i dataskyddsförordningen innebär att det blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det ingår inte i Dataskyddsutredningens uppdrag att överväga eller lämna förslag till grundlagsändringar, men utanför grundlagarnas tillämpningsområde är det regeringens bedömning att det även fortsättningsvis torde finnas behov av bestämmelser som, liksom 7 § andra stycket personuppgiftslagen, balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten. Det ingår därför i Dataskyddsutredningens uppdrag att analysera hur sådana regler bör utformas och lämna sådana författningsförslag som är behövliga och lämpliga.74
74 Dir. 2016:15 s. 22.
Av Dataskyddsutredningens betänkande framgår att utredningen föreslår att ett undantag för sådan behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska införas i den nya dataskyddslag som föreslås komplettera dataskyddsförordningen på nationell generell nivå. Detta undantag föreslås innebära att enbart dataskyddsförordningens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner ska tillämpas i dessa fall.
Det är Dataskyddsutredningens bedömning att ordalydelsen i artikel 85.2 i dataskyddsförordningen synes ålägga medlemsstaterna att göra vissa undantag från förordningen under förutsättning att de är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Samma krav på nödvändighet finns i dataskyddsdirektivet, och den befintliga bestämmelsen i 7 § andra stycket personuppgiftslagen bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara förenliga med yttrande- och informationsfriheten. Förslaget till bestämmelse i dataskyddslagen är således utformat med 7 § andra stycket personuppgiftslagen som förebild.75
Beträffande begreppet akademiskt skapande konstaterar Dataskyddsutredningen att det är nytt och inte närmare definierats i artiklar eller skäl. Dataskyddsutredningen gör vidare bedömningen att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i dataskyddsförordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen, anser Dataskyddsutredningen, skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Dataskyddsutredningens slutsats är att innebörden av begreppet akademiskt skapande är oklar och att dess närmare betydelse får utvecklas i praxis.76
75SOU 2017:39 avsnitt 7.4. 76 A.a. avsnitt 7.4.
Överväganden
Utredningens bedömning: Personuppgiftsbehandling för akade-
miskt skapande är inte detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål. De två begreppen omfattar olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket.
Artikel 85 i dataskyddsförordningen och Dataskyddsutredningens förslag till kompletterande nationell bestämmelse på generell nivå i dataskyddslagen innebär alltså att behandling av personuppgifter för akademiskt skapande undantas från dataskyddsförordningens bestämmelser förutom vad avser bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner. Eftersom detta är ett omfattande undantag, vars motsvarighet inte finns i dag, och med tanke på att begreppet akademiskt skapande kan te sig likartat med begreppet vetenskapliga forskningsändamål är det vår uppfattning att vi behöver göra en något djupare analys av hur dessa begrepp förhåller sig till varandra, än vad som framgår av Dataskyddsutredningens betänkande.
Vi kan inledningsvis konstatera, precis som Dataskyddsutredningen gjort, att begreppet akademiskt skapande återfinns i enbart en artikel i dataskyddsförordningen, medan begreppet vetenskapliga forskningsändamål återfinns i ett flertal artiklar och skäl. Att akademiskt skapande skulle vara detsamma som vetenskapliga forskningsändamål finner vi därför inte troligt. Gränsdragningen mellan dessa begrepp är dock inte alldeles tydlig.
Av skäl 159 i dataskyddsförordningen framgår att om personuppgifter behandlas för vetenskapliga forskningsändamål bör förordningen gälla också denna behandling. Begreppet vetenskapliga forskningsändamål bör enligt skäl 159 ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Vidare framgår att för att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör specifika villkor gälla, särskilt vad avser offentliggör-
ande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.
Inget i detta skäl indikerar således att de undantag som artikel 85.2 öppnar för beträffande akademiskt skapande ska tillämpas på personuppgiftsbehandling för vetenskapliga forskningsändamål. Detta skulle, enligt utredningens uppfattning, också vara en orimlig tolkning mot bakgrund av de omfattande undantag som artikel 85.2 och förslaget till bestämmelse i dataskyddslagen möjliggör från dataskyddsförordningens bestämmelser. Att all personuppgiftsbehandling för vetenskapliga forskningsändamål skulle undantas från flertalet av dataskyddsförordningens bestämmelser är helt enkelt inte överensstämmande med dataskyddsförordningens syfte.
Frågan är då vad som avses med begreppet akademiskt skapande. En översiktlig jämförelse av översättningarna av begreppet akademiskt skapande i artikel 85 visar att de engelska, franska, italienska, nederländska, portugisiska och spanska versionerna använder ordet expression i betydelsen uttryck eller yttrande (på holländska heter detta uitdrukkingsvormen, de övriga har ordet expression i olika stavningar). De tyska och danska versionerna använder zwecken (syssla) och virksomhed (verksamhet). Endast den svenska versionen använder ordet skapande (som i engelsk översättning närmast skulle bli creation). Detta ger, enligt utredningens uppfattning, vid handen att akademiskt skapande närmast ska tolkas som akademiskt uttryck eller yttrande, dvs. snarare att koppla till akademisk yttrandefrihet. Detta är ju också i enlighet med vad artikel 85 i dataskyddsförordningen, och även artikel 9 i dataskyddsdirektivet och 7 § personuppgiftslagen, handlar om, nämligen relationen mellan regleringen av behandling av personuppgifter och yttrande- och informationsfriheten.
Behandling för akademiskt skapande, som därmed skulle komma att omfattas av undantag enligt artikel 85.2 i dataskyddsförordningen samt dataskyddslagens bestämmelse, skulle således enligt utredningens uppfattning kunna vara behandling av personuppgifter som syftar till skydd av den akademiska yttrandefriheten. De undantag som möjliggörs genom dataskyddsförordningen och förslaget till bestämmelse i dataskyddslagen syftar ju också till att främja yttrande- och informationsfriheten enligt grundlagarna. Exakt vilken slags personuppgiftsbehandling detta skulle kunna vara är dock svårt att göra en generell bedömning av. Det är utredningens
uppfattning att det i vart fall inte är detsamma som behandling av personuppgifter i samband med utförande av den faktiska forskningsverksamheten.
Det är avslutningsvis viktigt att påminna om att, enligt Dataskyddsutredningens förslag, bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, samarbete med tillsynsmyndigheten, rättsmedel, ansvar och sanktioner alltjämt ska tillämpas även för personuppgiftsbehandling för akademiskt skapande. Detta innebär att lämpliga skyddsåtgärder ska finnas också vid sådan personuppgiftsbehandling, att tillsyn ska kunna ske och att sanktioner ska kunna utgå vid felaktig behandling.
Sammanfattningsvis är det således vår bedömning att personuppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket. En närmare definition av vad som utgör akademiskt skapande anser vi, liksom Dataskyddsutredningen, får utvecklas i praxis.
3.4.6. Sammanfattning
Det är utredningens bedömning att dataskyddsförordningen likställer vetenskaplig och historisk forskning, samt att statistisk forskning kan innefattas i vetenskapliga och historiska forskningsändamål. Samma bestämmelser torde således gälla oavsett om det är fråga om personuppgiftsbehandling för historiska forskningsändamål, statistiska forskningsändamål eller forskningsändamål inom andra discipliner.
Begreppet forskningsändamål har inte varit föremål för utredningar på samma sätt som begreppet forskning. Utredningens bedömning är att begreppen forskning och forskningsändamål bör likställas så att den reglering som gäller forskning också kommer att gälla forskningsändamål. Personuppgiftsbehandling för forskningsändamål är enligt utredningens bedömning arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordningsställande och dokumentation av databaser för användning i forskning eller arkivering av
forskningsmaterial. Begreppen kan därmed ges en tolkning som innebär att personuppgiftsbehandling för forskningsändamål inte behöver innefatta hela utan i vissa fall kan avgränsas till en del av forskningsprocessen, vilket möjliggör långsiktig forskning med användning av personuppgifter.
Slutligen är det vår bedömning att personuppgiftsbehandling för akademiskt skapande inte är detsamma som personuppgiftsbehandling för vetenskapliga forskningsändamål, utan att det utgör olika slags verksamhet inom den akademiska världen som således har att tillämpa i viss mån olika delar av det integritetsskyddande regelverket.
4. En forskningsdatalag
4.1. Inledning
I samband med att dataskyddsförordningen (EU 2016/679) börjar tillämpas behöver behovet av kompletterande bestämmelser i nationell rätt avseende förutsättningarna för laglig behandling av personuppgifter ses över. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och att lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.1
Utredningen har därför fått i uppdrag att undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, och att lämna de författningsförslag som behövs. I detta uppdrag ingår att analysera om det finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Det ingår vidare i uppdraget att analysera om det finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16,
1 Dir. 2016:65.
18 och 21 i dataskyddsförordningen vid behandling för forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas.
4.2. En kompletterande lag vid personuppgiftsbehandling för forskningsändamål ska införas
Utredningen kommer i detta betänkande visa att det föreligger ett behov av kompletterande nationell reglering vid personuppgiftsbehandling för forskningsändamål. Den möjlighet som dataskyddsförordningen ger för sådan kompletterande nationell reglering, som enligt utredningens bedömning är nödvändig för en ändamålsenlig personuppgiftsbehandling som beaktar skyddet för den registrerades fri- och rättigheter, ingår inte i Dataskyddsutredningens förslag till en generell kompletterande dataskyddslag.2
4.2.1. Överväganden och förslag
Utredningens förslag: En lag som kompletterar dataskydds-
förordningen vid personuppgiftsbehandling för forskningsändamål ska införas. Syftet med lagen ska vara att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.
Eftersom den aktuella EU-regleringen har förordningsform är möjligheterna att behålla eller införa nationella bestämmelser om dataskydd mycket begränsade. En förordning är i alla delar direkt tillämplig som lag i medlemsstaterna. Dataskyddsförordningen har dock i viss mån en direktivliknande karaktär genom att flera artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens bestämmelser. Det är också möjligt att införliva delar av förordningen i nationell rätt, enligt skäl 8, i de fall förordningen föreskriver förtydliganden eller begränsningar och det är nödvändigt för samstämmigheten samt
för att göra de nationella bestämmelserna begripliga för de personer som ska tillämpa dem.
Enligt skäl 10 i dataskyddsförordningen utesluter inte förordningen att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där personuppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.
Utredningen har funnit att dataskyddsförordningens utrymme för nationell kompletterande reglering är särskilt gynnat vad gäller personuppgiftsbehandling för forskningsändamål, vilket vi kommer att analysera närmare i betänkandets övriga delar. De bestämmelser som dataskyddsförordningen förutsätter och möjliggör och som utredningen föreslår i de olika delarna bör, enligt utredningens bedömning, samlas i en forskningsdatalag.
Den forskningsdatalag vi föreslår ska ha som syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Lagen ska tillämpas vid all behandling av personuppgifter för forskningsändamål, oavsett rättslig grund för behandlingen, och samla de kompletterande nationella bestämmelser som utredningen bedömt nödvändiga för att dataskyddsförordningen, den föreslagna dataskyddslagen och vår föreslagna forskningsdatalag sammantaget ska uppfylla det övergripande syftet att möjliggöra personuppgiftsbehandling för forskningsändamål och samtidigt skydda den enskildes fri- och rättigheter.
Begrepp och uttryck
I artikel 4 i dataskyddsförordningen definieras de centrala begrepp och uttryck som används i förordningen. De begrepp och uttryck som används i den föreslagna forskningsdatalagen har samma betydelse som i dataskyddsförordningen.
Hänvisningsteknik
Den föreslagna forskningsdatalagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hän-
visning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. De hänvisningar till dataskyddsförordningen som finns i vår föreslagna forskningsdatalag är dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Det är utredningens bedömning att detta är mest lämpligt. Detta innebär att ändringar i dataskyddsförordningen får omedelbart genomslag i den nationella rätten, även om ändringar i förordningen också kan komma att innebära behov av ändringar i den föreslagna forskningsdatalagen. Hänvisningarna till dataskyddsförordningen i den föreslagna forskningsdatalagen kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.
4.3. Forskningsdatalagens förhållande till annan dataskyddsreglering
Den föreslagna forskningsdatalagen måste tillämpas i kombination med flera andra rättskällor. En utgångspunkt i detta avseende är att det är dataskyddsförordningen som utgör den centrala regleringen på området.
Det finns och kommer att finnas ytterligare tillämpliga författningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen medför ett förslag till en svensk kompletteringslag (dataskyddslagen). I enstaka fall kan bestämmelser i den av oss föreslagna lagen komma att avvika från bestämmelser i dataskyddslagen.
Utöver den föreslagna forskningsdatalagen kommer det att finnas författningar med karaktären av registerförfattningar, som innehåller bestämmelser som specifikt är inriktade på behandling av personuppgifter för forskningsändamål. I den mån sådana registerförfattningar innehåller avvikande bestämmelser, exempelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förutsättas att dessa bestämmelser är utformade efter de konkreta förutsättningar för den specifika behandlingen som regleras i registerförfattningen i fråga. En sådan registerförfattning bör därför tillämpas framför forskningsdatalagen.
4.3.1. Överväganden och förslag
Utredningens förslag: En upplysande bestämmelse om att denna
lag kompletterar dataskyddsförordningen ska tas in i forskningsdatalagen.
EU-rätten, som dataskyddsförordningen tillhör, har företräde framför nationell rätt. Med tanke på forskningsdatalagens tillämpningsområde, och att den ersätter den tidigare lagstiftning som genomförde det nuvarande dataskyddsdirektivet, är det befogat att ta in en upplysande bestämmelse av vilken det framgår att den föreslagna lagen måste läsas tillsammans med dataskyddsförordningen.
Utredningens förslag: En upplysande bestämmelse om att om
inte annat följer av denna lag så gäller lagen med kompletterande bestämmelser till dataskyddsförordningen (dataskyddslagen) ska tas in i forskningsdatalagen.
Den kompletterande dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar. Av tydlighetsskäl föreslår vi att det av forskningsdatalagen framgår att dataskyddslagen gäller om inte annat följer av forskningsdatalagen.
Utredningens förslag: Av forskningsdatalagen ska framgå att
om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag ska de bestämmelserna gälla.
Registerförfattningar som tar sikte på personuppgiftsbehandling för forskningsändamål förekommer i betydande utsträckning. För att tydliggöra att en registerförfattning eller en bestämmelse i en registerförfattning som specifikt är tillämplig på personuppgiftsbehandling för forskningsändamål ska ha företräde framför bestämmelserna i forskningsdatalagen föreslår vi att en särskild avgränsad subsidiaritetsbestämmelse tas in i forskningsdatalagen. Registerförfattningar som inte omfattar behandlingar för forskningsändamål bör däremot inte generellt gälla framför den föreslagna forskningsdatalagen. Vid be-
dömningen om en registerförfattning avser behandling för forskningsändamål får särskilt beaktas den breda definition av forskningsändamål som framgår av dataskyddsförordningen, exempelvis i skäl 159.
4.4. Sammanfattning
Utredningen har identifierat ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Den föreslagna forskningsdatalagen ska gälla utöver vad som framgår av dataskyddsförordningen, framför den kompletterande dataskyddslagen och vara subsidiär till andra lagar eller förordningar med bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatalagen.
5. Fastställande av rättslig grund
5.1. Inledning
När personuppgifter behandlas för forskningsändamål sker det i dagsläget normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d personuppgiftslagen (1998:204). Denna bestämmelse i personuppgiftslagen motsvaras av artikel 6.1 e i dataskyddsförordningen (EU 2016/679). Enligt artikel 6.3 i dataskyddsförordningen ska grunden för behandling av personuppgifter enligt bl.a. artikel 6.1 e fastställas i unionsrätten eller en medlemsstats nationella rätt. I detta avsnitt behandlas fastställande av den rättsliga grunden uppgift av allmänt intresse vid personuppgiftsbehandling för forskningsändamål.
5.2. Rättsliga förutsättningar
5.2.1. Nuvarande reglering
I dag är det framför allt personuppgiftslagen som reglerar hur forskare får behandla personuppgifter för forskningsändamål. Det finns också särskilda registerförfattningar som är tillämpliga på personuppgiftsbehandling för forskningsändamål.1 I en registerförfattning finns det bestämmelser om att personuppgifter får behandlas för visst eller vissa ändamål. Eftersom personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning har avvikande bestäm-
1 Till exempel lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
melser i dessa författningar, om bland annat tillåten behandling, företräde.
All behandling av personuppgifter måste uppfylla de grundläggande kraven i 9 § personuppgiftslagen. För att behandlingen ska vara tillåten krävs vidare giltigt samtycke från den enskilde, eller i annat fall att behandlingen är nödvändig enligt någon av de situationer som räknas upp i 10 § personuppgiftslagen. Vid behandling av personuppgifter för forskningsändamål kan det framför allt vara fråga om nödvändig behandling för att en arbetsuppgift av allmänt intresse ska kunna utföras (10 § d) eller nödvändig behandling efter en intresseavvägning (10 § f).
5.2.2. Dataskyddsförordningen
Allmänna principer i artikel 5
Grundläggande krav för all behandling av personuppgifter är de allmänna dataskyddsprinciperna som framgår av artikel 5.
Artikel 5 Principer för behandling av personuppgifter
1. Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1,
under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).
Artiklarna 5 och 6 är helt grundläggande och kumulativa, genom att minst en av de rättsliga grunderna enligt artikel 6.1 måste vara tillämplig samtidigt som samtliga principer i artikel 5.1 måste följas vid all personuppgiftsbehandling.
Laglig behandling av personuppgifter enligt artikel 6.1
I dataskyddsförordningen återfinns bestämmelserna om laglig behandling av personuppgifter i artikel 6. Artikel 6.1 motsvaras i den nuvarande lagstiftningen huvudsakligen av 10 § personuppgiftslagen, som utgår från artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG). Artikel 6 är således central för all personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde.
Artikel 6 Laglig behandling av personuppgifter
1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
Uppräkningen av vad som kan utgöra rättslig grund för behandling av personuppgifter i artikel 6.1 är uttömmande. Behandling av personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för forskningsändamål kan i teorin grundas på vilken som helst av punkterna i artikel 6.1, men framför allt torde punkt a och e bli aktuella att tillämpa. Punkt f är, som framgår av andra stycket, inte möjlig att åberopa för myndigheter när de fullgör sina uppgifter.
Det är den personuppgiftsansvariges ansvar att efterleva de allmänna principerna för behandling av personuppgifter samt att undersöka och ta ställning till om en behandling är tillåten enligt gällande rätt.
Utöver att behandlingen är laglig enligt artikel 6.1 krävs att övriga krav enligt förordningen är uppfyllda. För behandling av vad som i förordningen benämns särskilda kategorier av personuppgifter (känsliga personuppgifter) finns exempelvis ytterligare villkor i artikel 9, se kapitel 7.
Nödvändighetsrekvisitet
En behandling utan samtycke måste vara nödvändig för ett visst ändamål för att vara tillåten enligt artikel 6.1 b–f i dataskyddsförordningen. Rekvisitet gäller även enligt den nuvarande 10 § personuppgiftslagen. Nödvändighetsrekvisitet är således centralt i dataskyddslagstiftningen. Den enda vägledningen till hur nödvändig behandling ska tolkas enligt dataskyddsförordningen återfinns i skäl 39, som anger att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.
Det torde inte finnas anledning att anta att nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen ska ha någon annan innebörd än den har i dataskyddsdirektivet och personuppgiftslagen. Av skäl 9 i dataskyddsförordningen framgår också att samma mål och principer som gällde för dataskyddsdirektivet alltjämt ska vara giltiga. För förståelsen av begreppet nödvändighet kan det därför vara av intresse att se något närmare på såväl EU-domstolens uttalanden som förarbeten till nuvarande lagstiftning.
EU-domstolen har uttalat följande vad gäller tolkningen av begreppet nödvändighet i medlemsstaterna:
Med beaktande av målet att göra skyddsnivån likvärdig i alla medlemsstater kan begreppet nödvändighet, såsom det följer av artikel 7 e i direktiv 95/46, vars syfte just är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts, således inte förstås olika från medlemsstat till medlemsstat. Det rör sig därmed om ett självständigt gemenskapsrättsligt begrepp som ska tolkas så, att det till fullo uppfyller syftet med detta direktiv, såsom det definieras i artikel 1.1.2
I den aktuella domen ansågs vidare behandling av personuppgifter utan samtycke vara nödvändig eftersom den effektiviserade tillämpningen av viss lagstiftning kopplad till den aktuella registerföringen.
Av förarbetena till personuppgiftslagen framgår att Datalagskommittén ansåg att nödvändighetskravet inte rimligen kan innebära att det ska vara helt omöjligt att utföra till exempel en uppgift av allmänt intresse utan personuppgifter för att behandling av personuppgifter ska få ske:
Vad nödvändighetskravet närmare innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt. Som vi ser det kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.3
2 Dom den 16 december 2008 i mål C-524/06, REG 2008. 3SOU 1997:39 s. 361 f.
Nödvändighetskravet har också analyserats i senare lagstiftningsarbete, avseende en registerförfattning med företräde framför personuppgiftslagen:
Kan en arbetsuppgift lösas även om personuppgiften utelämnas eller avidentifieras är behandlingen inte nödvändig. Vidare skall det vara nödvändigt att behandla personuppgifterna på ett sätt som omfattas av lagens tillämpningsområde, dvs. genom helt eller delvis automatiserad behandling eller i manuellt behandlade register. Det krävs dock inte att det skall vara faktiskt omöjligt att utföra en uppgift enligt något ändamål utan att behandla personuppgifterna automatiserat eller i register. Det räcker att det innebär en påtaglig förenkling att personuppgifter behandlas automatiserat eller i register i stället för manuellt utanför register. Avsikten är att utlänningsdatalagens nödvändighetsrekvisit skall förstås på samma sätt som motsvarande rekvisit i 10 § personuppgiftslagen.4
I vissa registerförfattningar har begreppet nödvändig behandling bytts ut mot behandling som behövs för vissa angivna ändamål. I förarbetena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering återfinns t.ex. följande resonemang:
I personuppgiftslagen används begreppet nödvändig i ändamålsbestämmelsen eftersom detta uttryckssätt används i dataskyddsdirektivet. I de flesta registerlagar av den karaktär som nu föreslås för IFAU har dock ändamålsbestämmelserna formulerats på så sätt att myndigheten får behandla vissa uppgifter om det behövs för vissa angivna ändamål. I dessa sammanhang anses de båda uttryckssätten vara synonyma. För innebörden av en ändamålsbestämmelse spelar det således ingen roll vilket begrepp som används.5
Sammanfattningsvis innebär nödvändighetsrekvisitet i artikel 6.1 i dataskyddsförordningen för forskningens del att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang torde den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet. Om kravet på nödvändighet kan anses uppfyllt är det viktigt att
4SOU 2003:40 s. 169. 5Prop. 2011/12:176 s. 30.
komma ihåg att först och främst måste de grundläggande allmänna principerna som framgår av artikel 5.1 vara uppfyllda för all behandling av personuppgifter.
Eftersom dataskyddsförordningen är direkt tillämplig som lag i medlemsstaterna, och till skillnad från ett direktiv därför inte ska införlivas i nationell rätt, torde det inte vara möjligt att använda ett annat begrepp än just nödvändig i kompletterande nationell lagstiftning.
Uppgift av allmänt intresse
Begreppet allmänt intresse definieras inte närmare vare sig i dataskyddsförordningen eller i det nuvarande dataskyddsdirektivet som ligger till grund för personuppgiftslagen. Någon praxis från EUdomstolen står inte heller att finna för tolkning av innebörden av begreppet i fråga. Forskningsuppgiften har hittills ansetts vara en uppgift av allmänt intresse, i den mening som avses i personuppgiftslagen. Det torde inte finnas någon anledning att anta att begreppet allmänt intresse ska tolkas annorlunda enligt dataskyddsförordningen. För förståelsen av bedömningen av forskning som en arbetsuppgift av allmänt intresse kan det vara av värde att undersöka något närmare i vilka sammanhang denna tolkning har förts fram.
I det nuvarande dataskyddsdirektivets skäl 34 framhålls vetenskaplig forskning som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter.
I förarbetena till personuppgiftslagen exemplifieras arbetsuppgifter som kan vara av allmänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbetsuppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den.6
Flera centrala myndigheter inom forskningssektorn har gemensamt konstaterat att personuppgifter får behandlas för forskningsändamål efter samtycke eller om behandlingen är nödvändig för att forskningsuppgiften ska kunna utföras. I en informationsskrift framhålls t.ex. att:
En nödvändig behandling kan vara att personuppgifter hanteras för att en arbetsuppgift av allmänt intresse ska kunna utföras. Eftersom forskning normalt sett är en arbetsuppgift av allmänt intresse, är det tillåtet att behandla personuppgifter för forskningsändamål om behandlingen är nödvändig för att kunna utföra forskningen.7
Dataskyddsutredningen resonerar kring en något utvidgad definition av begreppet allmänt intresse i dataskyddsförordningen, jämfört med dagens lagstiftning. Bakgrunden till detta är dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet. Dataskyddsutredningens bedömning är därför att detta sammantaget talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.8 En bredare betydelse av begreppet allmänt intresse får för forskningens del antas innebära att det är än mer som talar för att uppgiften att forska också fortsättningsvis ska ingå i vad som anses vara av allmänt intresse.
Sammanfattningsvis bör således arbetsuppgiften forskning även fortsatt som huvudregel anses utgöra en uppgift av allmänt intresse i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d personuppgiftslagen (artikel 7 e i dataskyddsdirektivet), på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Forskning som är av allmänt intresse kan bedrivas av såväl offentliga som privata forskningsaktörer. Det är dock inte självklart att all
7 Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövningsnämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013, s. 4. 8SOU 2017:39 avsnitt 8.3.4.
forskning som bedrivs är av allmänt intresse. Utredningen har dock inte sett det som sin uppgift att försöka dra några exakta gränser för vilken slags forskning som är att anse som av allmänt intresse, utan detta får bedömas av rättstillämparen i varje enskilt fall.
Möjligheten att behålla eller införa mer specifika tillämpningsbestämmelser enligt artikel 6.2
Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och 6.1 e. Sådana nationella bestämmelser får fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I dagsläget förekommer sådana mer specifika bestämmelser framför allt i registerförfattningar.
Artikel 6 Laglig behandling av personuppgifter
2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.
Artikel 6.2 möjliggör för medlemsstaterna att uppfylla kravet på fastställande av den rättsliga grunden för artikel 6.1 c och e som gäller enligt artikel 6.3. Artikel 6.2 är således grundläggande för möjligheterna att komplettera förordningen med nationella bestämmelser avseende laglighet för behandling av personuppgifter för forskningsändamål.
Krav på fastställande av grunden i vissa fall enligt artikel 6.3
Artikel 6.1 i dataskyddsförordningen är direkt tillämplig i nationell rätt, men ytterligare villkor för att kunna tillämpa delar av bestämmelsen uppställs i artikel 6.3. Enligt artikel 6.3 ska den grund för behandlingen som avses i 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten.
Artikel 6 Laglig behandling av personuppgifter
3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Bestämmelsen i artikel 6.3 får antas innebära att det inte kommer att vara möjligt att enbart åberopa den generella regleringen i artikel 6.1 c och e vid sådan behandling av personuppgifter. Den rättsliga grunden måste dessutom vara fastställd i unionsrätten eller den nationella rätten på det sätt som anges i artikel 6.3. Syftet med behandlingen ska fastställas med utgångspunkt i den rättsliga grunden eller, i fråga om behandling enligt 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller vara ett led i den personuppgiftsansvariges myndighetsutövning. Detta begränsar tillämpningsområdet för den rättsliga grunden avseende uppgift av allmänt intresse, som är av särskild vikt i forskningssammanhang, eftersom det inte räcker med att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse, själva forskningsuppgiften (av allmänt intresse) måste också vara fastställd i enlighet med gällande rätt.
Enligt skäl 45 i dataskyddsförordningen medför inte bestämmelsen i artikel 6.3 något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för nödvändig behandling för att utföra en viss slags uppgift av allmänt intresse.
Det är dock viktigt att den fastställda rättsliga grunden är tydlig och precis och att tillämpningen av den bör vara förutsägbar för personer som omfattas av den, i enlighet med skäl 41 i förordningen.
Dataskyddsförordningens krav och villkor enligt artikel 6.3 för tillämpningen av artikel 6.1 e har varit föremål för analys av Dataskyddsutredningen.9 Dataskyddsutredningens tolkning av kravet på fastställande av den rättsliga grunden är att det inte krävs någon ytterligare kompletterande reglering på nationell generell nivå. Detta eftersom det redan framgår av direkt tillämpliga bestämmelser i förordningen att uppgiften måste utgöra ett allmänt intresse, att uppgiften måste vara fastställd i enlighet med unionsrätt eller nationell rätt och att behandlingen måste ske för ett ändamål som är nödvändigt för uppgiften. Med uppgiften av allmänt intresse menas i vårt fall arbetsuppgiften att forska. Denna slutsats gäller oavsett om aktören är offentlig eller privat.
Mot bakgrund av denna tolkning föreslås upplysande, och i viss mån förtydligande, bestämmelser föras in i den nya dataskyddslag som Dataskyddsutredningen föreslår och som kommer att komplettera dataskyddsförordningen på generell nivå. För artikel 6.1 e innebär detta således att dataskyddslagen förtydligar att:
Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.
Detta innebär i praktiken att för att åberopa rättslig grund enligt artikel 6.1 e för behandling av personuppgifter för forskningsändamål (allmänt intresse) kommer det att krävas att forskningsuppgiften följer av lag eller annan författning eller av beslut som meddelats med stöd av lag eller annan författning. Grunden måste således vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt, för att uppfylla förordningens krav.
Syftet med behandlingen ska enligt artikel 6.3 vara nödvändigt för att utföra en uppgift av allmänt intresse. Detta innebär att:
1. Den specifika behandlingen ska vara nödvändig för ett visst ändamål.
9SOU 2017:39 avsnitt 8.3.4.
2. Ändamålet ska i sin tur vara nödvändigt för att uppgiften av allmänt intresse ska kunna utföras.
I forskningssammanhang kan detta konkretiseras till att personuppgiftsbehandlingen ska vara nödvändig för att uppfylla forskningsändamålet, som i sig utgör den uppgift av allmänt intresse som forskningsaktören har i uppdrag att utföra. Det är således en bedömning av nödvändighet i två steg som dels tar sikte på själva behandlingen, dels på uppfyllandet av den reglerade forskningsuppgiften.
Ett tydligt angivet ändamål är som huvudregel en förutsättning för att det ska gå att bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. Dataskyddsförordningen ställer inte krav på att ändamålen, enligt artikel 5.1 b, ska fastställas i författning men det finns inga hinder mot att detta görs. Sådana bestämmelser ska, enligt artikel 6.3 andra stycket, uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas.
Ändamålet behöver således inte framgå i samband med att uppgiften av allmänt intresse fastställs, men ändamålet med varje enskild behandling måste vara nödvändigt för att utföra den fastställda uppgiften. I vårt fall är ändamålet med personuppgiftsbehandlingen forskningsändamålet, som måste vara nödvändigt i varje specifikt fall, samtidigt som uppgiften av allmänt intresse som måste fastställas är själva arbetsuppgiften att forska. Oavsett om ändamålen fastställts i författning eller inte är det enligt artikel 5.2 i dataskyddsförordningen alltid den personuppgiftsansvariges ansvar att följa och kunna visa att principerna i artikel 5.1 efterlevs.
Beträffande vilka aktörer som ska kunna anses utföra en uppgift av allmänt intresse kan viss vägledning återfinnas i skäl 45 där följande framgår:
Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.
Denna skrivning öppnar för en nationell reglering av vilka rättssubjekt, såväl offentliga som privata, som kan utföra en uppgift av allmänt intresse. Utgångspunkten är att forskning bedrivs av såväl offentliga som privata forskningsaktörer, vilket innebär att nationell reglering i enlighet med skrivningen i skäl 45 kan bli aktuell.
Särskilda villkor för behandling av personuppgifter för forskningsändamål
För behandling av personuppgifter för forskningsändamål gäller dessutom särskilda villkor enligt artikel 89.1 som anger att behandlingen ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen. Detta gäller för alla slags personuppgifter och är således ett absolut krav vid behandling av personuppgifter för forskningsändamål. Dataskyddsförordningen ställer inte krav på att nationell rätt särskilt ska reglera skyddsåtgärderna när det inte är fråga om känsliga personuppgifter, men något hinder däremot uppställs inte.10
5.3. Rättslig grund utifrån forskningsaktör
5.3.1. Inledning
Utredningen använder sig av begreppet forskningsaktör. Begreppet återfinns inte i dataskyddsförordningen. I dataskyddsförordningen hänvisas genomgående till personuppgiftsansvarig och personuppgiftsbiträde. Personuppgiftsansvarig definieras i artikel 4.7 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde definieras i artikel 4.8 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Med forskningsaktör menar utredningen sådan aktör som behandlar personuppgifter för forskningsändamål. Vem som är personuppgiftsansvarig eller personuppgiftsbiträde får bedömas i varje enskilt fall.
10 Se vidare kapitel 12 Skyddsåtgärder.
Utredningen har vidare funnit det motiverat att i själva framställningen redogöra för offentligrättsliga och privaträttsliga aktörers förutsättningar var för sig. Denna bedömning baseras på att bestämmelserna i dataskyddsförordningen innebär att förutsättningarna för att tillämpa olika bestämmelser som rättslig grund för behandling av personuppgifter skiljer sig åt beroende på om aktören är offentlig eller privat. Såväl offentligrättsliga som privaträttsliga aktörer bedriver forskning och är personuppgiftsansvariga eller personuppgiftsbiträden enligt dataskyddsförordningen. Forskning finansieras dels av offentliga medel, dels av medel från privata finansiärer. Forskning utförd av en offentlig aktör kan finansieras av privata medel, och tvärt om. Finansieringsformen påverkar inte vem som utgör forskningsaktör.
Förutsättningarna när det gäller vilka rättsliga grunder en forskningsaktör kan åberopa för att behandla personuppgifter, i enlighet med dataskyddsförordningens artikel 6.1, är som redan framkommit i viss mån olika beroende på om forskningsaktören är offentlig eller privat. I det följande analyseras dessa skillnader.
5.3.2. Offentligrättsliga forskningsaktörer
En stor del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forskningsuppgift inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i regeringsformen, kommunallagen (1991:900) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.
Beträffande samtycke som rättslig grund, enligt artikel 6.1 a, innebär skrivningarna i skäl 43 i dataskyddsförordningen vissa begränsningar för myndigheter, vilket kräver en närmare analys. Se avsnitt 6.4.2.
För offentliga forskningsaktörer utgör den rättsliga grunden enligt artikel 6.1 e en central laglig utgångspunkt vid personuppgiftsbehandling för forskningsändamål. Forskning anses utgöra en uppgift av allmänt intresse och motsvarande reglering i 10 § d personuppgiftslagen utgör ofta rättslig grund för behandling av personuppgifter för forskningsändamål i dagsläget.
I enlighet med redogörelsen ovan ställer dock artikel 6.3 krav på att grunden för behandlingen enligt artikel 6.1 e, uppgiften av allmänt intresse, ska fastställas i enlighet med unionsrätten eller den nationella rätten. Det innebär att forskningsuppgiften – verksamheten – behöver fastställas i lag eller annan författning, dvs. förordning eller myndighetsföreskrift, alternativt beslut som meddelats med stöd av sådan författning. Detta krav skiljer sig från nuvarande reglering såtillvida att det i dagsläget är tillräckligt att forskning enligt en generell bedömning är av allmänt intresse för att nödvändig behandling av personuppgifter ska kunna ske utan samtycke, det finns alltså inget krav på en fastställd forskningsuppgift enligt gällande rätt.
Dataskyddsförordningen uppställer således krav på att forskningsuppgiften ska vara fastställd så att det går att åberopa den rättsliga grunden att behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Något krav på att forskningsuppgiften ska vara fastställd för respektive forskningsaktör i separata författningar finns dock inte. Avgörande är att forskningsuppgiften är fastställd i laga ordning för forskningsaktören för att laglig grund enligt artikel 6.1 e ska kunna åberopas.
Myndigheters verksamhetsuppgifter är beslutade i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. Myndigheternas verksamhet, som syftar till att utföra dessa uppgifter, torde därmed i sig ha en rättslig grund som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda uppgiften bör därmed som utgångspunkt kunna ske med stöd av artikel 6.1 e i dataskyddsförordningen. Dataskyddsutredningens tolkning av dataskyddsförordningens bestämmelser är därvid att någon ytterligare reglering av myndigheternas verksamhet inte krävs på generell nationell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
Enligt artikel 6.1 andra stycket gäller inte artikel 6.1 f, behandling av personuppgifter efter en intresseavvägning, för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot nuvarande lagstiftning, genom att motsvarande bestämmelse i 10 § f personuppgiftslagen får tillämpas även av myndigheter. Bakgrunden till denna begränsning beskrivs närmare i skäl 47 i förordningen, där det bland annat framhålls att:
Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.
Skrivningen syftar på artikel 6.1 f och innebär att myndigheter inte längre ska kunna göra en egen bedömning av lagligheten i behandlingen genom en intresseavvägning. För att en myndighet ska få behandla personuppgifter vid fullgörandet av sina uppgifter måste myndigheten finna en annan rättslig grund än intresseavvägning. Något utrymme för myndigheters egen bedömning av lagligheten efter en intresseavvägning i samband med varje enskild behandling finns således inte enligt dataskyddsförordningen.
I det följande belyses närmare de olika förutsättningarna för några olika kategorier av offentligrättsliga forskningsaktörer.
Universitet och högskolor med statlig huvudman
I 2 kap. 18 § andra stycket regeringsformen fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet, genom att ange allmänna principer för den delen av högskolornas verksamhet. Behandling av personuppgifter för forskningsändamål vid universitet och högskolor med staten som huvudman utförs således inom ramen för en forskningsuppgift som är fastställd i svensk lag.
Andra myndigheter
Många statliga myndigheter, utöver universitet och högskolor, behandlar personuppgifter för forskningsändamål. För flera av dessa myndigheter är forskningsuppgiften tydligt fastställd genom förordning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Om forskningsuppgiften inte framgår av en författning eller ett beslut grundat i en författning, som myndigheten omfattas av, kan myndigheten inte åberopa artikel 6.1 e i dataskyddsförordningen som grund för behandling av personuppgifter. Myndigheten måste då åberopa någon annan rättslig grund enligt artikel 6.1 för sin behandling.
Statliga forskningsinstitut
Statliga forskningsinstitut drivs ofta i myndighetsform vilket medför att samma resonemang gäller för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle.
Kommuner och landsting
Regeringsformens kapitel 14 anger ramarna för det kommunala självstyret. I 2 § anges att:
Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.
Kommunallagen (1991:900) reglerar såväl kommuner som landsting på en övergripande nivå. Självstyret framgår av 2 kap. 1 § kommunallagen som stadgar att:
Kommuner och landsting får själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar och som inte skall handhas enbart av staten, en annan kommun, ett annat landsting eller någon annan.
Av ovanstående författningsreglering framgår att kommuner och landsting har laglig grund att utföra uppgifter av allmänt intresse, vilket torde innefatta forskningsuppgiften. Det är dock utredningens uppfattning att den relativt generella och oprecisa bestämmelsen inte kan anses uppfylla dataskyddsförordningens krav på tydlighet, precision och förutsägbarhet vid fastställandet av den rättsliga grunden uppgift av allmänt intresse. Det är också svårt att i detta fall bedöma proportionaliteten, vilket är ytterligare ett krav enligt artikel 6.3 i dataskyddsförordningen.
Sammanfattning
Offentliga forskningsaktörers forskningsuppgift har ofta angivits i tydliga, precisa och förutsebara bestämmelser i författningar. Grunden för behandling av personuppgifter i verksamheten har därigenom fastställts i nationell rätt för dessa forskningsaktörer. Nödvändig behandling av personuppgifter i sådan verksamhet som omfattas av den fastställda forskningsuppgiften kan därmed som utgångspunkt ske med stöd av artikel 6.1 e i dataskyddsförordningen. För sådana offentliga forskningsaktörer där forskningsuppgiften inte kan anses fastställd i enlighet med dataskyddsförordningen krävs dock kompletterande nationell reglering för att personuppgiftsbehandling för forskningsändamål med stöd av artikel 6.1 e ska få utföras.
5.3.3. Privaträttsliga forskningsaktörer
Privat bedriven forskning utförs såväl i små, medelstora och stora företag som i verksamheter som i allt övrigt liknar offentlig verksamhet, t.ex. hos en enskild utbildningsanordnare. En enskild utbildningsanordnare kan i princip bedriva samma slags forskning som universitet och högskolor med statlig huvudman.
Nuvarande dataskyddslagstiftning gör i allt väsentligt ingen åtskillnad mellan privata och offentliga forskningsaktörer. De grund-
läggande kraven och laglighetsgrunderna i framför allt 9 och 10 §§personuppgiftslagen är möjliga att åberopa oavsett forskningsaktörens organisationsform.
Kravet i artikel 6.3 i dataskyddsförordningen på att en uppgift av allmänt intresse ska vara fastställd i nationell rätt påverkar särskilt privata forskningsaktörer. Uppgiften av allmänt intresse är generellt sett inte rättsligt fastställd för privata aktörer som ägnar sig åt forskningsverksamhet i dag. Privat forskning som i dagsläget bedrivs med stöd i att forskningen utgör ett allmänt intresse sker i stället efter en bedömning av forskningsaktören. Forskningen i sig bedöms sedan på samma villkor som offentlig forskning när en extern bedömning av forskningen sker i samband med till exempel eventuell tillståndsprövning, finansiering och publicering.
En särskild fråga är hur man ska se på att en offentlig aktör uppdrar åt en privat aktör att utföra en uppgift av allmänt intresse som den offentliga aktören har fastställd i laga ordning. Den privata aktören skulle kunna anses utföra en uppgift av allmänt intresse på samma villkor som den offentliga aktören. Den privata aktören skulle då kunna åberopa artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, som stöd för sin behandling av personuppgifter som är nödvändig för att fullgöra uppdraget. Utfallet i en sådan situation beror dock på vem som är personuppgiftsansvarig i det enskilda fallet, så något generell bedömning låter sig inte göras. Frågan analyseras vidare av Dataskyddsutredningen.11
En avgörande skillnad mellan offentliga och privata forskningsaktörer i dataskyddsförordningen är också skrivningen i artikel 6.1 andra stycket, som förhindrar myndigheter att lägga en intresseavvägning till grund för behandling när de fullgör sina uppgifter. Detta hinder gäller således inte för privaträttsliga aktörer, som alltjämt kan åberopa intresseavvägning som rättslig grund för behandling av personuppgifter för forskningsändamål.
I det följande belyses närmare de olika förutsättningarna för några olika kategorier av privaträttsliga forskningsaktörer.
11SOU 2017:39 avsnitt 8.3.4.
Enskilda utbildningsanordnare
Enskilda utbildningsanordnare utgörs av lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda examina enligt högskoleförordningen, på samma villkor som statliga utbildningsanordnare, och bedriver sin verksamhet på samma sätt som högskolor med staten som huvudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa utgör alla privaträttsliga forskningsaktörer. Dessa forskningsaktörer har möjlighet att lägga såväl samtycke som en intresseavvägning till grund för behandling av personuppgifter, även om en bedömning i varje enskilt fall alltid måste göras. För att få åberopa artikel 6.1 e, uppgift av allmänt intresse, krävs dock att forskningsuppgiften är fastställd i enlighet med dataskyddsförordningens krav.
Företag och stiftelser
Forskning bedrivs i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningshuvudmän som bedriver forskning med betydande användning av personuppgifter. Forskningsaktörer som utgörs av privata företag eller stiftelser kan i huvudsak åberopa samtycke och intresseavvägning som rättslig grund vid personuppgiftsbehandling enligt dataskyddsförordningen. Även forskning som utförs vid privata företag eller stiftelser kan dock vara av allmänt intresse, men då forskningsuppgiften i princip aldrig är fastställd i enlighet med dataskyddsförordningens krav kan privata företag eller stiftelser som huvudregel inte åberopa den rättsliga grunden allmänt intresse enligt artikel 6.1 e.
Sammanfattning
För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd att basera tillämpningen på. Samtidigt är det möjligt för privata forskningsaktörer att lägga såväl samtycke som intresseavvägning till grund för behandling av personuppgifter för forskningsändamål, efter en bedömning i varje enskilt fall.
5.3.4. Överväganden
Utredningens bedömning: Dataskyddsförordningens bestäm-
melser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål.
Av resonemanget hittills framgår att dataskyddsförordningens bestämmelser om rättslig grund för behandling av personuppgifter skiljer sig från dagens regelverk framför allt avseende samtycke, intresseavvägning och kravet i artikel 6.3 på fastställande av den rättsliga grunden avseende artikel 6.1 c och e. Dessa förändringar får konsekvenser på olika sätt för olika aktörer i forskningssammanhang.
Samtycke
Beträffande samtycke som rättslig grund är möjligheterna mer begränsade för offentliga aktörer än för privata genom skäl 43. Ett vidare resonemang kring detta återfinns i avsnitt 6.4.2.
Uppgift av allmänt intresse
Kravet enligt artikel 6.3 i dataskyddsförordningen på att grunden för behandlingen enligt artikel 6.1 e ska vara fastställd i enlighet med nationell lag innebär en påtaglig skillnad mellan olika kategorier av forskningsaktörer vad gäller de legala förutsättningarna för personuppgiftsbehandling. För statliga universitet och högskolor är forskningsuppgiften fastställd i en och samma författning, högskolelagen. För andra myndigheter är det beroende på hur respektive myndighets uppdrag är formulerat, huruvida forskningsuppgiften är att anse som fastställd eller ej.
För privata aktörer är forskningsuppgiften sällan eller aldrig fastställd på det sätt som förordningen föreskriver. Det är dock en
allmänt vedertagen uppfattning att även privat bedriven forskning kan anses utgöra en uppgift av allmänt intresse. För privata aktörer innebär således villkoret i artikel 6.3 för att artikel 6.1 e ska kunna tillämpas ett hinder, när det gäller möjligheten att basera personuppgiftsbehandling på grunden uppgift av allmänt intresse, som inte finns i dagens lagstiftning.
Skillnaderna blir särskilt tydliga i en jämförelse mellan en offentlig och en privat aktör som bedriver verksamhet som är i allt väsentligt lika, till exempel för högskolor som kan bedrivas i både offentlig och privat form. Forskningsuppgiften är i praktiken likvärdig vid de båda verksamheterna och personuppgiftsbehandlingen kan i dagsläget baseras på samma rättsliga grund.
Av skäl 45 i dataskyddsförordningen framgår att medlemsstaterna bör ange vilka aktörer, även privata, som kan utföra en uppgift av allmänt intresse, vilket innebär att det är möjligt för såväl offentliga som privata aktörer att utföra uppgifter av allmänt intresse i dataskyddsförordningens mening.
Intresseavvägning
Privata aktörer har, till skillnad från offentliga myndigheter, möjlighet att basera personuppgiftsbehandling för forskningsändamål på en intresseavvägning enligt artikel 6.1 f.
Bestämmelsen avseende nödvändig behandling efter intresseavvägning innebär att om intresset för en behandling av personuppgifter väger tyngre än intresset av integritetsskyddet är behandlingen tillåten. Eftersom det inte framgår tydligare än så av bestämmelsen vilka situationer som kan bli aktuella finns vägledning kring dagens reglering framför allt att få i rättspraxis. Den praxis som finns sammanfattas i lagkommentaren till personuppgiftslagen och rör bland annat direkt marknadsföring, arbetslivet, internetpublicering, behandling för att komma åt lagöverträdelser, fingeravtryck och andra biometriska uppgifter för identifiering och elektroniska inpasseringssystem.12
12 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentaren till 10 § f.
Behandling av personuppgifter efter en intresseavvägning har med dagens lagstiftning framför allt aktualiserats i samband med marknadsföring och inom arbetslivet. Att denna tillämpning fortfarande får anses vara aktuell framöver framgår av skäl 47 i dataskyddsförordningen, som anger kundrelation och arbetstagarrelation till den personuppgiftsansvarige som ett sådant förhållande som skulle kunna komma ifråga för behandling av personuppgifter efter intresseavvägning. Samma exempel återfinns i skäl 48, medan förordningen i skäl 49 framhåller säkerställande av nät- och informationssäkerhet som ett annat exempel på när en intresseavvägning skulle kunna resultera i laglig behandling av personuppgifter. Även om förordningens exempel inte på något sätt kan anses uttömmande ger dessa en tydlig indikation på vilken typ av relation mellan den personuppgiftsansvarige och den registrerade som avses. Redan föreliggande tolkning bör kunna tillämpas framöver beträffande intresseavvägning som rättslig grund för behandling av personuppgifter.
Det finns således inte anledning att anta att artikel 6.1 f ska tolkas på annat sätt än dataskyddsdirektivets artikel 7 f, som införlivats i svensk rätt genom 10 § f personuppgiftslagen. Enligt lagkommentaren till personuppgiftslagen är bestämmelsen ett slags generalklausul som innebär att behandling som inte nämnts i tidigare punkter i 10 § kan genomföras om den är befogad enligt vad som anges i 10 § f. Detta betyder i praktiken att intresseavvägning ska tillämpas i sista hand, om behandlingen inte är laglig enligt någon av de andra punkterna. Samma resonemang bör enligt utredningens bedömning kunna föras vid tillämpning av artikel 6.1 i dataskyddsförordningen. Först om behandlingen av personuppgifter för forskningsändamål inte är laglig enligt artikel 6.1 a–e kan en bedömning av laglighet utifrån punkten f bli aktuell.
Artikel 6.1 f och 6.1 andra stycket är direkt tillämpliga och förordningen tillåter inte nationell lagstiftning avseende tillämpningsområdet i detta avseende. Det finns därför ingen möjlighet att genom nationell lagstiftning tillåta myndigheter att tillämpa 6.1 f eller att begränsa privata aktörers tillämpning. Det är alltid den personuppgiftsansvariges ansvar att visa på aktuell rättslig grund enligt artikel 6.1 för sin behandling av personuppgifter. Detta innebär att nationell kompletterande lagstiftning inte kan tvinga en privat forskningsaktör att tillämpa 6.1 e genom att helt utesluta möjligheten att tillämpa någon annan rättslig grund enligt artikel 6.1. Om
den personuppgiftsansvarige kan visa att artikel 5.1 efterlevs samt att artikel 6.1 f utgör tillåten rättslig grund för den aktuella behandlingen av personuppgifter för forskningsändamål är behandlingen tillåten.
För all behandling av personuppgifter för forskningsändamål, oavsett vilken grund behandlingen baseras på, krävs det enligt artikel 89.1 i dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder, men något krav på fastställda skyddsåtgärder framgår inte direkt av artikeln. I skäl 156 förtydligas dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bland annat vetenskapliga eller historiska ändamål, vilket öppnar för möjligheten att i nationell rätt reglera lämpliga skyddsåtgärder för all behandling av personuppgifter för forskningsändamål. För att behandling av känsliga personuppgifter för forskningsändamål ska vara laglig ställs det vidare i artikel 9.2 j upp ett direkt krav på att nationell rätt ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen och detta gäller oavsett vilken grund behandlingen baseras på.
I nationell kompletterande lagstiftning både kan och förutsätts det således införas krav på skyddsåtgärder för all behandling av personuppgifter för forskningsändamål och det gäller även behandling baserad på intresseavvägning. I de fall privata aktörer anser det möjligt att lägga en intresseavvägning till grund för sin behandling av personuppgifter för forskningsändamål måste de alltså ändå tillämpa bestämmelser i nationell kompletterande lag avseende skydd för den enskilde.
Sammanfattande analys
Dataskyddsförordningens bestämmelser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av personuppgifter för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjligheterna att åberopa de olika rättsliga grun-
derna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, är enligt utredningens uppfattning rimligen inte avsiktligt.
Utredningen återkommer till hur denna situation bör åtgärdas, i syfte att skapa ändamålsenliga förutsättningar för personuppgiftsbehandling för forskningsändamål oavsett forskningsaktörens organisationsform, i avsnitt 5.5.2 nedan.
5.4. Ytterligare behandling av personuppgifter för forskningsändamål
5.4.1. Inledning
Personuppgifter får bara samlas in för tydligt angivna och berättigade ändamål. Personuppgifter får vidare inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Denna finalitetsprincip, tillsammans med reglerade undantag från denna princip, sätter ramarna för de ändamål för vilka personuppgifter lagligen får behandlas. Finalitetsprincipen kommer till uttryck i såväl det nuvarande dataskyddsdirektivet och personuppgiftslagen som i dataskyddsförordningen. För forskningens del är finalitetsprincipen och reglerade undantag från denna av särskild betydelse.
5.4.2. Nuvarande reglering
Huvudregeln i 9 § d personuppgiftslagen är att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling för vetenskapliga ändamål ska dock inte anses oförenlig med de ändamål för vilka uppgifterna samlades in, enligt 9 § andra stycket personuppgiftslagen. Ytterligare behandling av personuppgifter för forskningsändamål är därmed särskilt gynnad i dagens lagstiftning. Även om det nya ändamålet är förenligt med det ursprungliga, och därför uppfyller det grundläggande kravet enligt 9 § d personuppgiftslagen, måste den nya behandlingen dock alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § personuppgiftslagen.
5.4.3. Dataskyddsförordningen
I dataskyddsförordningen återfinns motsvarande huvudregel i artikel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I samma punkt anges även att ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen (forskningsundantaget). Dataskyddsförordningen använder således begreppet ”ytterligare behandling”, vilket utredningen därför huvudsakligen använder i stället för begreppet ”vidarebehandling” som i dagsläget ofta används i sammanhanget. Skrivningen i artikel 5.1 b innebär att ytterligare behandling av personuppgifter för forskningsändamål är särskilt gynnad även i dataskyddsförordningen.
Av skäl 50 i dataskyddsförordningen framgår bland annat att det inte krävs någon ny rättslig grund för tillåten ytterligare behandling av personuppgifter:
Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. [---]
5.4.4. Sammanfattande analys
Dataskyddsförordningens bestämmelser innebär att ytterligare behandling av personuppgifter för forskningsändamål av samma personuppgiftsansvarig får ske utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsaktör får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterli-
gare forskningsändamål utan krav på ny rättslig grund, vilket skiljer sig mot tillämpningen av personuppgiftslagen där all behandling kräver stöd i 10 §. När personuppgifterna ursprungligen samlats in med stöd av samtycke är dock ytterligare behandling utan ny rättslig grund inte lika självklar. För ett utförligare resonemang kring denna situation se avsnitt 6.4.
I samband med utlämnande av personuppgifter till annan personuppgiftsansvarig för behandling för forskningsändamål är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Den nya personuppgiftsansvarige måste dock åberopa en ny rättslig grund för sin behandling för forskningsändamål sedan personuppgifterna utlämnats. Detta innebär att forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. En sådan rättslig grund kan vara forskning av allmänt intresse enligt artikel 6.1 e.
Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Ytterligare behandling av personuppgifter för forskningsändamål är tillåten endast om det är nödvändigt för att uppnå ändamålet, dvs. forskningen, och dessutom måste behandlingen vara korrekt, i betydelsen skälig eller rimlig, i förhållande till den registrerade. Behovet av ytterligare behandling måste alltså alltid vägas mot den registrerades legitima intresse av personlig integritet. Vid fråga om behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. måste de särskilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda.
Vid all behandling av personuppgifter för forskningsändamål aktualiseras även artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta framgår också direkt av undantaget för ytterligare behandling för forskningsändamål i artikel 5.1 b.
5.5. Överväganden och förslag
5.5.1. Inledning
Utredningen har i uppdrag att föreslå den kompletterande reglering av personuppgiftsbehandling för forskningsändamål som kan behövas utöver den generella kompletterande reglering som Dataskyddsutredningen föreslår. Syftet med den kompletterande regleringen ska vara att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. En rimlig utgångspunkt är att befintliga förutsättningar för en ändamålsenlig behandling i vart fall inte ska försämras, samtidigt som skyddet för den enskilde ska upprätthållas.
Förordningens bestämmelser är direkt tillämpliga i medlemsstaterna från och med den 25 maj 2018. Beträffande den rättsliga grunden enligt artikel 6.1 ställer dock förordningen krav på ytterligare nationell reglering avseende artikel 6.1 c och e. Eftersom artikel 6.1 e är central i forskningssammanhang har utredningen i uppdrag att särskilt beakta och, om det behövs, komplettera Dataskyddsutredningens förslag.
Avseende tillämpningen av den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, gör Dataskyddsutredningen följande bedömning som vi har att beakta:
- Artikel 6.1 e i dataskyddsförordningen är direkt tillämplig.
- Kravet i artikel 6.3, dvs. att grunden för behandlingen ska vara fastställd i unionsrätten eller den nationella rätten, utgör ytterligare ett villkor för tillämpning som ska vara uppfyllt.
- Med grunden för behandlingen avses i detta sammanhang uppgiften som är av allmänt intresse.
Mot bakgrund av bedömningen ovan är Dataskyddsutredningens slutsats att det inte krävs någon generell nationell reglering som fastställer den rättsliga grunden enligt artikel 6.1 e. I den nya kompletterande dataskyddslagen föreslår Dataskyddsutredningen enbart ett tydliggörande av att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller
annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.13
Dataskyddsförordningens bestämmelser innebär således att alla myndigheter måste ha en tydlig uppgift avseende forskning fastställd i enlighet med gällande rätt för att kunna behandla personuppgifter för forskningsändamål med åberopande av artikel 6.1 e. Detta skulle låta sig göras genom att förordningarna med instruktioner för de myndigheter som i praktiken är forskningsaktörer ses över och forskningsuppgiften vid behov förs in. Dataskyddsförordningen medger dock en mer övergripande nationell reglering där uppgiften fastställs, så länge den omfattar alla berörda aktörer, enligt skäl 45.
Även privata aktörer kan som konstaterats utföra forskning av allmänt intresse. Om inte forskningsuppgiften fastställs i författning även för dem innebär dock förordningens bestämmelser att de måste åberopa någon annan rättslig grund enligt artikel 6.1 för behandling av uppgifter för forskningsändamål. Förordningen medger nationell reglering av vilka slags personuppgiftsansvariga som ska kunna utföra en uppgift av allmänt intresse. Av skäl 45 framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska vara en myndighet, eller annan som omfattas av offentligrättslig lagstiftning, eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning.
Artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör nationella bestämmelser som anpassar tillämpningen av den rättsliga grunden i artikel 6.1 e, dvs. nödvändig behandling för att utföra en uppgift av allmänt intresse, och specificerar villkoren för när behandling av personuppgifter får ske och hur det ska gå till. Den rättsliga grunden kan vid fastställandet t.ex. innehålla allmänna villkor för den specifika behandlingen. Detta kan enligt artikel 6.3 avse vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX i
13SOU 2017:39 avsnitt 8.3.4.
dataskyddsförordningen. I kapitel IX finns bland annat artikel 89 som anger särskilda villkor för behandling av personuppgifter för forskningsändamål.
Det är således möjligt enligt dataskyddsförordningen att införa särskilda bestämmelser i nationell rätt som specificerar när och hur personuppgiftsbehandling för forskningsändamål får ske.
5.5.2. Fastställande av den rättsliga grunden allmänt intresse
Utredningens förslag: Personuppgifter ska med stöd av artikel
6.1 e i dataskyddsförordningen få behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.
Det är av avgörande betydelse för forskning att kunna behandla personuppgifter. Inte sällan innebär detta för såväl offentliga som privata forskningsaktörer att forskning måste ges möjligheter att behandla personuppgifter även utan samtycke.
Som utredningen konstaterat kan den rättsliga grunden uppgift av allmänt intresse, i vårt fall forskningsuppgiften, fastställas i instruktion eller särskilt beslut för varje enskild myndighet. Mot bakgrund av att det inte enbart är universitet och högskolor, utan även ett flertal andra myndigheter, som bedriver forskning skulle arbetet med att fastställa den rättsliga grunden för var och en av dessa myndigheter separat kräva en omfattande arbetsinsats. Vidare skulle ett kontinuerligt arbete med att hålla detta system uppdaterat behöva utföras, så att inte forskning av allmänt intresse omöjliggörs p.g.a. att den rättsliga grunden inte är fastställd för en viss myndighet.
I dagsläget är det forskningsaktören själv som bedömer huruvida aktuell personuppgiftsbehandling är nödvändig för att utföra en forskningsuppgift av allmänt intresse så att behandlingen är tillåten enligt 10 § d personuppgiftslagen. Eftersom dataskyddsförordningen möjliggör en övergripande reglering som fastställer den rättsliga grunden, är det utredningens samlade bedömning att ett sådant förfarande är att föredra. Detta innebär att forskningsaktören även fortsatt har att bedöma att den forskning som utförs är av
allmänt intresse, och att personuppgiftsbehandlingen är nödvändig för att utföra forskningen, och därmed kan stödja sig på att den rättsliga grunden för detta är fastställd i den övergripande lagen som forskningsaktören omfattas av.
Utredningen har vidare konstaterat att för privata forskningsaktörer krävs att åtgärder vidtas för att fastställa forskningsuppgiften som en uppgift av allmänt intresse om privata aktörer ska kunna åberopa den rättsliga grunden. Att dataskyddsförordningen skulle medföra sådana betydande skillnader som utredningen redogjort för avseende möjligheterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behandling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, har enligt utredningens bedömning rimligen inte varit avsikten.
Eftersom också privata aktörer bedriver forskning som är av allmänt intresse är det rimligt att all sådan forskning ska kunna tillämpa samma rättsliga grund för laglig behandling. Ett bärande argument för att möjliggöra även för privata forskningsaktörer att behandla personuppgifter för forskningsändamål genom att tillämpa artikel 6.1 e som rättslig grund är vidare att forskning ofta bedrivs i samverkan mellan offentliga och privata forskningsaktörer. Att gemensamt bedriven forskning inte skulle kunna utföras på samma rättsliga grund, enbart beroende på respektive forskningsaktörs rättsliga status, får inverkan på forskningens bedrivande och resultat.
Forskningsdatalagen ska ge en rättslig grund för behandlingen av personuppgifter för forskningsändamål för samtliga forskningsaktörer, oavsett om de är offentliga eller privata, genom att fastställa att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare
Det är själva arbetsuppgiften av allmänt intresse som ska fastställas i en forskningsdatalag, inte varje behandling av personuppgifter som utförs i syfte att utföra uppgiften. Detta innebär att det är uppgiften att utföra forskning som ska fastställas i forskningsdatalagen för att denna lag ska kunna utgöra rättslig grund för behandling av personuppgifter för forskningsändamål för de aktörer som omfattas av lagen. I forskningsdatalagen ska vidare villkor för
behandling av personuppgifter för ändamålet forskning oavsett rättslig grund, specificeras inom ramen för de möjligheter som finns att i nationell lag specificera de direkt tillämpliga bestämmelserna i förordningen.
I samband med fastställande av rättslig grund enligt dataskyddsförordningen framgår av skäl 41 att en sådan rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Av skäl 33 framgår vidare att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessutom att behandling av personuppgifter för vetenskapliga forskningsändamål bör ges en vid tolkning. Mot denna bakgrund är det utredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse. Detta låter sig mer specifikt göras i en forskningsdatalag som är tillämplig för alla slags forskningsaktörer som bedriver sådan forskning.
5.5.3. Inledande upplysningsbestämmelse
Utredningens förslag: Forskningsdatalagen ska innehålla en be-
stämmelse som upplyser om att det av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
För förståelsen av den ovan föreslagna bestämmelsen, om fastställande av den rättsliga grunden i artikel 6.1 e med stöd av artikel 6.2 och 6.3, behövs det enligt utredningens bedömning en inledande upplysningsbestämmelse som påminner tillämparen om att personuppgifter får behandlas bara om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt. Detta tydliggör också att forskningsdatalagen omfattar all personuppgiftsbehandling för forskningsändamål, oavsett rättslig grund för behandlingen.
5.6. Sammanfattning
Dataskyddsförordningens bestämmelser innebär att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid personuppgiftsbehandling för forskningsändamål. Privata forskningsaktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid personuppgiftsbehandling för forskningsändamål. För att privata forskningsaktörer ska kunna åberopa artikel 6.1 e krävs införande av författningsstöd.
Det är angeläget med ett sammanhållet grundläggande regelverk för personuppgiftsbehandling för forskningsändamål, inte minst för att uppnå ett rättssäkert och adekvat skydd för den enskildes integritet. Olika forskningsaktörers möjligheter till samverkan och att bedriva forskning som kan komma att få nytta för allmänheten bör likställas i så stor utsträckning som möjligt. Skyddet för den personliga integriteten ska alltid hålla lika hög nivå oberoende av kategori av forskningsaktör. Detta bör åstadkommas genom skyddsåtgärder. Utredningen föreslår därför att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att åberopa uppgift av allmänt intresse som rättslig grund för behandling av personuppgifter för forskningsändamål.
6. Behandling av personuppgifter med samtycke
6.1. Inledning
I föregående kapitel 5 behandlas de allmänna förutsättningarna för behandling av personuppgifter för forskningsändamål, behovet av nationell lagstiftning med anledning av artikel 6.2 och 6.3 i dataskyddsförordningen (EU 2016/679), samt hur de aktuella forskningsaktörerna i möjligaste mån kan likställas genom införandet av en nationell forskningsdatalag. Den föreslagna regleringen inriktas på att laglig behandling för forskningsändamål baseras på den rättsliga grunden allmänt intresse enligt artikel 6.1 e, men även intresseavvägning enligt artikel 6.1 f kan komma ifråga. Personuppgiftsbehandling för forskningsändamål kan också grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ändamål enligt artikel 6.1 a i dataskyddsförordningen.
Samtycke ska enligt definitionen i artikel 4.11 i dataskyddsförordningen vara frivilligt, specifikt, otvetydigt och vad gäller känsliga personuppgifter uttryckligt. Det ska vidare vara baserat på att den som lämnar samtycket har fått tillräcklig information, samt utgöra ett uttalande eller en entydig bekräftande handling. Dessa begrepp behandlas i följande avsnitt med avsikten att, utifrån en jämförelse med kraven på samtycke i det nuvarande dataskyddsdirektivet och personuppgiftslagen, bedöma de konsekvenser dataskyddsförordningen kan medföra med avseende på förändringar av samtyckets ställning och innebörd vid personuppgiftsbehandling för forskningsändamål.
6.2. Rättsliga förutsättningar
6.2.1. Nuvarande reglering
Artikel 7 i det nuvarande dataskyddsdirektivet (95/46/EG) anger samtycke som en av ett antal uppräknade förutsättningar för att en personuppgiftsbehandling ska vara tillåten. Dataskyddsdirektivet införlivades i svensk rätt genom personuppgiftslagen. I 10 § personuppgiftslagen anges att personuppgifter får behandlas om den registrerade har lämnat sitt samtycke. Vid samtycke enligt detta lagrum krävs det inte att behandlingen är nödvändig i lagens mening.
I 10 § personuppgiftslagen följer därefter en uppräkning av sex ändamål för vilka behandlingen måste vara nödvändig för att ändamålet ska kunna uppfyllas och behandlingen därmed vara tillåten. Även om behandling med stöd av samtycke kan ske utan att den är nödvändig måste den i övrigt vara förenlig med de grundläggande krav på personuppgiftsbehandling som föreskrivs i 9 §. Detta gäller för all behandling som är tillåten enligt 10 §.
Om det är fråga om känsliga personuppgifter gäller enligt 13 § personuppgiftslagen som huvudregel att behandling är förbjuden. Undantag från förbudet mot behandling av känsliga personuppgifter föreskrivs i 14 §. Enligt 15 § får exempelvis känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Känsliga personuppgifter får enligt 19 § behandlas för forskningsändamål om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Av 3 och 6 §§ etikprövningslagen framgår att forskning som innefattar behandling av känsliga personuppgifter får utföras bara om den har godkänts vid en etikprövning. Detta krav omfattar således även behandling av känsliga personuppgifter som grundas på samtycke.
Samtycke ska enligt 3 § personuppgiftslagen vara frivilligt, särskilt, otvetydigt och beträffande känsliga personuppgifter även vara uttryckligt för att vara giltigt. Det ska också vara baserat på att den som lämnar samtycket har fått tillräcklig information. Kravet på uttrycklighet vad gäller känsliga personuppgifter utgör en markering av vikten av att just i det fallet säkerställa att ett giltigt samtycke har inhämtats.
Samtycke kan för en vuxen person enbart lämnas av den registrerade själv. När det gäller personer som på grund av sjukdom, psykisk störning eller försvagat hälsotillstånd är ur stånd att vårda sig själva är möjligheten till att ge samtycke för personuppgiftsbehandling begränsad. För personer som helt saknar eller har nedsatt förmåga att hantera sina egna angelägenheter, t.ex. när det gäller att bevaka sin rätt, förvalta sin egendom eller sörja för sin person, kan en god man eller förvaltare förordnas enligt 11 kap. 7 § föräldrabalken. Personer som har nedsatt förmåga att själva ta ställning till vård eller behandling inom hälso- och sjukvården eller tandvården kan med gällande regler sällan få hjälp av en god man eller förvaltare i beslutsfattandet. Reglerna om de gode männens och förvaltarnas befogenheter tillåter normalt inte ställningstaganden av det slaget. I betänkandet Stöd och hjälp till vuxna vid ställningstaganden till vård, omsorg och forskning (SOU 2015:80) föreslogs en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg. Betänkandet bereds för närvarande i Regeringskansliet.
Om individen är ett barn ska samtycket i vissa fall inhämtas av en vårdnadshavare eller av både vårdnadshavaren och barnet. Det finns ingen klart fastställd åldersgräns för när samtycke kan ges. Datainspektionen lämnar följande vägledning:
En ungdom/barn som inte själv kan tillgodogöra sig informationen kan inte lämna ett rättsligt giltigt samtycke. I sådana fall ska samtycket istället inhämtas från vårdnadshavaren. Frågan om en person förstår innebörden av informationen måste bedömas från fall till fall med utgångspunkt i den enskilda individens mognad.1
Den registrerade kan när som helst återkalla samtycket. Förbud gäller då för fortsatt personuppgiftsbehandling enligt 12 § personuppgiftslagen. Behandling av de personuppgifter som redan samlats in på grundval av tidigare lämnat samtycke är dock fortfarande tillåten. Personuppgifterna måste enligt 9 § g personuppgiftslagen fortsatt vara riktiga och, om det är nödvändigt, aktuella, vilket kan vara svårt att tillgodose efter viss tid. Det är exempelvis inte tillåtet att registrera ett namnbyte om samtycket har återkallats.
1 http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagonaldersgrans-for-samtycke1/
6.2.2. Dataskyddsförordningen
I dataskyddsförordningen anges grundläggande principer för behandling av personuppgifter i artikel 5. Bestämmelser om när behandling av personuppgifter är laglig finns i artikel 6 och villkor avseende särskilda kategorier av personuppgifter (känsliga personuppgifter) i artikel 9. I artiklarna 6 och 9 räknas samtycke upp bland andra villkor för laglig behandling av personuppgifter:
Artikel 6
Laglig behandling av personuppgifter
1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. …
Artikel 9
Behandling av särskilda kategorier av personuppgifter
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
2. Punkt 1 ska inte tillämpas om något av följande gäller:
a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. …
I likhet med det nuvarande dataskyddsdirektivet är samtycke i artikel 6 en av flera jämställda alternativa rättsliga grunder för personuppgiftsbehandling. Formuleringen i dataskyddsdirektivet avviker från personuppgiftslagens bestämmelse i 10 § där samtycke tas upp före uppräkningen i punkterna a–f. I samband med att dataskyddsdirektivet införlivades i svensk rätt, genom personuppgiftslagen, gavs således samtycket en formulering som skulle kunna tolkas som att detta sätt att göra en behandling tillåten har en särskild ställning
i förhållande till andra rättsliga grunder. Detta skulle då gälla utöver den särställning det har genom att behandling grundad på samtycke inte måste vara nödvändig. Huruvida personuppgiftslagen ska tolkas på detta sätt kan dock diskuteras.
Det förefaller emellertid inte som om samtycke enligt dataskyddsförordningen skulle ha en särställning i förhållande till andra rättsliga grunder. Den s.k. artikel 29-gruppen2 kommenterar att det finns olikheter i synen på samtyckets ställning mellan medlemsstaterna och anser att en harmonisering kan åstadkommas genom dataskyddsreformen.3
Samtycke särskiljs dock i förordningen, i likhet med nuvarande bestämmelser, genom att behandling enligt artikel 6.1 a inte behöver vara nödvändig. Den rättsliga grunden samtycke behöver inte heller, till skillnad från exempelvis allmänt intresse (artikel 6.1 e), vara fastställd i unions- eller nationell rätt (artikel 6.3). Den rättsliga grunden samtycke är reglerad genom artikel 6.1 a och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.
Barns samtycke som rättslig grund enligt dataskyddsförordningen har behandlats utförligt av Dataskyddsutredningen.4
Beträffande samtycke vid behandling av känsliga personuppgifter regleras detta särskilt i artikel 9.2 a i dataskyddsförordningen.
6.3. Samtycke och känsliga personuppgifter
Utredningens bedömning: Med utgångspunkt i artikel 9.2 a i
dataskyddsförordningen är det möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.
2 Artikel 29-gruppen är skapad under artikel 29 i det nuvarande dataskyddsdirektivet, för en utförligare beskrivning se avsnitt 3.3.1. 3 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 7. 4SOU 2017:39 kapitel 9.
Enligt artikel 9.1 i dataskyddsförordningen är behandling av känsliga personuppgifter5 förbjuden. Undantag från förbudet ges dock för vissa typer av behandling enligt artikel 9.2 a–j. Om den registrerade uttryckligen har lämnat sitt samtycke kan detta enligt artikel 9.2 a upphäva detta förbud, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas.
Enligt 3 och 6 §§ etikprövningslagen får forskning som innefattar känsliga personuppgifter utföras bara om den har godkänts vid en etikprövning.6 En möjlig tolkning av formuleringen i artikel 9.2 a är att denna artikel tillsammans med 3 och 6 §§ etikprövningslagen förhindrar behandling av känsliga personuppgifter med samtycke som rättslig grund, så att den rättsliga grunden i stället måste sökas i allmänt intresse enligt artikel 6.1 e.
En alternativ tolkning av denna situation är dock att samtycke kan upphäva förbudet mot behandling av känsliga personuppgifter för forskningsändamål, men endast om det kompletteras med etikgodkännande enligt etikprövningslagen.7 Samtycke kan i sådana fall användas som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål. Denna tolkning ligger närmare den rättstillämpning som för närvarande gäller och synes kunna förenas med de intentioner som uttrycks i förarbetena till den ändring som genomfördes av etikprövningslagen år 2008 och som innebar införandet av obligatorisk etikprövning av all forskning som innefattar behandling av känsliga personuppgifter.8
Mot denna bakgrund är det utredningens bedömning att artikel 9.2 a i dataskyddsförordningen, tillsammans med etikprövningslagen, innebär att det är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen. Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige.
5 I dataskyddsförordningens terminologi de ”särskilda kategorier av personuppgifter” som räknas upp i artikel 9.1. 6 Utredningen föreslår i kapitel 14 att dagens hänvisning till 13 § personuppgiftslagen i etikprövningslagen ska ersättas med en hänvisning till artikel 9.1 i dataskyddsförordningen. 7 Detta gäller inom etikprövningslagens geografiska tillämpningsområde. Enligt 5 § etikprövningslagen ska den tillämpas på forskning som ska utföras i Sverige. 8Prop. 2007/08:44 s. 20 f.
6.4. Samtyckets innehåll och de krav som ställs på giltigt samtycke
6.4.1. Inledning
I detta avsnitt görs en närmare jämförande analys av definitionen av samtycke i dataskyddsförordningen med definitionen i personuppgiftslagen. Därefter följer en genomgång av vart och ett av de begrepp som definierar samtycke i dataskyddsförordningen. Denna del beskriver således de krav som ställs på ett giltigt samtycke. I samband med detta behandlar olika avsnitt innebörden av de skäl i dataskyddsförordningen som tar upp samtyckets bredd (skäl 33) och dess giltighet när betydande ojämlikhet råder mellan den personuppgiftsansvarige och den registrerade, exempelvis när den personuppgiftsansvarige är en myndighet (skäl 43).
I 3 § personuppgiftslagen anges att samtycke är varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I 13 § föreskrivs ett principiellt förbud mot behandling av känsliga personuppgifter som dock omgärdas av ett antal undantag enligt 14 §. Med stöd i 15 § får t.ex. känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Dessutom krävs enligt 3 och 6 §§ etikprövningslagen etikgodkännande när det är fråga om all behandling av känsliga personuppgifter för forskningsändamål.
Dataskyddsförordningen
Artikel 4.11 i dataskyddsförordningen definierar samtycke enligt följande.
Artikel 4
Definitioner
I denna förordning avses med … 11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, …
Utöver detta föreskrivs i artikel 9.2 a krav på uttryckligt samtycke vid behandling av känsliga personuppgifter.
Dataskyddsförordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen.
6.4.2. Frivillig viljeyttring Personuppgiftslagen
Samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma.
Det finns situationer där frivilligheten i samband med ett medgivande till personuppgiftsbehandling kan diskuteras. Ofta är det då inte fråga om samtycke i personuppgiftslagens mening. Det kan till exempel vara nödvändigt att man för att få ta del av en tjänst ingår ett avtal som innebär personuppgiftsbehandling. Detta förekommer bland annat vid köp av olika varor och tjänster eller vid anställning. Bestämmelser om detta finns i 10 § personuppgiftslagen, dvs. tillåtligheten baseras inte på den registrerades samtycke utan på att behandlingen är nödvändig exempelvis för fullgörande av ett avtal.
I vissa sammanhang där det är aktuellt med en samtyckesbaserad behandling enligt 10 § personuppgiftslagen kan det förekomma att den registrerade befinner sig i ett beroendeförhållande till den som efterfrågar samtycke, eller att det på annat sätt råder ojämlikhet mellan dessa parter. Problemet har föranlett skäl 43 i dataskyddsförordningen, vilket behandlas i det följande.
Dataskyddsförordningen
Kravet på frivillighet är i dataskyddsförordningen formulerad på samma sätt som i personuppgiftslagen. Det faktum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen.
För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.
Trots likheterna mellan bestämmelserna i dataskyddsförordningen och personuppgiftslagen föranleder detta skäl nya överväganden för den personuppgiftsbehandling som sker vid bland annat de universitet och högskolor som utgör offentligrättsliga organ. Formuleringen anger att det ska vara fråga om ”ett särskilt fall där det råder betydande ojämlikhet” och nämner att detta gäller, eller kan gälla, särskilt när den personuppgiftsansvarige är en ”offentlig myndighet”.9
Det kan noteras att ett så tydligt omnämnande av myndigheters begränsade möjlighet att använda samtycke som rättslig grund under vissa omständigheter hittills saknats i svensk gällande rätt, även om beroendeförhållanden redan i dag har betydelse för bedömningen av samtyckets giltighet.
Skrivningen kan tolkas som att ett särskilt fall alltid föreligger när en myndighet efterfrågar samtycke. Den kan alternativt tolkas som att särskilda fall ofta, men inte alltid, förekommer när den personuppgiftsansvarige är en myndighet.
I ett yttrande om samtycke som artikel 29-gruppen publicerat behandlas sådana situationer.
Typen av registeransvarig kan också vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av uppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse enligt artikel 7 c, eller utförandet av en arbetsuppgift av allmänt intresse som anges i artikel 7 e. Att använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna utgör följaktligen inte en lämplig rättslig grund. Detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, till exempel rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polismyndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag.10 (Författningshänvisningarna hänför sig till det nuvarande dataskyddsdirektivet, vår anm.)
Begränsningen ska, enligt detta yttrande, framför allt gälla personuppgiftsansvariga som behandlar personuppgifter i samband med fullgörandet av en rättslig förpliktelse eller för att utföra en arbets-
9 Detta torde motsvaras av det svenska begreppet myndighet, och innefattar då såväl statliga som kommunala myndigheter. 10 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 16.
uppgift av allmänt intresse. Artikel 29-gruppen framhåller här särskilt offentliga myndigheter som har officiella maktbefogenheter. Detta kan tolkas som att inte alla förhållanden mellan myndigheter och enskilda präglas av betydande ojämlikhet.
Artikel 29-gruppen för vidare ett resonemang om beroendeförhållanden vid anställning. Detta resonemang är tillämpligt oavsett den rättsliga ställningen hos huvudmannen och också när man avser att behandla personuppgifter för forskningsändamål.
… om samtycke krävs från en anställd och en verklig eller potentiell skada kan uppkomma genom att samtycke inte ges är samtycket inte giltigt i den meningen att det inte uppfyller kraven i vare sig artikel 7 eller artikel 8, eftersom det inte lämnats frivilligt. Om den anställde inte har möjlighet att vägra är det inget samtycke … En svårighet uppkommer om samtycket är ett villkor för anställningen. Den anställde kan teoretiskt sett vägra ge sitt samtycke, men konsekvensen kan vara att möjligheten till anställning går förlorad. Under sådana omständigheter har samtycket inte getts frivilligt och är därför inte giltigt. Situationen är ännu tydligare om, vilket ofta sker, alla arbetsgivare tillämpar samma eller ett liknande anställningsvillkor.11
Artikel 29-gruppens yttranden hänför sig till det nuvarande dataskyddsdirektivet, som inte innehåller någon motsvarande skrivning till skäl 43 i dataskyddsförordningen. I avsaknad av ytterligare vägledning är det utredningens bedömning att artikel 29-gruppens yttranden kan utgöra utgångspunkt för tolkningen av skäl 43 i dataskyddsförordningen.
Betydande ojämlikhet vid samtycke lämnat till offentliga forskningsaktörer
När det gäller offentliga forskningsaktörer kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För till exempel statliga forskningsinstitut med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant institut.
11 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 13 f där man hänvisar till
yttrande 8/2001 (WP48) on the processing of personal data in the employment context.
Statliga lärosäten får i många situationer inte anses kunna utöva någon speciell påtryckning gentemot individen enbart genom att man är en myndighet. Behandling av personuppgifter för forskningsändamål från personer utan tydlig relation till lärosätet präglas inte självklart av betydande ojämlikhet eftersom lärosätet inte kan utöva några påtryckningar gentemot dessa personer och det är osannolikt att forskningspersonerna själva upplever att en ojämlik situation föreligger. Det kan exempelvis gälla ett representativt urval av personer ur totalbefolkningen som deltar i en undersökning som del av ett forskningsprojekt. Som exempel kan nämnas SOM-institutets vid Göteborgs universitet opinionsundersökningar som beskrivs på följande sätt på institutets hemsida: ”Varje år svarar nästan 20 000 svenskar på SOM-institutets frågor om allt från politik och massmedier till ämnen som livsstil, hälsa och fritidsvanor.”12
En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet.
Kommuner och landsting har myndighetsuppgifter gentemot sina invånare. Man driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjukvårdens regionala och nationella kvalitetsregister, som handhas av landstingen, en särskilt stor och ökande betydelse.
Sammanfattningsvis innebär ovanstående resonemang att det kan finnas betydande hinder för myndigheter att använda samtycke för personuppgiftsbehandling med tanke på den ojämlikhet som påtalas i skäl 43. Detta kan gälla också vid behandling för forskningsändamål. I många fall föreligger dock inte någon sådan ojämlikhet vid forskning. Hindren gäller därför inte alltid utan behöver prövas från fall till fall. Det ankommer på den personuppgiftsansvarige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.
Utgångspunkten för en sådan prövning är rimligen att hinder föreligger. I många fall kan dock den personuppgiftsansvarige när
12 Se vidare http://som.gu.se/undersokningar. SOM-institutet beskriver sig som en opartisk undersökningsorganisation vid Göteborgs universitet.
det gäller forskning, enligt utredningens bedömning, kunna visa att frivillighet råder. Inhämtande av ett giltigt samtycke behöver då inte förhindras av detta skäl.
Betydande ojämlikhet vid samtycke lämnat till privata forskningsaktörer
En genomgång av aktuella kategorier av forskningsaktörer, och en analys av de möjliga rättsliga grunderna för olika aktörer, finns i avsnitt 5.3. De privata forskningsaktörer som i exemplifierande syfte anges där är enskilda utbildningsanordnare samt företag och stiftelser.
Enskilda utbildningsanordnare borde i väsentliga delar kunna likställas med offentliga. För företag, stiftelser och andra medlemsorganisationer som utför forskning torde samtycke kunna användas gentemot alla som inte har någon anknytning till organisationen, genom att vara exempelvis anställda, intressenter och/eller medlemmar.
Privaträttsliga forskningsaktörer bör med hänvisning till formuleringen av skäl 43 kunna betraktas på annat sätt än de offentligrättsliga. Utgångspunkten är att det här normalt inte råder betydande ojämlikhet när personuppgifter behandlas för forskningsändamål, men att detta kan vara fallet i det som benämns ”en särskild situation”. En sådan särskild situation kan vara när den personuppgiftsansvarige vill använda ett kund- eller anställningsregister för andra ändamål än det ursprungligen avsedda.
Sammanfattningsvis kan sägas att det resonemang om ojämlikhet som förs i skäl 43 normalt inte torde innebära hinder för privaträttsliga forskningsaktörer att använda samtycke för personuppgiftsbehandling för forskningsändamål. Det bör dock även här prövas om det föreligger sådana hinder som gör samtycket ogiltigt. Det ankommer på den personuppgiftsansvarige att göra detta som en del av bedömningen av om ett giltigt samtycke har kunnat inhämtas.
6.4.3. Specifik viljeyttring
En specifik viljeyttring, enligt dataskyddsförordningens definition, motsvaras av det som i 3 § personuppgiftslagen benämns ”särskild … viljeyttring”. I 9 § personuppgiftslagen finns ett krav på att all personuppgiftsbehandling ska äga rum för ”särskilda, uttryckligt angivna och berättigade ändamål” (den s.k. ändamålsbegränsningen). Denna begränsning har sin motsvarighet i definitionen av samtycke genom att samtycket ska vara ”särskilt”, dvs. det ska stå klart att samtycke har lämnats för ett särskilt ändamål.
Hur brett ett forskningsändamål kan vara, för vilket samtycke kan ges utan att kravet på särskildhet och otvetydighet går förlorat, har varit föremål för diskussion i olika sammanhang. En vägledning inför den framtida tolkningen av detta återfinns i skäl 33 i dataskyddsförordningen.
Dataskyddsförordningen
I dataskyddsförordningen ersätts den tidigare termen ”särskild” i det nuvarande dataskyddsdirektivet och personuppgiftslagen med ”specifik”. Termerna kan språkligt sett betraktas som synonymer.13Detta stöds också av att den engelska formuleringen i artikel 2 i det nuvarande dataskyddsdirektivet använder begreppet ”specific” medan den svenska översättningen av samma direktiv använder ”särskild”. Det framstår således inte som om förändringen i terminologi skulle innebära någon avsiktlig betydelseförändring. Frågan om samtyckets tillåtliga bredd behandlas i skäl 33 i dataskyddsförordningen. Det resonemang som förs där medför, trots att termerna får anses ha samma betydelse, en förändrad syn på bestämmelsens innebörd.
Specifika och breda samtycken
Ett samtycke definierar gränserna för vad som är tillåtet att behandla och måste därför vara tydligt specificerat redan vid insamling av personuppgifter. En klar ändamålsbeskrivning när det gäller
13 Svenskt synonymlexikon online: synonymer.se
känsliga personuppgifter har i svensk rättstillämpning också utgjort en förutsättning för att en etikprövningsnämnd ska kunna avgöra huruvida den avsedda personuppgiftsbehandlingen utgör forskning och därmed måste bli föremål för etikprövning. Detta gäller oavsett om behandlingen grundas på samtycke eller någon annan rättslig grund.
Bredden på ett samtycke liksom möjligheten att samla in personuppgifter för mer allmänt hållna forskningsändamål har föranlett mycket diskussion och debatt, inte minst under senare år i samband med bland annat Vetenskapsrådets strävanden efter att skapa effektiva databasinfrastrukturer för forskningsändamål.14 Problemet tydliggjordes bland annat vid bedömningar av projektet LifeGene vid Karolinska Institutet.15 Projektet, som rör de långsiktiga hälsokonsekvenserna av arv och miljöpåverkan, har ett mångårigt perspektiv med en bred ändamålsbeskrivning. Personuppgifter samlas in genom provtagning och frågeformulär vid personliga besök vid mottagningar. Uppgifterna kan kompletteras med uppgifter från register insamlade för andra primära ändamål än forskning. En del av dessa uppgifter avses bestå av uppföljningar av hälsorelaterad information från hälso- och sjukvården under många år framöver. Preciserade ändamål med själva forskningen kan inte beskrivas vid insamlingstillfället. Medverkan i projektet grundas på de registrerades samtycke.
Personuppgiftsbehandlingen i LifeGene godkändes av en regional etikprövningsnämnd, men med villkor att barn under sex års ålder skulle undantas från blodprovstagning. Detta villkor överklagades av företrädare för LifeGene till Centrala etikprövningsnämnden (CEPN). CEPN konstaterade vid sin granskning att etikprövning inte behövdes, eller snarare inte kunde genomföras, på grund av att det aktuella projektet i sig inte ansågs innefatta någon forskning, utan i stället syftade till att bygga upp en infrastruktur för eventuell framtida forskning. Mot denna bakgrund undanröjde CEPN den regionala etikprövningsnämndens beslut.16
Datainspektionen tog upp ärendet inom ramen för sin tillsynsverksamhet. Man konstaterade att det genom undanröjandet av den
14 Vetenskapsrådets guide till infrastrukturen 2014, s. 12–13, 25–26. 15 Se vidare http://www.lifegene.se. 16 CEPN beslut 2011-03-04, dnr Ö 28-2010.
regionala etikprövningsnämndens beslut inte längre fanns ett godkännande efter etikprövning, samt att det syfte som angivits för LifeGene utgjorde ett alltför opreciserat ändamål för att uppfylla kraven i 9 § personuppgiftslagen. Datainspektionen förelade därför de ansvariga för projektet att upphöra med insamlingen och övrig behandling av personuppgifter. Man framhöll i samband med detta att frågan om hantering av känsliga personuppgifter som sparas för framtida forskning är av sådan vikt att det borde bli föremål för politisk beredning.17
Ärendet behandlades av regeringen som med hänvisning till liknande regleringar i registerförfattningar föreslog en tidsbegränsad särskild lag som gjorde det möjligt för projektet att samla in och behandla personuppgifter för det angivna ändamålet.18 Förslaget antogs av riksdagen.19 I propositionen anförde regeringen att den föreslagna lagen var angelägen eftersom den avsåg att reglera ett specifikt område som omgärdades av rättslig osäkerhet. Ett vägande argument var att det var fråga om personuppgiftsbehandling som skapar bättre förutsättningar för svensk registerbaserad forskning. Datainspektionen ifrågasatte dock fortsatt om ändamålsbeskrivningen i lagen var förenlig med dataskyddsdirektivet.20
En bredare syn på samtycke jämfört med Datainspektionens och CEPN:s uppfattning efterfrågades i 2014 års Registerforskningsutredning.21 Osäkerhet om hur brett ett ändamål kan beskrivas låg, tillsammans med andra hänsynstaganden, till grund för Registerforskningsutredningens förslag att införa en särskild lag om forskningsdatabaser. Därefter har det blivit vårt uppdrag att i ett andra skede av utredningen ta ställning till och utveckla Registerforskningsutredningens förslag. Utredningens förslag till nödvändiga anpassningar av den s.k. LifeGene-lagen till dataskyddsförordningen behandlas i kapitel 15 i detta betänkande.
Artikel 29-gruppen tog redan år 2011 upp frågan om samtyckets bredd. Man konstaterade då att samtycke inte kan tillämpas på ”en
17 Datainspektionen 2011-12-16. Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene, dnr 766-2011, s. 4 f. 18Prop. 2012/13:163 Vissa register för forskning om vad arv och miljö betyder för människors hälsa. 19 SFS 2013:794 utfärdad den 5 november 2013. 20Prop. 2012/13:163, s. 25 f. 21SOU 2014:45 Unik kunskap genom registerforskning, s. 357 f.
allmän uppsättning behandlingsaktiviteter”, men införde begreppet ”rimliga förväntningar” och yttrade följande:
Samtycket bör avse en behandling som är rimlig och nödvändig i förhållande till syftet. Det bör i princip vara tillräckligt om den registeransvarige erhåller samtycke endast en gång för olika operationer om samtliga omfattas av den registrerades rimliga förväntningar.22
I dataskyddsförordningen uttrycks detta i skäl 33:
Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.
Det kan konstateras att det förtydligande som följer av förordningens skäl 33 öppnar upp för en bredare syn på samtycke än vad som hittills tillämpats. En förutsättning är dock att detta kan ske utan att det görs avkall på kraven att specificera ändamålen i enlighet med artiklarna 5.1 b och 6.1 a samt skäl 32 där det anges att samtycke bör gälla all behandling för samma ändamål och att samtycke ska lämnas för varje syfte för sig om flera syften finns. Forskningsändamålen kan således vid samtycke både vara specifika och någorlunda breda.
6.4.4. Otvetydig viljeyttring
Samtycke ska enligt 3 § personuppgiftslagen vara en otvetydig viljeyttring som är knuten till det ändamål för vilket behandlingen ska ske. Samtycket ska alltså tydligt kunna kopplas till den personuppgiftsbehandling som avses. Detta kräver att ändamålet är tydligt beskrivet och att det inte får föreligga tveksamhet om att viljeyttringen verkligen avser den aktuella personuppgiftsbehandlingen.
22 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 17 f.
Samtycke som en logisk konsekvens av ett handlande som klart innebär att en individ accepterar personuppgiftsbehandlingen (så kallat konkludent handlande) har ansetts vara tillräckligt otvetydigt under vissa omständigheter. Ett exempel inom forskningens område kan vara att besvara ett frågeformulär där syftet att använda svaren för ett avgränsat forskningsändamål har klargjorts för forskningspersonen i samband med datainsamlingen.
Dataskyddsförordningen
Dataskyddsförordningen föreskriver i likhet med nuvarande reglering att samtycke baseras på en otvetydig viljeyttring. Det finns därmed ingen grund för att anta att tolkningen av begreppet ska skilja sig från nuvarande praxis. I otvetydigheten ligger att handlingen ska vara tydligt inriktad på personuppgiftsbehandlingen och inte blandas samman med andra förklaringar och ställningstaganden från individen i fråga. Definitionen i artikel 4.11 i dataskyddsförordningen förtydligar dessutom att samtycket ska vara ”ett uttalande eller en entydig bekräftande handling”. Uttrycket ”bekräftande handling” tyder på att konkludent handlande är en acceptabel samtyckesyttring, åtminstone när det inte är fråga om känsliga personuppgifter.
I skäl 32 i dataskyddsförordningen anges att samtycke bör gälla all behandling inom samma ändamål, och att om flera syften finns bör samtycke inhämtas för samtliga syften. Bekräftelsen ska inte enbart bestå i passivitet, dvs. underlåtenhet att invända mot personuppgiftsbehandlingen. Tystnad eller inaktivitet är således inte tillräckligt. Det krävs någon form av aktiv bekräftelse för att samtycket ska vara giltigt. Detta krav särskiljer samtycket från rätten att under vissa omständigheter motsätta sig en redan påbörjad behandling och utesluter därmed bland annat så kallad ”opt out”. För känsliga personuppgifter gäller dessutom att samtycket enligt artikel 9.2 a i dataskyddsförordningen ska vara uttryckligt.
I situationer där flera viljeyttringar förekommer (eller bör förekomma därför att det finns flera syften) krävs enligt artikel 7.2 i dataskyddsförordningen att dessa tydligt särskiljs. Detta framgår även av skäl 32 om samtyckets innebörd och skäl 33 om samtycke som lämnas till vissa forskningsområden eller delar av forsknings-
projekt. Den personuppgiftsansvarige ska kunna visa att den registrerade på förhand har lämnat samtycke för all personuppgiftsbehandling som avses på sätt som föreskrivs i förordningen (artikel 7.1). Här uppstår i praktiken ett utökat krav på den personuppgiftsansvarige att dokumentera samtycket i jämförelse med personuppgiftslagen, där samtycke inte är omgärdat av några formkrav. Behovet av dokumentation aktualiseras oavsett om samtycket lämnats muntligt eller skriftligt.
6.4.5. Informerad viljeyttring
I 3 § personuppgiftslagen anges att ett giltigt samtycke innebär att den registrerade godtar behandlingen efter att ha fått information. Informationen ska vara tillräcklig för att en frivillig, särskild och otvetydig viljeyttring ska kunna lämnas.
En vägledande utgångspunkt i detta sammanhang kan vara de allmänna bestämmelser om informationsskyldighet som finns i 23–27 §§personuppgiftslagen. Detta gäller i första hand sådan information som lämnas på förhand. Den personuppgiftsansvarige ska enligt huvudregeln på eget initiativ lämna information till den registrerade om behandlingen. Detta kan ske i samband med insamling av personuppgifter från den registrerade själv, eller i det fall insamling har skett från någon annan källa, vid registreringstillfället om detta inte är omöjligt eller innebär en oproportionerligt stor arbetsinsats. I 25 § personuppgiftslagen anges att information ska lämnas om den registrerades identitet, ändamålet med behandlingen, samt all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter.
För att ett samtycke ska anses giltigt behöver i första hand information av det slag bestämmelserna i 23–25 §§ anger vara uppfyllda. Till bilden hör att den registrerade enligt 26 § en gång per kalenderår efter en skriftlig ansökan gratis har rätt att få information om bland annat vilka uppgifter som behandlas, ändamålet med behandlingen, varifrån uppgifterna hämtats, samt till vilka de lämnats ut. Detta betecknas ibland som en rätt till registerutdrag.
Mer utförliga rekommendationer om förfaringssättet när det gäller personuppgiftsbehandling för forskningsändamål finns i infor-
mationsmaterial från några myndigheter som ansvarar för omfattande register med personuppgifter eller övervakar hanteringen av personuppgifter.23
Dataskyddsförordningen
De krav på information som finns i artiklarna 12–15 i dataskyddsförordningen överensstämmer i sin allmänna inriktning med vad som stadgas i personuppgiftslagen, men är mer detaljerade.
Ett giltigt samtycke enligt dataskyddsförordningen förutsätter att den registrerade fått tillräcklig information. Artikel 12 anger att den information som ges till den registrerade ska vara klar, tydlig, begriplig och lätt tillgänglig. Den information som ska lämnas i samband med insamling föreskrivs i artikel 13 för personuppgifter insamlade direkt från den registrerade och i artikel 14 för personuppgifter som har erhållits från annan än den registrerade.
I huvudsak handlar skyldigheten att lämna information innan det att behandlingen inleds om att lämna besked om att personuppgifter kommer att behandlas och om vilken behandling som ska göras. I 25 § personuppgiftslagen anges att all den information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen ska lämnas. Motsvarande allmänna formulering återfinns inte i förordningen, men det får antas att bedömningen av huruvida kravet på information vid inhämtande av samtycke inbegriper en sådan avvägning.
Utredningen bedömer att den allmänna informationsskyldigheten som regleras i artiklarna 13 och 14 i dataskyddsförordningen, och som ska lämnas på initiativ av den personuppgiftsansvarige innan behandlingen påbörjas, är relevant för vad som krävs för inhämtande av ett giltigt samtycke.
Artikel 15 i dataskyddsförordningen ger utöver detta en fortsatt rätt till registerutdrag. Den registrerade har alltså rätt att på eget initiativ få reda på om en behandling pågår och, om så är fallet, information om den aktuella behandlingen för att kunna ta tillvara sina rättigheter samt att få kopior på de personuppgifter som behandlas. Denna rätt till tillgång blir i praktiken aktuell först efter
23 Personuppgifter i forskningen – vilka regler gäller? Skrift från Centrala etikprövningsnämnden, Datainspektionen, Socialstyrelsen och Statistiska centralbyrån, uppdaterad i mars 2013.
det att behandlingen har inletts och, om behandlingen grundas på samtycke, först efter det att samtycke har lämnats.
Fullgörande av informationsrätten enligt artikel 15 kan därför inte inbegripas i bedömningen av samtyckets giltighet. Enligt artiklarna 13.2 b och 14.2 c ska dock den registrerade på förhand informeras om denna rättighet, vilket ingår i den information som ska lämnas för att ett giltigt samtycke ska kunna inhämtas.
6.4.6. Uttrycklig viljeyttring gällande känsliga personuppgifter
Behandling av känsliga personuppgifter för forskningsändamål behandlas övergripande i kapitel 7. Samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål har behandlats i avsnitt 6.3. I det avsnittet gjordes bedömningen att det är förenligt med artikel 9.2 a i förordningen att använda samtycke som rättslig grund för behandling av känsliga personuppgifter för forskningsändamål, givet att det kompletteras med etikgodkännande enligt etikprövningslagen. I detta avsnitt berörs samtycke när behandlingen avser känsliga personuppgifter med anledning av det krav på uttrycklighet som gäller redan i dag, och som kommer att gälla även när dataskyddsförordningens bestämmelser ska tillämpas.
Personuppgiftslagen innehåller särskilda regler för behandling av känsliga personuppgifter i 13–20 §§. I 15 § personuppgiftslagen anges att samtycke till behandling av känsliga personuppgifter ska vara uttryckligt. Begreppet uttryckligt samtycke har enligt vad som framgår av förarbetena till personuppgiftslagen en EU-gemensam innebörd.24 Hur uttrycklighetskravet mer precist ska tolkas i Sverige har endast i begränsad utsträckning diskuterats.25 Enligt artikel 29-gruppen omfattar uttryckligt samtycke enligt nuvarande bestämmelser ”alla situationer där enskilda personer uppmanas välja mellan att samtycka till eller vägra användning eller offentliggörande av sina personuppgifter och de besvarar en sådan begäran muntligt eller skriftligt”.26
24Prop. 1997/98:44 s. 116. 25 Se vidare t.ex. Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 3 §. 26 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 26.
Utöver kravet på uttrycklighet i personuppgiftslagen föreskriver etikprövningslagen etikgodkännande för forskning som innefattar behandling av känsliga personuppgifter (3 och 6 §§). Etikprövningslagens tillämpningsområde omfattar all behandling av känsliga personuppgifter för forskningsändamål när forskningen utförs i Sverige. Kravet på etikgodkännande enligt etikprövningslagen gäller således även om det finns ett inhämtat samtycke.
Dataskyddsförordningen
Känsliga personuppgifter omfattar enligt artikel 9.1, utöver de uppgifter som anges i 13 § personuppgiftslagen, även sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. I detta betänkande används begreppet känsliga personuppgifter för hela denna utökade kategori.
Oklarheten om innebörden i uttryckligt samtycke med avseende på graden av aktivt handlande hos den registrerade kan ha reducerats genom den hänvisning till ”entydigt bekräftande handling” som finns i artikel 4.11. Något undantag från denna del av bestämmelsen vad gäller uttryckligt samtycke går inte att finna.
6.4.7. Överväganden
Utredningens bedömning: Dataskyddsförordningen innebär inga
betydande förändringar av ett samtyckes innebörd.
I det ovanstående har de olika kraven på giltigt samtycke i dataskyddsdirektivet och personuppgiftslagen jämförts med motsvarande krav i dataskyddsförordningen. Tillägget att samtycket ska vara ett uttalande eller en entydig bekräftande handling kan ses som ett förtydligande av vad som krävs när det gäller aktivitet från den registrerades sida. Det kan få viss betydelse för tolkningen av vilka krav som ska ställas på uttryckligt samtycke enligt artikel 9.2 a i dataskyddsförordningen. Något undantag från denna del av bestämmelsen vad gäller uttryckligt samtycke går inte att finna.
Utredningens bedömning: Möjligheten att använda samtycke
som rättslig grund för personuppgiftsbehandling för forskningsändamål när det kan råda en betydande ojämlikhet mellan den personuppgiftsansvarige och den registrerade behöver prövas i varje enskilt fall, som en del av bedömningen av giltigheten av det inhämtade samtycket.
Utgångspunkten för en sådan prövning är att forskningsaktören som en del av bedömningen ska kunna visa att samtycket lämnats frivilligt. En betydande ojämlikhet kan medföra att samtycket inte uppfyller kravet på frivillighet. Hinder för ett giltigt samtycke föreligger av denna anledning i allmänhet vid personuppgiftsbehandling när den personuppgiftsansvarige är en myndighet. Detta utesluter dock inte att myndigheter baserar sin personuppgiftsbehandling för forskningsändamål på just samtycke, förutsatt att det inte föreligger en betydande ojämlikhet av det slag som avses i skäl 43.
6.5. Ytterligare behandling av personuppgifter som lämnats med stöd av samtycke
6.5.1. Inledning
Ytterligare behandling av personuppgifter för forskningsändamål undantas i såväl personuppgiftslagen som dataskyddsförordningen från vissa delar av de krav som är förknippade med finalitetsprincipen. Vid bedömningen av undantaget tillkommer dock vissa särskilda överväganden som blir aktuella bara när personuppgiftsbehandlingen grundas på samtycke.
6.5.2. Personuppgiftslagen
Ytterligare behandling av personuppgifter för forskningsändamål har enligt 9 § andra stycket personuppgiftslagen en gynnad ställning när det gäller undantag från den s.k. finalitetsprincipen. Denna princip fastställer att personuppgifter som huvudregel inte får behandlas för ändamål som är oförenligt med det ursprungliga ändamål för vilket uppgifterna samlades in. Behandling för vetenskap-
liga ändamål ska dock enligt det andra stycket inte anses oförenligt med de ändamål för vilka uppgifterna samlades in.
Detta medför att personuppgifterna vanligen får användas av samma personuppgiftsansvarig utan att ett nytt ändamål behöver anges. När det gäller användning av personuppgifter som lämnats med samtycke finns dock i förarbeten och kommentarer till personuppgiftslagen resonemang som innebär en strängare tolkning i detta avseende. Det anförs att det som regel inte är acceptabelt att det förtroende som den registrerade visat genom det lämnade samtycket kränks genom att uppgifterna används för ett helt annat projekt med väsentligt annorlunda inriktning och syften. Såväl förarbeten27som lagkommentaren till 9 § personuppgiftslagen28 anger att något förbud för återanvändning dock inte införts eftersom det kan finnas undantagsfall där samhällsintresset överväger.
Vad som utgör ett forskningsprojekt där ytterligare behandling har en väsentligt annorlunda inriktning och syften är en tolkningsfråga. Exempel på gränsdragningsproblematiken kan tas från den epidemiologiska forskningen om risker för specifika sjukdomar och för tidig död där det kan finnas anledning att granska såväl biologiska som sociala orsaker till ohälsa. Man kan exempelvis tänka sig att uppgifter som lämnats med samtycke avseende ändamålet att undersöka sambandet mellan fetma, kolesterolnivåer och hjärtsjukdom också, om information om socioekonomiska förhållanden läggs till, kan användas för att undersöka sambandet mellan sociala variabler som utbildning, inkomst, yrke och förekomsten av hjärt- och kärlsjukdom. Hela denna orsaksbild kan utgöra väsentlig information när det gäller hjärt- och kärlsjukdomarnas epidemiologi.
Huruvida ytterligare behandling i ett sådant socialmedicinskt projekt skulle anses vara av väsentligt annan karaktär än det ursprungliga är en bedömningsfråga som det enligt nuvarande praxis ankommer på en etikprövningsnämnd att ta ställning till. Etikprövningsnämnden i fråga kan som villkor för den ytterligare behandlingen kräva att ett nytt samtycke inhämtas. Etikprövningsförfarandet behandlas närmare i kapitel 14.
27SOU 1997:39 s. 312 f. 28 Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo) kommentar till 9 § andra stycket.
6.5.3. Dataskyddsförordningen
Såsom beskrivs i avsnitt 5.4 är personuppgiftsbehandling för forskningsändamål genom artikel 5.1 b i likhet med dagens lagstiftning särskilt gynnad i dataskyddsförordningen genom att ytterligare behandling för forskningsändamål inte ska anses strida mot de ursprungliga ändamål för vilka uppgifterna samlades in. Vidare anges i skäl 50 i dataskyddsförordningen att detta ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Observera dock att undantaget från den s.k. finalitetsprincipen gäller i det fall behandlingen sker hos samma personuppgiftsansvarig, se avsnitt 5.4.4 för vidare resonemang kring denna förutsättning.
Vägledning kan utöver detta finnas i Europarådets rekommendation nr R(83) 10 om skydd för personuppgifter som används för vetenskaplig forskning och statistik:
4. Use of the data 4.1. Personal data obtained for research should not be used for any purpose other than research. In particular, they should not be used to make any decision or take any action directly affecting the person concerned, except within the context of the research or with the express consent of the person concerned. 4.2. Personal data collected for the purpose of a given research project and with the consent of the persons concerned should not be used in connection with another research project substantially different in its nature or objects from the first, except with their consent. However, where would be impracticable to obtain such consent by reason of the lapse of time or because of the large number of persons concerned, the previously collected data may be used in conformity with other safeguards laid down by domestic law. 4.3. Both public and private bodies should have the right to use for their own research purposes the personal data which they hold for administrative purposes. If in the course of such research personal data are added to files already held by the administrative body, or its files are altered, these new files should not be made available to administrative personnel dealing with individual cases, except with the consent of the person concerned. 4.4. Personal data may be released by public or private bodies for the purpose of research only with the consent of the person concerned or in accordance with other safeguards laid down by domestic law.
Artikel 4.2 i Europarådets rekommendation förefaller överensstämma väl med överväganden i etikprövningsnämnderna där man tar hänsyn till de praktiska möjligheterna att inhämta ett nytt samtycke.
6.5.4. Överväganden
Utredningens bedömning: Ytterligare behandling av person-
uppgifter för forskningsändamål hos densamme personuppgiftsansvarige ska inte anses vara oförenligt med de ursprungliga ändamålen även när uppgifterna samlats in med stöd av samtycke. Den personuppgiftsansvarige bör dock följa Europarådets rekommendation att inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet utan att ett nytt samtycke inhämtats där detta är lämpligt och praktiskt möjligt.
Enligt utredningens bedömning kan det, även om specifik reglering i förordningen saknas, finnas anledning att också i fortsättningen uppmärksamma de resonemang som tidigare förts om samtyckets särskilda ställning när det gäller rätten att ytterligare behandla personuppgifter som lämnats med samtycke. Europarådets rekommendation bör utgöra vägledning vid ytterligare behandling av personuppgifter lämnade med samtycke.
6.6. Samtycke tillsammans med annan rättslig grund
6.6.1. Inledning
I ovanstående avsnitt har utredningen tagit ställning till att samtycke kan användas som rättslig grund enligt artikel 6.1 a för alla slags personuppgifter, även med hänsyn taget till formuleringarna i artikel 9.2 a. I detta avsnitt belyses samtyckets ställning och användning när en annan rättslig grund samtidigt föreligger.
All laglig behandling av personuppgifter förutsätter en rättslig grund. Det kan samtidigt finnas mer än en rättslig grund för samma behandling. När den ena tillämpliga rättsliga grunden är samtycke kompliceras situationen, eftersom det knappast kan anses vara förenligt med god sed vid personuppgiftsbehandling för forsknings-
ändamål att först grunda sin behandling på samtycke för att sedan vid behov åberopa till exempel allmänt intresse som grund för aktuell behandling. Formellt sett är dock detta tillåtet redan i dag och problematiken är känd. Förklaringen ligger i att det inte är möjligt att förbjuda behandling enligt någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen om villkoren i dem är uppfyllda.
Vid viss personuppgiftsbehandling kan således osäkerhet uppstå om vad som faktiskt utgör den rättsliga grunden för behandlingen. Artikel 29-gruppen har behandlat frågan om s.k. hybridsituationer avseende rättslig grund och beskriver detta som att det ofta kan vara svårt att avgöra om de offentliga myndigheternas behandling av personuppgifter på ett korrekt sätt bygger på den registrerades samtycke. Som exempel på en hybridsituation har artikel 29-gruppen beskrivit folkbokföring när en viss del av registreringen bygger på lagstadgat uppgiftslämnande medan andra delar är frivilliga.29
6.6.2. Samtidig förekomst av de rättsliga grunderna samtycke och allmänt intresse
Av skäl 43 i dataskyddsförordningen framgår, som beskrivits ovan, att det många gånger kan råda en betydande ojämlikhet mellan den som efterfrågar samtycke och den som lämnar det. Skäl 43 pekar på att ojämlikhetsproblemet särskilt föreligger för ”offentliga myndigheter”. Detta blir tydligt när myndigheten har en verksamhet som innebär myndighetsutövning gentemot den enskilde eller inom hälso- och sjukvård.
I enlighet med det resonemang som förs i kapitel 5 omfattas forskning normalt av den rättsliga grunden allmänt intresse. Om forskningen av allmänt intresse är fastställd i nationell rätt gäller denna lagstadgade rättsliga grund redan innan dess ett eventuellt samtyckesförfarande övervägs. Det torde enligt tidigare resonemang inte föreligga någon prioritetsordning mellan de olika rättsliga grunder som anges i artikel 6.1. Det finns därmed inte skäl att ge den rättsliga grunden samtycke företräde framför allmänt intresse.
Ett giltigt samtycke innebär en frivillig, specifik, informerad och otvetydig viljeyttring (artikel 4.11). Den registrerade ska ha lämnat
29 Yttrande 15/2011 om definitionen av begreppet ”samtycke”, s. 38.
sitt samtycke för att behandlingen ska vara tillåten (artikel 6.1 a och 9.2 a), och har rätt att återkalla samtycket när som helst (artikel 7.3). Att ett återkallat samtycke verkligen innebär att behandlingen upphör är ett av de oavvisliga kriterier som enligt utredningens bedömning bör användas för att avgöra om ett samtycke är giltigt och fungerar fullt ut.30 Om personuppgiftsbehandlingen skulle fortsätta att vara laglig genom att någon annan rättlig grund (exempelvis uppgift av allmänt intresse) samtidigt föreligger och åberopas kan inte rätten till återkallelse beaktas. Det kan därmed ifrågasättas huruvida samtycke är giltigt i dessa situationer.
6.7. Sammanfattning
Definitionen av samtycke i dataskyddsförordningen överensstämmer i väsentliga delar med personuppgiftslagens bestämmelser. Förordningens införande innebär därmed inga betydande förändringar av samtyckets innebörd. Samtycke ska vara frivilligt, specifikt, informerat och för känsliga personuppgifter uttryckligt, samt ska ges genom ett uttalande eller en entydig bekräftande handling. Den senare formuleringen av vilken slags aktivitet som godkänns som samtycke har lagts till i definitionen jämfört med personuppgiftslagen.
Utredningen bedömer att artikel 9.2 a i dataskyddsförordningen, tillsammans med etikprövningslagen, innebär att det är möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund, när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen.
Skäl 33 innebär en utvidgning av det möjliga utrymmet för samtycke när syftet inte fullt ut kan identifieras vid insamlingstillfället. Skäl 43 innebär begränsningar, särskilt för myndigheter, när det gäller möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling. Av särskild vikt är här om den i nationell rätt fastställda rättsliga grunden uppgift av allmänt intresse samtidigt förekommer.
Ytterligare behandling av personuppgifter för forskningsändamål, där behandlingen ursprungligen grundats på samtycke, bör
30 A.a. s. 35.
enligt utredningens uppfattning normalt omfattas av inhämtande av nytt samtycke, oavsett om behandlingen sker hos samma eller hos en ny personuppgiftsansvarig forskningsaktör.
Dataskyddsförordningen erbjuder ingen slutlig lösning på de situationer när flera rättsliga grunder samtidigt föreligger för samma personuppgiftsbehandling, och som innebär att samtyckets giltighet kan ifrågasättas.
7. Känsliga personuppgifter
7.1. Inledning
Av utredningens direktiv framgår följande:
Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.1
Detta kapitel inleds med en genomgång av begreppet ”känsliga personuppgifter”, för att sedan gå igenom relevanta bestämmelser i dataskyddsförordningen (EU 2016/679) samt förslag från Dataskyddsutredningen (Ju 2016:04). Utifrån detta lämnar vi sedan överväganden och förslag över kompletterande bestämmelser.
7.1.1. Terminologi
Dataskyddsförordningen använder i rubriken till artikel 9 termen ”Särskilda kategorier av personuppgifter” för att hänvisa till personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
1 Dir. 2016:65 s. 11.
Denna terminologi återkommer i förordningen, exempelvis i artikel 6.4 c, 27.2 a, 30.5, 35.3 b, 37.1 c och 47.2 d, samt även skäl 10, 51–54, 71, 80, 91, 97 och 112.
Samma term användes även i det nuvarande dataskyddsdirektivet (95/46/EG) med en definition i artikel 8. Jämfört med dataskyddsdirektivet är dataskyddsförordningens definition något utökad och inkluderar även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning.
I det svenska genomförandet av det nuvarande dataskyddsdirektivet valdes termen ”känsliga personuppgifter” för att beteckna det som direktivet benämner ”särskilda kategorier av personuppgifter”.2Anledningen till att man frångick direktivets terminologi i denna del har inte närmare berörts i personuppgiftslagens förarbeten,3men termen ”känsliga uppgifter” har använts i den tidigare datalagens förarbeten för att beteckna uppgifter med särskilt skyddsvärde.4
Dataskyddsutredningen har i sitt förslag valt att behålla den inarbetade termen ”känsliga personuppgifter”, särskilt i ljuset av att den fått visst fäste även på europeisk nivå, se t.ex. dataskyddsförordningens skäl 10 samt den s.k. artikel 29-gruppens Advice paper on special categories of data (“sensitive data”).5 Eftersom vårt uppdrag i denna del är att analysera behovet av kompletterande bestämmelser utöver vad bl.a. Dataskyddsutredningen kommer att föreslå har vi valt att använda Dataskyddsutredningens terminologi i denna del, även om förordningens direkta tillämplighet medför att rättstillämpningen måste hantera två olika termer för samma begrepp. Med ”känsliga personuppgifter” avses således detsamma som dataskyddsförordningen avser med ”särskilda kategorier av personuppgifter”.
2 I sammanhanget bör nämnas att skäl 34 till direktivet använder termen ”känsliga kategorier av uppgifter” för att avse uppgifter på områden som exempelvis folkhälsa och socialskydd. Även skäl 70 till direktivet använder termen ”känsliga uppgifter”, dock utan närmare förklaring till vad som avses. 3 Jfr SOU 1997:39 och prop. 1997/98:44. 4Prop. 1973:33 s. 121 f. 5 Jfr SOU 2017:39, avsnitt 10.2.
7.2. Rättsliga förutsättningar
7.2.1. Nuvarande reglering
Utgångspunkten i det nuvarande dataskyddsdirektivet är enligt artikel 8.1 att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
I artikel 8.2–8.4 finns det sedan undantag från förbudet att behandla känsliga personuppgifter. Artikel 8.2 a innehåller ett undantag för när den registrerade lämnat sitt uttryckliga samtycke till sådan behandling utom när det enligt medlemsstatens lagstiftning anges att förbudet inte kan upphävas genom den registrerades samtycke. Artikel 8.4 tillåter medlemsstaterna att besluta om andra undantag under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. Att kunna genomföra samhällsintressant forskning anses utgöra ett sådant viktigt allmänt intresse.6
När dataskyddsdirektivet infördes i svensk rätt genom personuppgiftslagen (1998:204) fanns inte någon reglerad verksamhet med etikprövningsnämnder. Enligt den ursprungliga lydelsen av 19 § personuppgiftslagen fick känsliga personuppgifter behandlas för forsknings- och statistikändamål, om behandlingen var nödvändig på sätt som sägs i 10 § samma lag och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingick klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Det infördes en legaldefinition av forskningsetikkommitté i personuppgiftslagen, vilken anknöt till ett existerande system för forskningsetisk granskning.7Bestämmelsen i 19 § personuppgiftslagen utformades så att det fanns en presumtion för att ett godkännande av personuppgiftsbehandlingen från en sådan kommitté också innebar att samhällsintresset av forskningsprojektet klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära (avvägningsnormen).
Enligt 9 § fjärde stycket personuppgiftslagen fick (och får) personuppgifter som behandlas för bl.a. vetenskapliga ändamål användas
6Prop. 1997/98:44 s. 68. 7 A.a. s. 71.
för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt förarbetena till personuppgiftslagen utgjorde denna regel en sådan skyddsåtgärd som avsågs i direktivets artikel 8.4. Även befintliga regler om sekretess och tystnadsplikt ansågs utgöra lämpliga skyddsåtgärder.8
Det system som reglerades i den ursprungliga lydelsen av 19 § personuppgiftslagen, med en frivillig godkännandeprocess genom en oberoende part i form av en forskningsetisk kommitté, benämndes dock inte i detta skede uttryckligen som en skyddsåtgärd i direktivets mening. Enligt förarbetena till personuppgiftslagen var det i första hand den personuppgiftsansvarige som hade att på eget ansvar tillämpa avvägningsnormen.9 I de fall där granskning av en forskningsetisk kommitté inte kommit till stånd infördes i stället ett krav i personuppgiftsförordningen (1998:1191) att behandlingen måste anmälas för förhandskontroll till Datainspektionen senast tre veckor i förväg.10
För undantag från förbudet att behandla känsliga personuppgifter för forskningsändamål krävdes vidare att behandlingen skulle vara nödvändig enligt 10 § personuppgiftslagen. Nödvändighetskravet i 10 § går ut på att behandlingen ska vara nödvändig för att t.ex. en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan utgöra ett sådant allmänt intresse.11
I samband med inrättandet av etikprövningsnämndsinstitutet och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ändrades reglerna i 19 § personuppgiftslagen på så sätt att känsliga personuppgifter får behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen. Därmed försvann forskarens möjlighet att själv tillämpa avvägningsnormen.12
Genom en senare lagändring innefattades även behandling av känsliga personuppgifter för forskningsändamål med den registrerades samtycke i etikprövningslagens tillämpningsområde. Det faktum att personerna själva hade haft möjlighet att ta ställning till behand-
8Prop. 1997/98:44 s. 68. 9 A.a. s. 127. 10Prop. 2002/03:50 s. 62. 11SOU 1997:39 s. 296 samt prop. 1997/98:44 s. 68 och 124. 12Prop. 2002/03:50 s. 173.
lingen av personuppgifterna utgjorde enligt regeringens bedömning inte tillräcklig grund för att undandra forskningen från den kontroll som en etikprövning innebar.13
Rättspraxis
Frågan om behandling av känsliga personuppgifter för just forskningsändamål, och följdfrågor om lämpliga skyddsåtgärder, har inte varit föremål för domstolsavgöranden i högre instanser. Praxis från EU-domstolen ger dock viss vägledning i hur begreppet känsliga personuppgifter ska tolkas.14
I mål C-101/01 (konfirmandlärarmålet) klargjordes bl.a. att uttrycket ”uppgifter som rör hälsa” ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa, och att en uppgift om att en person har skadat sin fot och är halvt sjukskriven utgör en personuppgift om hälsa.
I mål T-190/10 uttalade domstolen att ett påstående om att en person arbetat för en viss europaparlamentsledamot inte visats avslöja denna persons politiska åsikter.15 Detta mål rörde inte tillämpningen av det nuvarande dataskyddsdirektivet, utan den förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Bedömningen av huruvida den aktuella uppgiften utgjorde en uppgift om en persons politiska åsikter torde dock vara tillämplig även för det nuvarande dataskyddsdirektivet, utifrån skäl 11–14 i den aktuella förordningen.
I mål F-46/09, som rörde en anställningsansökan till Europaparlamentet, avhandlades bl.a. överföring av medicinska uppgifter till tredje man utan den registrerades samtycke. Domstolen fann att parlamentets intresse av att försäkra sig om att den person som anställs kommer att klara av att utföra de arbetsuppgifter som han eller hon anförtros ska vägas mot hur allvarligt intrånget i den berörda personens rätt till respekt för privatlivet är, och att parlamen-
13Prop. 2007/08:44 s. 24 f. och 51. 14 Då EU-domstolen i sina domskäl förhåller sig till det nuvarande dataskyddsdirektivet så används termen ”särskilda kategorier av personuppgifter”. 15 T-190/10, punkt 101.
tet kunde ha fullgjort sin uppgift på något annat sätt som hade varit mindre kränkande för sökandens grundläggande rättigheter.16
EU-domstolens praxis är inte heltäckande i frågan hur känsliga personuppgifter ska hanteras. Med vägledning från ovanstående kan man dock dra slutsatsen att begreppet, åtminstone vad gäller uppgifter om hälsa, ska ges en vid tolkning, och att man, även med ett legitimt intresse att behandla känsliga personuppgifter, som vid all personuppgiftsbehandling måste överväga möjliga mindre integritetskränkande sätt att tillgodose ett sådant intresse.
7.2.2. Dataskyddsförordningen
Även enligt dataskyddsförordningen är huvudregeln i artikel 9.1 att behandling av känsliga personuppgifter är förbjuden. Från den huvudregeln finns sedan i artikel 9.2 en lång rad undantag, där framför allt 9.2 a, g och j kan vara relevanta för forskningsändamål.
Behandling med stöd av samtycke
Det första av dessa undantag (artikel 9.2 a) anger att behandling får ske om den registrerade lämnat sitt uttryckliga samtycke för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade. I sammanhanget bör uppmärksammas förordningens skäl 43 som, även om det inte är bindande likt artikel 9.2 a,17 understryker att ett samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Se vidare avsnitt 6.4.2.
16 F-46/09, punkt 124–125. 17 Se bilaga 3 för en översiktlig beskrivning av skillnaderna mellan skäl och artiklar.
Nödvändig behandling av hänsyn till ett viktigt allmänt intresse
Ett annat undantag från förbudet att behandla känsliga personuppgifter finns i artikel 9.2 g i dataskyddsförordningen, som möjliggör behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätt eller medlemsstaternas nationella rätt.
Personuppgiftsbehandling för forskningsändamål har vanligen sin rättsliga grund i artikel 6.1 e, eftersom forskning anses vara en uppgift av allmänt intresse. Frågan uppstår därför om behandling av känsliga personuppgifter för forskningsändamål i vissa fall kan anses vara nödvändig av hänsyn till ett viktigt allmänt intresse och därför tillåten med stöd av lagstiftning enligt artikel 9.2 g.
Som redovisats ovan har det nuvarande dataskyddsdirektivet en liknande utformning i artikel 8.4, där behandling av känsliga personuppgifter kan tillåtas med stöd av nationell lagstiftning eller genom beslut av tillsynsmyndigheten, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. Det är med stöd av denna bestämmelse som 19 § personuppgiftslagen har införts.
Med tanke på att det i dataskyddsförordningens artikel 9.2 j finns en mer specialiserad bestämmelse som avser just behandling för bl.a. forskningsändamål gör vi bedömningen att nationell lagstiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål ska anses göra det med stöd av den bestämmelsen, inte artikel 9.2 g. Artikel 9.2 j behandlas i det nedanstående. Det bör dock understrykas att bägge dessa bestämmelser ställer upp samma funktionella krav på sådan nationell lagstiftning.
Nödvändig behandling för forskningsändamål
För forskning finns som ovan redovisats ett ytterligare undantag av betydelse i artikel 9.2 j, som anger att förbudet mot behandling av känsliga personuppgifter inte gäller om behandlingen är nödvändig för bl.a. forskningsändamål och sker i enlighet med artikel 89.1. Behandlingen ska vidare ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Artikel 9.2 j ställer alltså upp en rad
villkor för sådan nationell lagstiftning som kan innehålla undantag från huvudregeln om att behandling av känsliga personuppgifter är förbjuden.
Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Artikeln framhåller vidare pseudonymisering som en sådan åtgärd, och anger att om forskningsändamålen går att uppfylla utan uppgifter som medger identifiering av de registrerade så ska dessa ändamål uppfyllas på det sättet. Uppgifter som inte medger identifiering får enligt utredningen anses vara samma typ av information som i skäl 26 omnämns ”anonym information”, och omfattas alltså inte av förordningen.
Det är en förutsättning för laglig behandling av känsliga personuppgifter för forskningsändamål att det föreligger ett giltigt undantag enligt artikel 9.2 j, och att behandlingen även omfattas av sådana skyddsåtgärder m.m. som krävs enligt artikel 89.1. Behandlingen måste, som all personuppgiftsbehandling för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5,18 och det måste finnas en rättslig grund för behandlingen enligt artikel 6.
7.2.3. Dataskyddsutredningens förslag
Av utredningens direktiv framgår bl.a. följande:
Som nämnts tidigare finns det i personuppgiftslagen vissa undantagsbestämmelser från förbudet mot att behandla känsliga personuppgifter. […] I direktiven för Dataskyddsutredningen (dir. 2016:15) konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgiftslagen. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.19
18 För bl.a. forskningsändamål finns dock vissa undantag vad gäller principerna om ändamålsbegränsning och lagringsminimering. 19 Dir 2016:65, s. 10 f.
Dataskyddsförordningens krav på stöd i nationell rätt samt samtycke
Dataskyddsutredningen föreslår i den generella regleringen, angående undantag från förbudet att behandla känsliga personuppgifter, i huvudsak följande. Förordningens krav på stöd i nationell rätt20bör tolkas som att vissa av undantagen i sig ska föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Detta särskilt utifrån skäl 52:
Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta.
Vidare föreslår Dataskyddsutredningen att den registrerades samtycke även fortsättningsvis bör medföra att känsliga personuppgifter får behandlas.
Viktiga allmänna intressen och sökbegrepp som avslöjar känsliga personuppgifter
Angående möjligheten i artikel 9.2 g att göra undantag för viktiga allmänna intressen föreslår Dataskyddsutredningen att ett generellt undantag ska införas som tillåter myndigheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det eller om uppgifter har lämnats till myndigheten och behandlingen krävs enligt annan lag.
Dessutom ska myndigheter få behandla känsliga personuppgifter om behandlingen är absolut nödvändig för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Dock föreslås ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter införas.
Enligt förslaget kommer regeringen att kunna meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.
20 Detta torde främst röra sig om artikel 9.2 b, g, h, i, j samt 9.3.
7.3. Behandling av känsliga personuppgifter
7.3.1. Gränsdragningen mellan känsliga och övriga personuppgifter
Dataskyddsförordningen förutsätter att det går att avgöra om en viss uppgift är känslig eller inte. Om uppgiften avslöjar vissa i artikel 9.1 angivna förhållanden är den känslig och ytterligare reglering i förordningen blir tillämplig. En praktisk svårighet med denna avgränsning är att en viss uppgift, som i isolation inte avslöjar ett sådant förhållande, ändå tillsammans med andra uppgifter sammantaget kan avslöja sådana förhållanden som gör att det är fråga om en känslig uppgift.
Med stora datamängder ökar förstås denna möjlighet. Inte minst möjligheten att göra förutsägelser om en persons förhållanden gör att gränsdragningen mellan vanliga och känsliga uppgifter blir oklar, särskilt i s.k. ”big data”-sammanhang.21
När det gäller frågan om huruvida en viss uppgift alls utgör en personuppgift ska man beakta om den avser en fysisk person som direkt eller indirekt går att identifiera. Detta leder till att en sammanställning av olika uppgifter, som var och en för sig inte utgör personuppgifter, tillsammans ändå kan identifiera en viss fysisk person. Konstellationen av uppgifter utgör därmed personuppgifter.
När det däremot gäller gränsdragningen mellan ”övriga” och känsliga personuppgifter återfinns inte någon skrivning om huruvida uppgiften ”direkt eller indirekt” avslöjar något av de i artikeln angivna förhållandena. I svensk rätt har det dock i flera fall ansetts att uppgifter i kombination har utgjort känsliga personuppgifter.22
Denna svårighet att avgöra om en samling personuppgifter utgör eller kan avslöja känsliga uppgifter kan förväntas vara särskilt relevant i forskningssammanhang, särskilt när forskningen undersöker samband mellan olika variabler.
21 Se särskilt SOU 2016:41, s. 576 ff. 22 Se exempelvis SOU 2001:100 s. 93 (språkkunskaper i kombination med namn kan avslöja etnisk härkomst) och prop. 2008/09:70 s. 142 (passhandlingar innehåller bild som i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung).
7.3.2. Krav på lagstiftning om undantag
Det nuvarande dataskyddsdirektivet innehåller, som framkommit ovan, ingen uttrycklig reglering av undantag från förbudet att behandla känsliga personuppgifter för forskningsändamål. I stället har den svenska regleringen använt sig av möjligheten till undantag enligt artikel 8.4, som förutsätter hänsyn till ett viktigt allmänt intresse, samt lämpliga skyddsåtgärder för att medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten ska få besluta ett sådant undantag.
Dataskyddsförordningen ger däremot en explicit möjlighet till undantag för behandling av känsliga personuppgifter för forskningsändamål i artikel 9.2 j, under förutsättning att behandlingen är nödvändig för forskningsändamål och att den sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Dataskyddsförordningens krav på den nationella lagstiftningen för att motsvarande behandling ska vara tillåten är således betydligt mer detaljerade än det nuvarande dataskyddsdirektivet. Det saknas även möjligheter för tillsynsmyndigheten att i enskilda fall besluta om undantag. Det är därför nödvändigt att göra en förutsättningslös bedömning av vad som krävs för att uppfylla förordningens krav, utan att förlita sig på den nuvarande nationella lagstiftningens förenlighet med nuvarande dataskyddsdirektiv.
Krav i artikel 9.2 j i dataskyddsförordningen
Artikel 9.2 har i relevanta delar följande lydelse:
2. Punkt 1 ska inte tillämpas om något av följande gäller: […]
j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Första delen av vår bedömning utgår från hur artikel 9.2 j är formulerad, och går igenom varje led i den formuleringen för sig. Varje underrubrik i det följande motsvarar ett led i artikel 9.2 j.
Behandlingen är nödvändig
Begreppet ”nödvändig” i det nuvarande dataskyddsdirektivet har tolkats som att det, för att en behandling ska anses nödvändig, inte krävs att det ska vara faktiskt omöjligt att underlåta behandlingen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna.23 Begreppets användning i dataskyddsförordningens artikel 6.1 har analyserats i avsnitt 5.2.2. Utredningen har inte funnit något som tyder på att begreppet ska tolkas annorlunda i det nu aktuella sammanhanget. Det torde således inte finnas någon anledning att anta att begreppet skulle ha någon annan innebörd i dataskyddsförordningen.
För vetenskapliga eller historiska forskningsändamål
En utgångspunkt för bedömningen av vad som utgör forskningsändamål är skäl 159 i dataskyddsförordningen, som bl.a. anger att behandling av personuppgifter för vetenskapliga forskningsändamål i denna förordning bör ges en vid tolkning. För utredningens bedömning av vad som utgör forskningsändamål hänvisas till kapitel 3 om begreppen forskning och forskningsändamål.
På grundval av unionsrätten eller medlemsstaternas nationella rätt
Med ”medlemsstaternas nationella rätt” bedömer vi, i enlighet med Dataskyddsutredningen, att detta kräver att undantagen föreskrivs i nationell rätt (jfr skäl 52).
Som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd
Dessa kriterier torde inte ha någon självständig betydelse, utan utgör just en allmän påminnelse om proportionalitetsprincipen samt att nationell rätt måste vara förenlig med unionsrätten och vikten av detta i bedömningen av undantag reglerade i nationell rätt. Frågan om den föreslagna regleringens proportionalitet behandlas i kapitel 13.
Samt innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen
Ett föreskrivet undantag från huvudregeln att behandling av känsliga personuppgifter är förbjuden måste förses med skyddsåtgärder. Av artikelns sista led följer att dessa skyddsåtgärder måste föreskrivas i unionsrätten eller i den nationella rätten. Den enda skyddsåtgärd som regleras i dataskyddsförordningen i någon närmare utsträckning är pseudonymisering, som definieras i artikel 4.5.
Med åtgärder kan förstås såväl tekniska som organisatoriska åtgärder samt det som vi betecknar som rättsliga skyddsåtgärder, exempelvis lagkrav på etikprövning eller sekretessbestämmelser. Eftersom kravet är att åtgärderna ska finnas reglerade i författning är utgångspunkten att det är fråga om åtgärder i form av sådana rättsliga skyddsåtgärder, men att dessa i sin tur kan medföra krav på tekniska och organisatoriska åtgärder. Dessa åtgärder behandlas mer ingående i kapitel 12.
Krav i artikel 89.1
Artikel 89.1 har följande lydelse:
1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
De skyddsåtgärder som krävs av artikel 89.1 behöver enligt artikelns lydelse inte införas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.
Kravet på skyddsåtgärder gäller behandling av alla kategorier av personuppgifter för forskningsändamål, inte bara känsliga personuppgifter. Att det dessutom finns en hänvisning till dessa krav från artikel 9.2 j torde inte ha en självständig betydelse, utan i stället utgöra en påminnelse om att dessa krav är grundläggande för all personuppgiftsbehandling för forskningsändamål. Varje underrubrik i det följande motsvarar ett led i artikel 89.1.
Behandling ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter
Kraven på skyddsåtgärderna är i första hand att de ska vara lämpliga, och att de är till just för att skydda den registrerades grundläggande rättigheter och friheter. I detta sammanhang kan då särskilt uppmärksammas att vissa specifika rättigheter i artiklarna 15–18 samt 21 kan inskränkas just för forskningsändamål, enligt artiklarna 89.2 samt 17.3 d. Undantagen får dock inte medföra att lämpliga skyddsåtgärder inte tillämpas.
Vad gäller lämplighetsbedömningen ställer artikel 32.1 upp ett antal kriterier för säkerställande av lämplig säkerhetsnivå, bl.a. utifrån de risker som behandlingen medför. Dessa behandlas närmare i kapitel 12.
Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas
Principen om uppgiftsminimering framgår av artikel 5.1 c och fastställer att uppgifter som inte behöver behandlas för det definierade ändamålet inte heller ska behandlas. Det framgår även vidare av artikel 25.2 att den personuppgiftsansvarige generellt ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. I forsknings-
sammanhang kan det emellertid vara svårt att på förhand avgränsa den mängd uppgifter som är adekvata och relevanta. I sammanhanget bör påpekas att det för bl.a. forskningsändamål går att göra undantag från den närliggande principen om lagringsminimering enligt artikel 5.1 e, under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs.
Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet
Detta krav framhåller pseudonymisering som skyddsåtgärd på ett sådant sätt att det finns anledning att i nationell reglering särskilt föreskriva att pseudonymisering ska övervägas. Meningens andra led tydliggör dock att pseudonymisering inte behöver användas om forskningsändamålet inte kan uppfyllas med en sådan skyddsåtgärd. I avsnitt 12.3.3 beskrivs pseudonymisering närmare, bl.a. i vilka fall användandet av denna skyddsåtgärd kan försvåra eller omöjliggöra forskning.
När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet
Det avslutande kravet i artikel 89.1 får anses vara en påminnelse om nödvändighetskravet i artikel 6.1 e och 9.2 j, eftersom behandlingen av personuppgifter inte kan anses nödvändig om ändamålet kan uppnås med uppgifter som inte längre medger identifiering.
När forskningsändamålet kan uppnås genom behandling av uppgifter som inte längre medger identifiering är det, enligt skäl 26, fråga om anonym information, och alltså inte längre fråga om personuppgiftsbehandling. I sammanhanget kan uppmärksammas att artikel 89.1 är det enda stället i förordningen där ”further processing” översätts med ”vidare behandling” i den svenska versionen. I övriga delar av förordningen översätts samma uttryck med ”ytterligare behandling” (jfr exempelvis artikel 5.1 b).
7.4. Överväganden och förslag
7.4.1. Tillåten behandling av känsliga personuppgifter
Utredningens förslag: En bestämmelse ska införas i forsknings-
datalagen som anger att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor.
Som framgått behövs det kompletterande reglering i nationell rätt för att behandling av känsliga personuppgifter för forskningsändamål ska vara möjlig.
Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan behandling när denna är nödvändig för att uppnå ändamålet. Med nödvändig behandling avses detsamma som i dataskyddsförordningens artikel 9.2 j.
Dataskyddsförordningen anger vidare att sådan nationell reglering ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Utredningens bedömning av lämplig och särskild skyddsåtgärd för behandling av känsliga personuppgifter för forskningsändamål behandlas i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehandling för forskningsändamål.
7.5. Sammanfattning
I detta avsnitt har vi behandlat känsliga personuppgifter, dess betydelse i forskningssammanhang och dataskyddsförordningens krav på lagstiftning som tillåter behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en generell tillåtlighetsregel när känsliga personuppgifter behandlas för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.
8. Personuppgifter om lagöverträdelser m.m.
8.1. Inledning
I artikel 10 i dataskyddsförordningen (EU 2016/679) regleras ”personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Motsvarande term i det nuvarande dataskyddsdirektivet (95/46/EG) finns i artikel 8.5 och lyder ”uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder”. Det framgår inte om någon saklig skillnad är avsedd i förordningen jämfört med direktivet. Skillnaden i de engelska språkversionerna är ännu mindre, ”personal data relating to criminal convictions and offences or related security measures” respektive ”data relating to offences, criminal convictions or security measures”. Sverige har lämnat in en begäran om rättelse av den svenska språkversionen av dataskyddsförordningen till rådet, där “överträdelser” föreslås ersättas av “lagöverträdelser som innefattar brott”. Någon rättelse har i nuläget inte skett.
Dataskyddsdirektivets bestämmelser har genomförts genom 21 § personuppgiftslagen (1998:204), som under rubriken ”Uppgifter om lagöverträdelser m.m.” anger ”personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden”.
Vi har i det nedanstående valt att använda oss av en förtydligande variant av den beteckning som används i personuppgiftslagen, nämligen ”personuppgifter om lagöverträdelser m.m.”
Vad gäller den nuvarande svenska regleringen infördes ”administrativa frihetsberövanden” i begreppet med stöd av direktivets möjlighet i artikel 8.5 för medlemsstater att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också
ska behandlas under kontroll av en myndighet. Vi återkommer nedan till vilket utrymme förordningen ger för en liknande reglering.
8.2. Rättsliga förutsättningar
8.2.1. Nuvarande reglering
Behandling av personuppgifter om lagöverträdelser m.m. regleras i dag i 21 § personuppgiftslagen, som har följande lydelse:
Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.
När dataskyddsdirektivet införlivades i svensk rätt genom personuppgiftslagen fanns det ursprungligen en möjlighet när det gällde behandling av känsliga personuppgifter för forskningsändamål för forskare att själva tillämpa en avvägning mellan värdet av forskningen och intrånget i den enskildes integritet (avvägningsnormen). Känsliga personuppgifter fick behandlas för forsknings- och statistikändamål, om behandlingen var nödvändig på sätt som sägs i 10 § personuppgiftslagen och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart vägde över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kunde innebära. Hade behandlingen godkänts av en forskningsetikkommitté skulle de angivna förutsättningarna anses vara uppfyllda. Motsvarande möjlighet fanns inte för uppgifter om lagöverträdelser m.m., utan i stället infördes ett bemyndigande för regering och tillsynsmyndighet att meddela undantag från förbudet för andra än myndigheter att behandla sådana uppgifter, antingen i föreskriftsform eller
genom beslut om enskilda behandlingar.1 Lagens förarbeten tog inte upp frågan om behandling av sådana uppgifter för forskningsändamål.
Någon förändring ägde inte rum i samband med att etikprövning infördes vad gäller personuppgiftslagens reglering för personuppgifter om lagöverträdelser m.m. För känsliga personuppgifter ändrades regleringen så att ett godkännande enligt etikprövningslagen i sig utgjorde tillräcklig grund för att behandla sådana uppgifter. Däremot innehöll den nya etikprövningslagen en bestämmelse i 3 § som angav att lagen var tillämplig på uppgifter om lagöverträdelser m.m. För att behandla sådana uppgifter för forskningsändamål utan den registrerades samtycke krävdes därmed dels ett tillämpligt undantag meddelat av regeringen eller tillsynsmyndigheten, dels ett godkännande enligt etikprövningslagen.2
När etikprövningslagen ändrades år 2008 infördes en bestämmelse i 21 § personuppgiftslagen som tog bort dessa dubbla krav och innebar att personuppgifter om lagöverträdelser m.m. fick behandlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen.3 Detta motiverades av att forskningshuvudmän som inte är myndigheter inte skulle behöva såväl beslut av regering eller tillsynsmyndighet om undantag som godkännande från etikprövningsnämnd. I sammanhanget uttalades även att etikprövning fick anses uppfylla direktivets krav på tillräckliga skyddsåtgärder, och att det därför inte också behövdes ett särskilt undantagsbeslut från regering eller tillsynsmyndighet.4
Rättspraxis
EU-domstolen har inte särskilt behandlat dataskyddsdirektivets artikel 8.5. Svenska domstolar har i några fall berört frågor om behandling av uppgifter om lagöverträdelser m.m. I HFD 2014:32 rörde frågan domstols publicering av uppropslistor i bl.a. brottmål på internet. I NJA 2015 s. 180 var fråga om privat behandling av uppgifter om brott. Slutligen berördes i HFD 2016:8 tillsynsmyndig-
1Prop. 1997/98:44 s. 73 f. 2Prop. 2002/03:50 s. 102 och 112. 3 Lag (2008:187) om ändring i personuppgiftslagen (1998:204). 4SOU 2005:78 s. 70 f. (det är dock värt att notera att direktivet ställer kravet att skyddsåtgärder ska vara ”lämpliga och särskilda”, inte ”tillräckliga”).
hetens möjlighet att meddela undantag från förbud att behandla uppgifter om lagöverträdelser. Inget av dessa mål tar dock särskilt sikte på behandling av uppgifter om lagbrott för just forskningsändamål. Sammanfattningsvis har svenska domstolar tolkat det tillåtna utrymmet för behandling av uppgifter om lagöverträdelser m.m. relativt snävt.
8.2.2. Dataskyddsförordningen
Personuppgifter om lagöverträdelser m.m. regleras i dataskyddsförordningens artikel 10, som har följande lydelse:
Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Skäl 97 i dataskyddsförordningen anger bl.a. att när den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning.
Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling för forskningsändamål är möjliga i nationell lagstiftning, precis som alla andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda.
Behandlingen måste dock alltjämt, som vid all behandling av personuppgifter för forskningsändamål, uppfylla samtliga allmänna principer som följer av artikel 5, och det måste finnas en rättslig grund för behandlingen enligt artikel 6.
En viktig begränsning av dataskyddsförordningens definition, jämfört med det nuvarande dataskyddsdirektivet, är att endast fällande domar i brottmål omfattas. Friande domar i brottmål faller
därmed utanför definitionen. I praktiken synes det dock vanskligt att dra en sådan gräns. Uppgifter som förekommer i en friande brottmålsdom kan ofta fortfarande utgöra uppgifter om överträdelser, exempelvis i de fallen där den friande domen bygger på att preskription inträtt.
Dataskyddsdirektivet inkluderar ”lagöverträdelser” i definitionen, medan dataskyddsförordningen endast hänvisar till ”överträdelser”. Någon förändring i sak torde dock inte vara avsedd.5 I svensk rätt har faktiska iakttagelser av en persons handlande inte ansetts utgöra uppgifter om lagöverträdelser,6 men däremot uppgifter om misstankar i de fall som ligger nära faktiska iakttagelser.7
För att forskningsaktörer som inte är myndigheter alls ska kunna behandla uppgifter om lagöverträdelser m.m. för forskningsändamål måste alltså detta tillåtas i unionsrätten eller nationell rätt.
8.2.3. Regleringen i 2016 års dataskyddsdirektiv
Personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten är undantagna från dataskyddsförordningens tillämpningsområde.8 För sådan behandling är i stället 2016 års dataskyddsdirektiv tillämpligt.9 Direktivet får betydelse för forskningen eftersom det kommer vara direktivet som styr hur dessa myndigheter får lämna ut uppgifter för forskningsändamål. Den utredning (Ju 2016:06) som tillsattes för att föreslå hur detta direktiv ska genomföras i svensk rätt har bl.a. haft i uppdrag att lämna förslag till en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde.10 Utredningen överlämnade betänkandet Brottsdatalag (SOU 2017:29) till regeringen den 5 april 2017.
5SOU 2017:39 avsnitt 11.3. 6SOU 1997:39 s. 380. 7 Datainspektionens beslut 2005-08-30, dnr 1020-2005 och 2011-05-11, dnr 1563-2010, se även HFD 2016:8. 8 Se artikel 2.2 d i dataskyddsförordningen. 9 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 10 Dir. 2016:21.
8.2.4. Dataskyddsutredningens förslag
Av våra direktiv framgår bl.a. följande:
Dataskyddsutredningen har i uppdrag att analysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.11
Dataskyddsutredningen har gjort bedömningen att den möjlighet för regering eller tillsynsmyndighet att meddela undantag från förbudet att behandla uppgifter om lagöverträdelser m.m. som i dag finns i 21 § tredje och fjärde stycket personuppgiftslagen ska kvarstå.
Dataskyddsutredningen har vidare gjort bedömningen att det inte finns stöd i förordningen för att föreskriva ett förbud för andra än myndigheter mot behandling av personuppgifter om administrativa frihetsberövanden. Sådana uppgifter ingår i dag i tillämpningsområdet för 21 § personuppgiftslagen.
8.3. Kraven på behandlingen och lagstiftningen
Vi analyserar i denna del de krav som framställs i dataskyddsförordningens artikel 10, led för led. Varje underrubrik i det följande motsvarar ett led i artikel 10.
Får endast utföras under kontroll av myndighet
I förarbetena till motsvarande bestämmelser i personuppgiftslagen uttalades bl.a. att myndigheter mycket ofta behöver hantera uppgifter om lagöverträdelser m.m. för att kunna fullgöra de samhällsuppdrag som lagts på dem, och att myndigheter får hantera denna typ av uppgifter i sådan mån som framgår av de föreskrifter som reglerar respektive myndighets verksamhet.12 Det framgår inte från förordningen att tillåten behandling är begränsad till behandling i samband med myndighetsutövning. Vår bedömning är därför att behandling även för forskningsändamål under kontroll av myndighet kan falla in under tillåten behandling enligt huvudregeln. Som alltid gäller dock att kraven i både artikel 5 och 6 måste vara uppfyllda.
11 Dir. 2016:65 s. 11. 12SOU 1997:39 s. 382.
Eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt
Motsvarande reglering finns i artikel 8.5 i nuvarande dataskyddsdirektivet, men direktivet ger endast möjlighet att föreskriva tillåten behandling i nationell rätt.
Där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Motsvarande formulering i artikel 8.5 i dataskyddsdirektivet är ”som innehåller lämpliga och specifika skyddsåtgärder”. Det framgår inte om ändringen från ”lämpliga och specifika” till endast ”lämpliga” är avsedd att utgöra någon reell skillnad. Frågan om direktivets ramar för undantag utreddes inte särskilt inför införandet av personuppgiftslagen.13
Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet
Begränsningen av möjligheten till undantag vad gäller förbudet för annan än myndighet att föra fullständigt register över fällande domar i brottmål är i princip oförändrat jämfört med nuvarande dataskyddsdirektiv.14 Det framgår inte på vilket sätt ett register kan vara fullständigt – är ett register som har fällande brottmålsdomar för samtliga domstolar i medlemsstaten under en begränsad tidsperiod ”fullständigt” i förordningens betydelse, eller hur mycket historisk information krävs? Är ett register över samtliga överinstansers fällande brottmålsdomar fullständigt, eller krävs även samtliga underinstanser? Vad gäller svenska förhållanden finns ingen myndighet som har ett fullständigt register om man kräver fullständighet både vad gäller tidsperioder och instanser. Däremot strävar flera kommersiella rättsinformationsdatabaser efter att erbjuda samtliga domar.15
13SOU 1997:39 s. 381. 14 Lydelsen i artikel 8.5 i nuvarande dataskyddsdirektiv är ”Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet” – jämfört med artikel 10 i dataskyddsförordningen har endast ordet ”dock” strukits. 15 Pressmeddelande från InfoTorg: ”Förutom att tjänsten innehåller samtliga domar från de högsta instanserna samt hovrätts- och kammarrättsavgöranden kommer InfoTorg Juridik att under våren 2012 utökas med fler domar från tingsrätterna. Vi får en totalteckning på även brott- och tvistemål vilket är mycket efterfrågat.”, www3.infotorg.se/Kampanjer/Forbattringar-i-InfoTorg-Juridik-2012/
I sammanhanget kan även uppmärksammas ”Rådets slutsatser om uppmaning att införa European Case Law Identifier (ECLI) och en minimiuppsättning enhetliga metadata för rättspraxis”,16som bl.a. förordar att ett gemensamt gränssnitt i den europeiska e-juridikportalen införs, och att det via detta gränssnitt ska vara möjligt att göra alla medlemsstaternas tillhandahållna rättsliga avgöranden sökbara.17
8.4. Överväganden och förslag
Utredningens förslag: En bestämmelse ska införas i forsknings-
datalagen som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen om etikprövning av forskning som avser människor.
Som framgått behövs kompletterande reglering i nationell rätt för att behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål av andra än myndigheter ska vara möjlig.
Utredningen föreslår därför en bestämmelse i forskningsdatalagen som tillåter sådan behandling när denna är nödvändig för att uppnå forskningsändamålet. Artikel 10 innehåller inte något krav på att behandlingen ska vara nödvändig, detta följer dock av artikel 6.1 e.
Sådan reglering ska vidare innehålla bestämmelser om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Utredningens bedömning av lämplig skyddsåtgärd för behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål behandlas i avsnitt 14.3 i kapitlet om etikprövning av personuppgiftsbehandling för forskningsändamål.
Tillämpningsområdet för artikel 10 är, som ovan beskrivits, snävare än för nuvarande reglering i 21 § personuppgiftslagen.
16 Detta inkluderar bl.a. uppgifter om domstolens fullständiga namn, territoriell behörighet, avgörandedatum, språk, och typen av avgörande. 17 EUT C 127, 29.4.2011, s. 1–7, punkt 17.
Framför allt faller friande domar i brottmål samt uppgifter om administrativa frihetsberövanden utanför tillämpningsområdet för artikel 10. Att i vår kompletterande reglering till dataskyddsförordningen använda tillämpningsområdet för artikel 10 innebär att behandling av vissa personuppgifter som i dag omfattas av särskilda skyddsåtgärder enligt 21 § personuppgiftslagen inte är förenade med samma skydd. Vi anser inte att en sådan försämring av den registrerades skydd är befogat, även med beaktande av intresset av en harmoniserad reglering av persondataskyddet. Vi anser vidare att det går att införa krav på sådana särskilda skyddsåtgärder även för behandling av uppgifter som faller utanför tillämpningsområdet för artikel 10, med stöd av nationell rätt i form av etikprövningslagen, se utredningens överväganden och förslag i avsnitt 14.4.5.
8.5. Sammanfattning
I detta avsnitt har vi behandlat personuppgifter om lagöverträdelser m.m., hur detta begrepp har förändrats gentemot dagens reglering, och vilka förutsättningar som gäller för forskning som innefattar behandling av sådana personuppgifter. Vi har därefter lämnat ett förslag på en tillåtlighetsregel när sådana personuppgifter behandlas av andra än myndigheter för forskningsändamål. Vad gäller den huvudsakliga skyddsåtgärd som i dessa fall ska tillämpas beskrivs den närmare i kapitel 14.
9. Personnummer och samordningsnummer
9.1. Inledning
Personnummer eller samordningsnummer utgör formellt sett inte känsliga personuppgifter, men har ända sedan datalagen (1973:289) specialreglerats i samband med personuppgiftsbehandling. Regeringen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samkörning av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.1
För forskningens behov har personnummersystemet möjliggjort inte minst avancerad registerforskning med exempelvis insamlat forskningsmaterial, som tack vare personnummer kan kombineras med information från myndighetsregister, och historiska uppgifter som kan användas för nytillkomna frågeställningar med tillförande av ny information insamlad från de registrerade. Viktiga frågeställningar kan därmed belysas snabbt och kostnadseffektivt med hjälp av redan insamlat material.2 Samtidigt har det utvecklats en praxis som innebär att personnummerhantering omgärdas av omfattande skyddsåtgärder, med registerhållande myndigheter som ofta undviker att lämna ut personnummer direkt till forskare, för att i stället ersätta dessa med exempelvis löpnummer eller andra identifierare som inte kan härledas till personnumret.
9.2. Rättsliga förutsättningar
9.2.1. Nuvarande reglering
Det nuvarande dataskyddsdirektivet (95/46/EG) innehåller inte några regler om personnummer eller samordningsnummer som är tvingande för medlemsstaterna. Artikel 8.7 i dataskyddsdirektivet anger dock att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller andra vedertagna identifierare får behandlas.
Artikel 8.7 har genomförts genom 22 § personuppgiftslagen (1998:204), som anger att personnummer eller samordningsnummer endast får behandlas med samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Regeringen har i 50 § c samma lag bemyndigats att meddela närmare föreskrifter om hur och när personnummer eller samordningsnummer får behandlas.
Det saknas särskild reglering kring behandling av personnummer för just forskningsändamål. Personnummer är inte heller en kategori av uppgifter som enligt 3 § lagen (2003: 460) om etikprövning av forskning som avser människor (etikprövningslagen) medför särskilt krav på etikprövning när personuppgifter behandlas för forskningsändamål.
9.2.2. Dataskyddsförordningen
Artikel 87 i dataskyddsförordningen (EU 2016/679) motsvarar artikel 8.7 i det nuvarande dataskyddsdirektivet och anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Sådana uppgifter får i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder.
9.2.3. Dataskyddsutredningens förslag
Dataskyddsutredningen föreslår en generell reglering som motsvarar dagens bestämmelse i personuppgiftslagen, med identiska kriterier för när personnummer och samordningsnummer får behandlas.
Dataskyddsutredningen föreslår även att regeringen ska bemyndigas att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten, vilket även det motsvarar det bemyndigande som återfinns i personuppgiftslagen.3
9.3. Överväganden
Den reglering som Dataskyddsutredningen föreslår innehåller samma direkt tillämpliga villkor som återfinns i gällande lagstiftning. Dessa villkor torde vara uppfyllda i vissa forskningssammanhang.
Den föreslagna regleringen innehåller, likt den nuvarande, ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om i vilka fall användning av personnummer är tillåten. Datainspektionen har tidigare inte meddelat sådana föreskrifter, men regeringen har i förordningsform beslutat vissa registerförfattningar som särskilt anger att personnummer får behandlas.
Vi gör bedömningen att rättsläget för användning av personnummer för forskningsändamål inte ändras i och med Dataskyddsutredningens föreslagna bestämmelser. Jämfört med i dag är det samma villkor som ska uppfyllas för att behandling av personnummer ska vara tillåten, och regeringen samt tillsynsmyndigheten har samma möjligheter som tidigare att meddela specialreglering i form av registerförfattningar eller för vissa typer av behandlingar. Något behov av ytterligare kompletterande nationell reglering finns därmed inte.
9.4. Sammanfattning
Beroende på forskningens inriktning och metodik kan behandling av personnummer vara central. Samtidigt har behandling av personnummer sedan länge betraktats som något som om möjligt bör undvikas av integritetshänsyn.
Utredningen anser att den reglering som Dataskyddsutredningen föreslår, och som väsentligen överensstämmer med dagens
3SOU 2017:39 avsnitt 12.4.
reglering, är ändamålsenlig och att de villkor som ställs upp för när behandling av personnummer är tillåten även stämmer överens med forskningens generella behov.
Utredningen finner därför inte något behov av att föreslå kompletterande lagstiftning i denna del.
10. Vissa begränsningar av registrerades rättigheter
10.1. Inledning
I tredje kapitlet (artiklarna 12–23) i dataskyddsförordningen (EU 2016/679) anges den registrerades rättigheter i samband med att personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas.
Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstiftningen eller medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1.
10.1.1. Utredningens uppdrag
Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehandling för forskningsändamål ger goda förutsättningar för forskningen, samtidigt som den registrerades fri- och rättigheter beaktas. Detta för att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.
Utredningen har mot denna bakgrund i uppdrag att analysera om det, utöver den generella reglering på nationell nivå som Dataskyddsutredningen (Ju 2016:04) föreslår, finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för forskningsändamål och hur sådana undantag i så fall bör utformas.
10.1.2. Dataskyddsutredningens förslag
Dataskyddsutredningen föreslår undantag från registrerades rättigheter med stöd av två olika artiklar i dataskyddsförordningen.
För det första har Dataskyddsutredningen analyserat behovet av att göra undantag i syfte att säkerställa vissa särskilt viktiga intressen i enlighet med artikel 23.1. Det rör sig om undantag för den nationella säkerheten (punkt a), försvaret (punkt b), den allmänna säkerheten (punkt c), åtgärder med anknytning till brottsbekämpning (punkt d), viktiga mål av generellt allmänt intresse (punkt e), skydd av rättsväsendet (punkt f), etiska regler för lagreglerade yrken (punkt g), vissa tillsyns-, inspektions- eller regleringsfunktioner (punkt h), skydd av den registrerades eller andras rättigheter och friheter (punkt i) samt verkställighet av civilrättsliga krav (punkt j).
Med stöd av ovanstående föreslår Dataskyddsutredningen generella undantag från rätten till tillgång för uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade, att rätten till registerutdrag inte ska omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning (med vissa undantag), samt att regeringen ska bemyndigas att meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter.1
För det andra har Dataskyddsutredningen analyserat behovet av undantag från registrerades rättigheter enligt artikel 89.2 och 89.3 när personuppgifter behandlas för statistiska ändamål respektive arkivändamål av allmänt intresse.
Vad gäller behandling för statistiska ändamål finner Dataskyddsutredningen att det inte bör införas något generellt undantag från registrerades rättigheter, samt uttalar att vid behov, och om det bedöms vara lämpligt, bör sådana undantag i stället införas i sektorsspecifika författningar.
Vad gäller behandling för arkivändamål föreslår Dataskyddsutredningen att rätten till s.k. registerutdrag inte heller i fortsättningen bör omfatta personuppgifter i arkivmaterial som tagits emot för förvaring av Riksarkivet eller andra arkivmyndigheter, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna sådan information. Vidare föreslår man
1SOU 2017:39 avsnitt 13.4.
att en arkivmyndighet inte ska behöva rätta eller komplettera personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, eller behöva begränsa behandlingen av personuppgifterna. Slutligen föreslår man att rätten att göra invändningar inte ska gälla vid arkivmyndigheters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.2 Dataskyddsutredningen föreslår att dessa undantag från registrerades rättigheter införs i svensk lagstiftning med stöd av artikel 89.3.
10.2. Rättsliga förutsättningar
Detta avsnitt inleds med en översikt över i vilken utsträckning det är möjligt att i nationell rätt göra undantag från de rättigheter som enligt dataskyddsförordningens tredje kapitel tillkommer de registrerade. Dessa motsvarar till stor del de rättigheter som anges i det nuvarande dataskyddsdirektivet (95/46/EG) samt personuppgiftslagen (1998:204).
Vad gäller just behandling för forskningsändamål finns grunden för undantag i bl.a. nationell lagstiftning i artikel 89.2 i dataskyddsförordningen, som ger en möjlighet att göra undantag i vissa, uppräknade, rättigheter. Även i det nuvarande dataskyddsdirektivet och i personuppgiftslagen finns möjligheten att göra undantag från dessa rättigheter för bl.a. forskningsändamål.
Avsnittet avslutas med en genomgång av vilka direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter som följer direkt av dataskyddsförordningen.
10.2.1. Möjligheter att göra undantag från vissa rättigheter i nationell rätt
De rättigheter som omfattas av möjligheten till undantag i nationell rätt genom artikel 89.2 i dataskyddsförordningen är följande.
- Rätt till tillgång (tidigare ofta kallad rätt till registerutdrag). Enligt artikel 15 har den enskilde rätt att få veta om den personuppgiftsansvarige behandlar uppgifter om den enskilde, och i så fall vilka uppgifter som behandlas, samt annan information om behandlingen.
2SOU 2017:39 avsnitt 14.4.5.
- Rätt till rättelse. Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter rättade, och även att få ofullständiga personuppgifter kompletterade.
- Rätt till begränsning av behandling (motsvarar vad som tidigare kallats blockering). Enligt artikel 18 har den registrerade i vissa uppräknade situationer rätt att begära att behandlingen av dennes uppgifter begränsas. Enligt artikel 4.3 avses med uttrycket ”begränsning av behandling” att lagrade personuppgifter markeras med syftet att begränsa behandlingen av dessa i framtiden.3
- Rätt att göra invändningar. Enligt artikel 21 har den registrerade rätt att göra invändningar mot behandling av dennes personuppgifter på vissa rättsliga grunder, bl.a. allmänt intresse, av skäl som hänför sig till den registrerades specifika situation.
Undantag från dessa rättigheter får enligt artikel 89.2 endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.
Även vissa av de övriga rättigheterna kan påverkas av regler i nationell rätt. Den rätt till information som den registrerade har när personuppgifterna inte erhållits från denne enligt artikel 14 ska inte tillämpas i den mån erhållande eller utlämnande av uppgifter föreskrivs i bl.a. nationell rätt, eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt (inbegripet lagstadgad sekretess) enligt bl.a. nationell rätt. Utöver detta innehåller artikel 14.5 även direkt tillämpliga undantag som behandlas i följande underavsnitt.
Rätten till radering enligt artikel 17 ska inte gälla i den utsträckning behandlingen är nödvändig för att uppfylla bl.a. en rättslig förpliktelse. Även denna artikel innehåller i 17.3 direkt tillämpliga undantag vilka behandlas i det följande.
Rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering enligt artikel 22,
3 Detta kan framstå som en cirkeldefinition. Den engelska språkversionen definierar motsvarande uttryck på följande sätt: ”’restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future”.
ska inte tillämpas om ett sådant beslut är tillåtet i bl.a. nationell rätt och denna reglering fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.
10.2.2. Direkt tillämpliga möjligheter att göra undantag från den registrerades rättigheter
Vissa av de registrerades rättigheter, så som de anges i artiklarna 13–22 har direkt tillämpliga undantag i själva förordningen. När sådana undantag finns anges de i sista punkten i respektive artikel.
När personuppgifterna samlas in från den registrerade har denne rätt att bli informerad i enlighet med artikel 13. Denna rättighet ska dock inte tillämpas om den registrerade redan förfogar över denna information.
När personuppgifterna som behandlas inte har erhållits från den registrerade har denne rätt till information i enlighet med artikel 14. I artikelns punkt 5 anges dock ett stort antal undantag från den rättigheten, exempelvis om ett sådant tillhandahållande av information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vad gäller behandling för bl.a. forskningsändamål. När det är fråga om forskning baserad på befolkningsregister kan antalet registrerade vara mycket stort, eller baseras på uppgifter insamlade långt innan de ska användas i forskningen, och därför göra ett tillhandahållande oproportionerligt ansträngande. I praktiken har etikprövningsnämnder i vissa sådana fall meddelat villkor att information om behandlingen ska spridas på annat sätt, exempelvis genom annonsering eller via forskningsprojektets hemsida.
Rätten att bli raderad enligt artikel 17 innehåller en direkt tillämplig möjlighet till undantag om det är nödvändigt för bl.a. forskningsändamål (artikel 17.3 d).
Slutligen saknas helt möjlighet att i nationell lagstiftning göra undantag från den personuppgiftsansvariges anmälningsskyldighet (artikel 19) samt rätten till dataportabilitet (artikel 20) när uppgifter behandlas för forskningsändamål. När uppgifter behandlas för arkivändamål kan nationell lagstiftning dock innehålla undantag från även dessa skyldigheter och rättigheter (artikel 89.3).
10.2.3. Rättigheter när den enskilde inte kan identifieras
En viktig och direkt tillämplig grundregel i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen (artikel 11, jfr även skäl 57). Det är vanligt att det saknas direkt identifierande uppgifter i sådana personuppgifter som behandlas för forskningsändamål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en identifierad person behandlas.
Enligt andra punkten i artikel 11 ska den personuppgiftsansvarige, om denne kan visa att han eller hon inte är i stånd att identifiera den registrerade, om möjligt informera den registrerade om detta. Denna informationsskyldighet får antas röra det fall när den registrerade kontaktar den personuppgiftsansvarige i syfte att utöva sina rättigheter.
Om den personuppgiftsansvarige kan visa att denne inte är i stånd att identifiera den registrerade ska artiklarna 15–20 inte gälla, förutom om den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig.
10.2.4. Andra möjligheter till undantag för särskilda ändamål
Det är möjligt att i nationell lagstiftning begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. kapitel 3 med stöd av artikel 23.1. Detta under förutsättning att sådana begränsningar sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa i artikeln uppräknade mål. Forskningsändamål och närliggande mål återfinns inte i denna uppräkning, även om forskning i vissa fall torde utgöra ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e. Som angivits ovan har Dataskyddsutredningen funnit anledning att med stöd av artikel 23.1 föreslå ett antal bestämmelser som begränsar de registrerades rättigheter i viss utsträckning.
10.3. De aktuella rättigheterna, och behov av att göra undantag från dem
10.3.1. Artikel 15 – Rätt till tillgång (registerutdrag)
Innehållet i rättigheten
Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna, samt även bl.a. information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en ”rätt till tillgång”. Motsvarande rättighet i dataskyddsdirektivet och personuppgiftslagen har, utifrån den äldre datalagens (1973:289) begreppsanvändning, betecknats som en rätt till registerutdrag.4
Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska ge denne bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas och i så fall förse honom eller henne med en kopia av uppgifterna, samt viss, i artikeln föreskriven, information om behandlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat (dock ska denna rätt inte inverka menligt på andras rättigheter och friheter). Denna rätt bör kunna utövas av den registrerade med rimliga intervall (skäl 63). Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får dock den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig (artikel 12.5).
Nuvarande reglering
En motsvarande rättighet regleras i artikel 12 i det nuvarande dataskyddsdirektivet, vilken har genomförts genom 26 § personuppgiftslagen. Dataskyddsförordningens reglering innebär i jämförelse med äldre bestämmelser en utökad rätt till information om lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya.
Enligt dataskyddsförordningen ska den personuppgiftsansvarige på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3) Någon motsvarande angiven tidsgräns finns inte angiven i det nuvarande dataskyddsdirektivet, som endast anger att informationen ska ges utan större tidsutdräkt. När bestämmelsen genomfördes i 26 § personuppgiftslagen angavs att information skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.
Behov av undantag
Utredningens bedömning: Det behövs inga ytterligare undan-
tag från rätten till tillgång utöver de undantag som Dataskyddsutredningen föreslår när personuppgifter behandlas för forskningsändamål.
Rätten till tillgång gäller, som ovan angivet, inte om den personuppgiftsansvarige kan visa att denne inte kan identifiera den enskilde, vilket torde vara vanligt när personuppgiftsbehandling sker med pseudonymiserade uppgifter.
I samband med viss forskning kan det tänkas att det kan inverka negativt på antingen forskningen eller den registrerade om denne kan få ut de uppgifter som behandlas. Så kan exempelvis vara fallet i samband med etablerade eller misstänkta medicinska diagnoser eller värden på prover som den registrerade är omedveten om av skäl som hänför sig till pågående behandling eller den registrerades allmänna välbefinnande. Sådana uppgifter torde regelmässigt omfattas av sekretess med stöd av 25 kap. offentlighets- och sekretesslagen (2009:400) (OSL). Det kan också vara fråga om information som kräver tolkning för att bli begriplig för den registrerade och där sådant tolkningsbistånd skulle innebära en oproportionerlig ansträngning för den personuppgiftsansvarige.
Det bör understrykas att den enskilde i motsvarande situation i samband med sjukvård inte alltid har en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL).
Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskyddsförordningen följer att den personuppgiftsansvarige inte på eget initiativ behöver tillhandahålla information till den registrerade om uppgifterna omfattas av sekretess eller tystnadsplikt. Som ovan angivet föreslår Dataskyddsutredningen en motsvarande reglering för rätten till tillgång enligt artikel 15. Enligt det föreslagna undantaget ska artikel 13–15 inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.5
I andra situationer, där det går att identifiera den enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i samband med att denne utövar sina rättigheter, gör utredningen bedömningen att denna rättighet kan och bör respekteras.
5SOU 2017:39 avsnitt 13.4.1.
Med hänsyn till den befintliga sekretessregleringen, som med Dataskyddsutredningens förslag gäller framför denna rätt till tillgång, gör utredningen bedömningen att inget ytterligare behov av begränsning av denna rättighet finns.
10.3.2. Artikel 16 – Rätt till rättelse
Innehållet i rättigheten
Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Det finns också en möjlighet att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande yttrande. I sammanhanget bör uppmärksammas att korrekta och om nödvändigt uppdaterade uppgifter är en förutsättning för laglig behandling enligt artikel 5.1 d i dataskyddsförordningen.
Nuvarande reglering
En motsvarande rättighet framgår av artikel 12 b i det nuvarande dataskyddsdirektivet, vilken har genomförts i 28 § personuppgiftslagen. Enligt denna reglering är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Enligt 9 § g personuppgiftslagen krävs att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Denna grundläggande del av rättigheten är alltså oförändrad i dataskyddsförordningen gentemot tidigare reglering.
Den rätt för den registrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är dock ny i förhållande till dataskyddsdirektivet.
Behov av undantag
Utredningens förslag: Den registrerades rätt till rättelse när
personuppgifter behandlas för forskningsändamål ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.
En utgångspunkt för utredningens bedömning är att forskning ska utgå från korrekt information. Rätten till rättelse är därför även i forskningens intresse. Det finns dock aspekter som kan göra utövandet av denna rättighet komplicerad.
Den första aspekten är att det kan föreligga oenighet mellan den registrerade och den personuppgiftsansvarige om vad som egentligen är en korrekt uppgift. Risken för detta ökar ju mer uppgifterna innefattar subjektiva bedömningar. Det är viktigt att rätten till rättelse inte innebär en rätt för den registrerade att diktera vilka uppgifter som ska behandlas om denne. Korrektheten måste kunna verifieras.6 Det bör vara den personuppgiftsansvarige, som är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter, som har att ställa upp krav kring de riktlinjer som ska användas för att avgöra vilka objektiva kriterier som ska tillämpas för att fastställa en uppgifts korrekthet. Med denna tolkning av rätten till rättelse föreligger inget ytterligare behov av att begränsa densamma.
Den andra aspekten är att för forskningsprojekt som är avslutade och där resultaten är publicerade, finns det ändå ett behov av att bevara det forskningsmaterial, inklusive personuppgifter, som resultaten baserat sig på. Det tillhör god forskningssed att dokumentera sin forskning så att den kan granskas i efterhand.7 Riksarkivet har meddelat föreskrifter och allmänna råd om gallring av allmänna handlingar i statliga myndigheters forskningsverksamhet, som anger att en förutsättning för att gallra handlingar i forskningsverksamhet är att handlingar inte gallras innan rimlig tid har
6 I samband med detta bör uppmärksammas rättigheten till begränsning av behandling under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är korrekta (artikel 18.1 a, se nedan). 7 Se SOU 2017:10 s. 188.
förflutit för att det ska ha funnits möjlighet att granska handlingar för att verifiera forskningsresultat.8 Att tillåta rättning i sådant arkiverat forskningsmaterial skulle avsevärt försvåra verifiering, och därmed strida mot syftet att bevara forskningsmaterialet.
Dataskyddsutredningen föreslår en bestämmelse som anger att en arkivmyndighet inte behöver rätta eller komplettera personuppgifter enligt artikel 16 när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. Tillämpningsområdet för den av Dataskyddutredningen föreslagna bestämmelsen är begränsat till arkivmyndigheter.
Forskningsaktörer kommer i många fall att ha behov av att inom sin egen organisation bevara forskningsmaterial som innehåller personuppgifter. Eftersom sådant bevarande inte täcks av Dataskyddsutredningens förslag finns det därför ett behov av en begränsning av rätten till rättelse vad gäller sådana personuppgifter som bevaras under längre perioder än vad som är nödvändigt för de primära forskningsändamål för vilka personuppgifterna behandlats, när detta bevarande sker i syfte att dokumentera den utförda forskningen, för att exempelvis verifiering av forskningsresultat ska vara möjlig. Denna begränsning ska enbart vara tillämplig när forskningen i någon mening är utförd så att den nått den nivå av färdigställande att det skulle strida mot god forskningssed att ändra forskningsmaterialet. Det kan exempelvis vara fråga om resultat som lämnats för publicering i en vetenskaplig tidskrift. Bevarandet får då anses ske för forskningsändamål, oavsett om personuppgifterna anses vara arkiverade eller ej.
I forskningssammanhang, där material som har legat till grund för forskningsresultat som har publicerats eller som av annat skäl måste kunna verifieras, även lagras och behandlas i syfte att uppnå nya, framtida forskningsresultat (exempelvis i en databas som uppdateras löpande) är begränsningen av rätt till rättelse inte lika självklar. För att uppnå målet att verifiering ska vara möjlig och samtidigt säkerställa att ny forskning utgår från korrekt information bör den personuppgiftsansvarige se till att data lagras så att det exempelvis är möjligt att ta fram materialet så som det såg ut vid en viss tidpunkt, även om uppgifter har ändrats eller tillkommit vid senare tillfällen. Detta kan ske genom att en ändringshistorik för
8 8 § RA-FS 1999:1.
varje enskild uppgift lagras. En sådan lösning bör enligt vår bedömning vara förenlig med den grundläggande rätten till rättelse i aktuellt forskningsmaterial samtidigt som den möjliggör replikering utifrån arkiverat forskningsmaterial.
10.3.3. Artikel 18 – Rätt till begränsning av behandling
Innehållet i rättigheten
Den registrerade har enligt artikel 18.1 en rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om någon av följande förutsättningar är uppfyllda.
a) Om den registrerade bestrider personuppgifternas korrekthet.
b) Om behandlingen är olaglig och den registrerade motsätter sig
att personuppgifterna raderas och i stället begär en begränsning av deras användning.
c) Om den personuppgiftsansvarige inte längre behöver person-
uppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
d) Om den registrerade har invänt mot behandling i enlighet med
artikel 21.1.
Rättigheten medför alltså inte en generell möjlighet för den registrerade att begränsa behandling av personuppgifter i exempelvis hälsodataregister eller myndighetsregister, utan det krävs att någon av de fyra förutsättningarna är uppfyllda. Med begränsning av behandling avses enligt artikel 4.3 att markera lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Av artikel 18.2 framgår vidare att begränsningen innebär att personuppgifter, med undantag för lagring, endast får behandlas med den registrerades samtycke eller för rättsliga anspråk, annans rättigheter eller för viktiga allmänintressen.
Nuvarande reglering
I förhållande till det nuvarande dataskyddsdirektivet innebär artikel 18.1 bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.
Rätten till begränsning av behandling har ersatt den åtgärd som enligt artikel 12 b i dataskyddsdirektivet benämns som blockering och som genomförts genom 28 § personuppgiftslagen (samt definierats i 3 § samma lag).
Det nuvarande dataskyddsdirektivets reglering av dessa rättigheter är inte lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga. Enligt artikel 12 c ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
Behov av undantag
Utredningens förslag: När personuppgifter behandlas för forsk-
ningsändamål ska den registrerade inte ha rätt till begränsning av behandling när denne bestrider uppgifternas korrekthet under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta.
Detsamma ska gälla när den registrerade invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
Dessa begränsningar ska enbart gälla under förutsättning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.
Rätten till begränsning av behandling syftar till att skydda den registrerades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Led a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken kräver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Led b och c i samma författning ger i stället den registrerade vissa möjligheter att hindra den personuppgiftsansvarige att radera uppgifterna.
Att hindra den personuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen. Utredningen bedömer därför inledningsvis att det saknas rättsliga förutsättningar till att införa ett undantag från artikel 18.1 b och c.
Rättigheten att begränsa behandling av personuppgifter under tiden den personuppgiftsansvarige kontrollerar om det i det konkreta fallet föreligger en rätt till rättelse eller till invändning (artikel 18.1 a) medför i praktiken att uppgifterna är undantagna från vidare behandling under denna utredningsperiod. Samma sak gäller under väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).
Effekten av att enskilda personers uppgifter är undantagna från behandling i forskningen under en period kan medföra skevhet (bias) i materialet som forskningen utförs med användning av under samma period, eller, om forskningen inriktas på att undersöka material som kan hänföras till en eller ett fåtal enskilda personer, att forskningen omöjliggörs.9 Denna risk minskar ju fler individer som forskningsmaterialet omfattar, men kan variera med hur forskningsprojektet utformats. Risken ökar i motsvarande mån ju fler individer som åberopar rättigheten Beroende på vilket stadium som forskningen befinner sig i kan detta i undantagsfall göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet,
9 Exempelvis om den tilltalade i ett mål i Högsta domstolen vill begränsa behandlingen och därmed blockerar möjligheten att göra en rättsvetenskaplig analys av rättsfrågan i målet.
särskilt om det tar lång tid att utreda personuppgifternas korrekthet.
Utredningen gör därför bedömningen att det bör införas ett begränsat undantag från denna rättighet, vilket medför att personuppgifter inte behöver blockeras med stöd av artikel 18.1 a eller d. Begränsningen ska dock endast vara tillämplig om en sådan blockering skulle medföra att ett pågående forskningsprojekt inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Det är den personuppgiftsansvarige som har att visa att sådana förutsättningar föreligger.
10.3.4. Artikel 21 – Rätt att göra invändningar
Innehållet i rättigheten
Den registrerade har enligt artikel 21.1 rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respektive myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt artikel 21.6 ska dock den registrerade endast ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse när personuppgifter behandlas för bl.a. forskningsändamål.
Artikelns lagtekniska konstruktion innebär att huvudregeln i artikel 21.1 begränsar regelns tillämpningsområde till bara sådan behandling som sker med stöd av artikel 6.1 e eller f. Specialregeln för bl.a. forskningsändamål i artikel 21.6 är i stället utformad så att dess tillämpningsområde är behandling som sker med annat stöd än den del av artikel 6.1 e som rör allmänt intresse. Det framgår inte tydligt om tillämpningsområdet för artikel 21.6 är tänkt att utgå från tillämpningsområdet för artikel 21.1 eller om den ska läsas fristående.
Detta tolkningsproblem leder till två tänkbara omfång för tillämpningsområdet av artikel 21.6. Läser man den tillsammans med arti-
kel 21.1 innebär det att den registrerade skulle kunna ha rätt att göra invändningar enbart när behandlingen sker med stöd av intresseavvägning (artikel 6.1 f) eller myndighetsutövning (den del av artikel 6.1 e som inte omfattar uppgift av allmänt intresse). Läser man den i stället fristående skulle den registrerade kunna ha rätt att göra invändningar när behandlingen sker med stöd av samtliga rättsliga grunder som anges i artikel 6.1, inklusive bl.a. samtycke, förutom allmänt intresse.
Vi bedömer att artiklarna bör läsas tillsammans, och att tillämpningsområdet för rättigheten vid personuppgiftsbehandling för forskningsändamål därmed är begränsat till de fall där behandlingen sker med stöd av intresseavvägning eller myndighetsutövning. Vidare ska en intresseavvägning mellan den personuppgiftsansvariges berättigade skäl och den registrerades berättigade skäl göras i enlighet med artikel 21.1, även när artikel 21.6 tillämpas. Vid denna bedömning har vi beaktat att förordningens artiklar, särskilt vad gäller rättigheterna i artikel 12–22, ofta är uppbyggda så att en huvudregel anges i artikelns första punkt, som sedan preciseras eller görs undantag från i följande artiklar. Forskning specialregleras även på flera ställen i förordningen på så sätt att flera bestämmelser som utgör skydd för den registrerade inte ska tillämpas eller endast tillämpas i begränsad utsträckning när det är fråga om behandling för forskningsändamål (se allmänt den strukturerade genomgången av förordningen i bilaga 3). Det framstår då inte som motiverat att just detta skydd för den registrerade skulle vara mer vidsträckt när det är fråga om forskningsändamål än för andra ändamål.
Nuvarande reglering
I det nuvarande dataskyddsdirektivet regleras rätten att göra invändningar i artikel 14 a. Av bestämmelsen framgår att medlemsstaterna ska tillförsäkra den registrerade en rätt att när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation, motsätta sig behandling av personuppgifter som rör honom eller henne, åtminstone i de fall behandlingen sker med stöd av grunderna allmänt intresse, myndighetsutövning eller intresseavvägning.
Regleringen i dataskyddsförordningen skiljer sig alltså från den i dataskyddsdirektivet på så sätt att det inte längre är den registre-
rade som ska ha berättigade skäl, utan i stället den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få äga rum.
Till skillnad från dataskyddsförordningen ställer dataskyddsdirektivet inte upp några särskilda villkor på sådan nationell lagstiftning som innehåller undantag från rätten att motsätta sig behandlingen.
Behov av undantag
Utredningens bedömning: Det behövs inga ytterligare undan-
tag från rätten att göra invändningar när uppgifter behandlas för forskningsändamål.
I avsnitt 12.4.2 föreslår vi som skyddsåtgärd att den registrerade ska ha rätt att motsätta sig personuppgiftsbehandling. En sådan rätt har stora likheter med rätten att göra invändningar enligt artikel 21. För att bedöma om det finns ett behov av att göra undantag från rätten att göra invändningar måste vi därför först se om denna rätt i något avseende går längre än vår föreslagna rätt att motsätta sig personuppgiftsbehandling. Om vår föreslagna skyddsåtgärd i alla avseenden skyddar den registrerade på samma sätt som rätten att göra invändningar så kan det inte finnas något behov av att göra undantag från den senare.
Som utgångspunkt ger vår föreslagna skyddsåtgärd en rätt att motsätta sig behandling ovillkorligt, till skillnad från rätten att göra invändningar enligt artikel 21.1. Vårt förslag är dock förenat med vissa undantag, exempelvis om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas.
Rätten att göra invändningar när personuppgifter behandlas för forskningsändamål är avhängig med vilken rättslig grund som själva personuppgiftsbehandlingen utförs. I praktiken kommer personuppgiftsbehandling för forskningsändamål ske med stöd av artikel 6.1 a (samtycke), e (allmänt intresse) eller f (intresseavvägning). Vi behandlar därför enbart dessa tre rättsliga grunder i det nedanstående.
Rätten att göra invändningar gäller enligt artikel 21.6 inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Vi har i avsnitt 5.5.2 föreslagit att det i forskningsdatalagen ska framgå att personuppgifter får behandlas för forskningsändamål med stöd av artikel 6.1 e om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. I de fall forskningen utförs med denna rättsliga grund finns alltså inte någon rätt att invända mot behandlingen, och därmed inte heller något behov av att begränsa den.
I de fall där grunden för personuppgiftsbehandlingen i stället är den registrerades samtycke finns inte heller någon rätt för den registrerade att invända mot behandlingen, utöver den rätt att dra tillbaka samtycket som följer av artikel 7.3.
Enligt vår tolkning av artikel 21 finns det dock en rätt för den registrerade att invända mot behandlingen när denna sker med stöd av intresseavvägning enligt artikel 6.1 f. Denna rättsliga grund är enligt andra stycket samma punkt inte tillämplig för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom behandling då inte får utföras saknar den registrerades rätt att invända mot behandlingen i dessa fall betydelse.
För sådan forskning som utförs av andra forskningsaktörer än offentliga myndigheter med stöd av intresseavvägning har dock den enskilde en rätt att invända. Intresseavvägningen ska göras mellan å ena sidan den personuppgiftsansvariges eller en tredje parts berättigade intressen och å andra sidan den registrerades intressen eller grundläggande rättigheter och friheter. Om den registrerade invänder mot behandlingen får detta anses tala för att behandlingen strider mot den registrerades intressen. Det kan därför inte anses nödvändigt att göra någon begränsning i den registrerades rätt att invända i dessa fall.
Sammantaget bedömer vi att det inte finns något sammanhang där det är motiverat att begränsa den registrerades rätt att göra invändningar.
10.4. Sammanfattning
I detta kapitel har vi gjort en bred beskrivning av de rättigheter som tillkommer de registrerade enligt dataskyddsförordningen, de möjligheter som förordningen ger att inskränka dessa möjligheter, och vilka inskränkningar som Dataskyddsutredningen föreslår.
Vi har sedan analyserat de fyra olika rättigheter som enligt artikel 89.2 kan begränsas för personuppgiftsbehandling för forskningsändamål.
För två av dessa – rätten till rättelse och rätten till begränsning av behandling – föreslår vi vissa begränsningar i forskningsdatalagen.
Rätten till rättelse ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i syfte att dokumentera utförd forskning. Rätten till rättelse ska i övrigt gälla utan undantag.
Rätten till begränsning av behandling när den registrerade bestrider uppgifternas korrekthet ska inte gälla under den utredningstid som krävs för att kontrollera om personuppgifterna är korrekta eller, när denne invänder mot behandlingen, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl, om detta medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.
Det saknas behov av undantag från rätten till tillgång när personuppgifter behandlas för forskningsändamål, utöver vad Dataskyddsutredningen föreslagit, samt från rätten att göra invändningar.
11. Tillsyn och sanktioner
11.1. Inledning
Utredningen har vad gäller tillsyn och sanktioner inget specifikt uppdrag att analysera vilket behov av kompletterande nationell reglering som behövs utöver vad som framgår direkt av dataskyddsförordningen (EU 2016/679) och Dataskyddsutredningens (Ju 2016:04) förslag till kompletterande reglering. Eftersom vi har att föreslå en reglering som ska möjliggöra en ändamålsenlig personuppgiftsbehandling med avseende på forskning, samtidigt som den skyddar den enskildes fri- och rättigheter, är det dock utredningens övergripande uppdrag att göra en så heltäckande analys av regelverket som möjligt. Utredningen har därmed att analysera vilken reglering som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen föreslår. I det följande kommer därför frågorna om tillsyn och sanktioner i relation till personuppgiftsbehandling för forskningsändamål att behandlas översiktligt.
11.2. Tillsyn
Av artikel 28 i det nuvarande dataskyddsdirektivet (95/46/EG) följer att medlemsstaterna ska utse en eller flera myndigheter som har till uppgift att inom medlemsstatens territorium övervaka tillämpningen av de bestämmelser som följer av direktivet. Sverige har genom 2 § personuppgiftsförordningen (1998:1191) fastställt att det är Datainspektionen som är tillsynsmyndighet enligt personuppgiftslagen (1998:204). Artikel 28 i det nuvarande dataskyddsdirektivet motsvaras av artikel 51.1 i dataskyddsförordningen, som utöver språkliga förändringar har motsvarande innebörd.
Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) har föreslagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen.1 I betänkandet redovisar utredningen även följande bedömning avseende tillsynsmyndighetens befogenheter enligt dataskyddsförordningen:
Förordningens uppräkning av vilka befogenheter en tillsynsmyndighet ska ha är omfattande och såvitt vi kan bedöma tillräckliga för att myndigheten ska kunna fullgöra sina uppgifter. På grundval av det vi i dag känner till och kan överblicka saknas det därmed behov av att på nationell nivå föreskriva att Datainspektionen ska ha ytterligare befogenheter utöver dem som följer av förordningen.2
Dataskyddsutredningen föreslår i linje med detta att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den nationella dataskyddslagen, som kompletterar dataskyddsförordningen på generell nivå, genom en bestämmelse i 3 § i den nationella förordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskyddsutredningens bedömning är att en reglering i vilken Datainspektionen utses till tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av de andra nationella författningar som kompletterar dataskyddsförordningen.3
Tillsynsmyndighetens befogenheter återges i artikel 58 i dataskyddsförordningen. Bestämmelsen i artikel 58 avser enligt dess lydelse endast tillsynen över tillämpningen av förordningens bestämmelser. Det är Dataskyddsutredningens bedömning att för att förordningens intentioner ska få fullt genomslag krävs att tillsynsmyndigheten kan vidta samma åtgärder vid sin tillsyn över tillämpningen av de nationella bestämmelser som kompletterar förordningen. Dataskyddsutredningen föreslår därför en bestämmelse i dataskyddslagen som anger att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.4
1SOU 2016:65 s. 142 f. 2 A.a. s. 157. 3SOU 2017:39 avsnitt 6.4.3. 4 A.a. avsnitt 19.5.3.
Eftersom vår föreslagna forskningsdatalag kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.
I sammanhanget finns dock anledning att även belysa vilket tillsynsansvar som föreligger för etikprövningslagen, vilken anknyter till vår föreslagna forskningsdatalag. Av 34 § etikprövningslagen framgår att Centrala etikprövningsnämnden har tillsyn över efterlevnaden av etikprövningslagen och föreskrifter som har meddelats med stöd av lagen, utom i de fall tillsynen faller inom någon annan myndighets ansvarsområde. I förarbetena pekas bland annat Datainspektionen ut.5 Detta innebär att en gränsdragning vad gäller tillsyn behöver göras vid tillsyn av forskning som omfattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. och som därigenom kräver etikgodkännande.
Utredningen om tillsynen över den personliga integriteten har analyserat det befintliga tillsynsansvaret över etikprövningslagen och gränsdragningen mellan Centrala etikprövningsnämndens och Datainspektionens ansvar. Den utredningen gör i sitt betänkande följande bedömning:
Om personuppgifter behandlas inom forskning på ett sådant sätt att personuppgiftslagens bestämmelser blir tillämpliga kan och bör Datainspektionen utöva tillsyn över behandlingen. Är det exempelvis fråga om känsliga personuppgifter och behandlingen sker med stöd av 19 § personuppgiftslagen, kan Datainspektionen kontrollera om någon etikprövning har skett. Detta är enligt bestämmelsen en förutsättning för att behandlingen ska få ske. Om etikprövning krävs men något etikgodkännande inte har lämnats av en etikprövningsnämnd, kan Datainspektionen förelägga den personuppgiftsansvariga att upphöra med behandlingen, eftersom den då strider mot personuppgiftslagen. Detsamma gäller om ett etikprövningsgodkännande har lämnats med villkoret att behandlingen förutsätter den enskildes samtycke men något samtycke inte har lämnats. Gemensamt för dessa frågeställningar är att syftet är att granska om den personuppgiftsbehandling som utförs inom ramen för forskningen är förenlig med personuppgiftslagen. Är det i stället fråga om exempelvis att ta ställning till om forskningen i fråga behöver godkännas genom etikprövning eller om forskningen bedrivs i enlighet med ett gällande etikprövningsbeslut är Centrala etikprövnings-
nämnden, vars huvuduppgift är att utöva tillsyn över att forskning som avser människor bedrivs i enlighet med etikprövningslagen, den myndighet som är bäst lämpad att avgöra sådana frågor. Detta gäller även om den aktuella forskningen innefattar behandling av personuppgifter.6
Enligt Utredningen om tillsynen över den personliga integriteten finns stöd för denna bedömning avseende ansvarsfördelningen i förarbetena till etikprövningslagen. Det är vidare samma utrednings uppfattning att etikprövningslagens och förarbetenas hänvisning till andra tillsynsmyndigheters ansvarsområde inte i sig medför att Datainspektionen har att utöva tillsyn över alla frågor som rör forskning så snart dessa innefattar behandling av personuppgifter. Skulle det däremot i ett tillsynsärende hos Centrala etikprövningsnämnden uppkomma frågor som avser huruvida behandlingen av personuppgifter har utförts i strid med personuppgiftslagen, bör denna fråga överlämnas till Datainspektionen.
Det är vår uppfattning att ovanstående bedömning avseende gränsdragningen av tillsynsansvaret bör kunna tillämpas också vad gäller förhållandet mellan etikprövningslagen och vår föreslagna forskningsdatalag.
Det betänkande som Utredningen om tillsynen över den personliga integriteten överlämnat till regeringen bereds för närvarande inom Regeringskansliet. I sammanhanget kan tilläggas att regeringen den 11 maj 2017 beslutade om tilläggsdirektiv till Utredningen om översyn av etikprövningen (U 2016:02) med uppdrag att bland annat lämna förslag som innebär att Centrala etikprövningsnämndens ansvar för tillsyn över etikprövningslagen förtydligas samt föreslå nödvändiga författningsändringar och, vid behov, andra åtgärder. Bakgrunden till detta tilläggsuppdrag är att det enligt Centrala etikprövningsnämnden alltjämt finns en risk för att tillsynsärenden faller mellan stolarna och att det därför är mycket angeläget att en tydligare reglering kommer till stånd. Denna uppfattning delas av några av de remissinstanser som har yttrat sig över betänkandet SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten. Uppdraget ska redovisas senast den 15 december 2017.7
6SOU 2016:65 s. 194 f. 7 Dir. 2017:52.
11.3. Sanktioner
I Dataskyddsutredningens betänkande definieras sanktioner brett, innefattande sanktionsavgifter, vite, skadestånd och straff. I avsnitt 18.3 i Dataskyddsutredningens betänkande finns en beskrivning av gällande rätt på dessa områden. I det följande kommer endast dataskyddsförordningens bestämmelser och Dataskyddsutredningens förslag till kompletterande reglering avseende skadestånd att behandlas i relation till vår föreslagna forskningsdatalag. För resonemang kring övriga sanktioner vid överträdelser mot dataskyddsförordningen och kompletterande nationell lagstiftning hänvisas till Dataskyddsutredningens betänkande SOU 2017:39.
11.3.1. Skadestånd
Enligt artikel 82.1 i dataskyddsförordningen ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan. Även personuppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsättningar. I artikel 82.2–5 och skäl 146 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Bland annat framgår att varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för uppkommen skada. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska dock undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. Dataskyddsförordningen innebär således att varje personuppgiftsansvarig eller personuppgiftsbiträde som har medverkat vid en behandling kan hållas ansvarigt för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgiftsbiträden för samma behandling.
I artikel 82.1 anges att ansvaret och rätten till ersättning gäller till följd av en överträdelse av denna förordning, dvs. dataskyddsförordningen. Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens
bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.
11.4. Sammanfattning
I detta kapitel har utredningen översiktligt behandlat frågor om tillsyn och skadestånd i relation till personuppgiftsbehandling för forskningsändamål.
Dataskyddsutredningen föreslår att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen och den nationella dataskyddslagen som kompletterar dataskyddsförordningen på generell nivå genom en bestämmelse i 3 § i den nationella förordning som kompletterar dataskyddsförordningen (motsvarande nuvarande personuppgiftsförordningen). Dataskyddsutredningens bedömning är vidare att en reglering som innebär att Datainspektionen blir tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen bör medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av de andra nationella författningar som kompletterar dataskyddsförordningen.
Dataskyddsutredningen föreslår vidare en bestämmelse i dataskyddslagen som anger att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen. Eftersom den föreslagna forskningsdatalagen kompletterar dataskyddsförordningen är det utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen därmed täcker även forskningsdatalagen vad avser tillsynsmyndighetens befogenheter. Någon särskild bestämmelse om tillsyn behöver därför inte införas i forskningsdatalagen.
Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som stadgar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag, dvs. dataskyddslagen, och andra författningar som kompletterar dataskyddsförordningen. Det är utredningens bedömning att den av Dataskyddsutredningen föreslagna bestämmelsen där-
med täcker även rätten till ersättning vid överträdelser av forskningsdatalagen. Någon särskild skadeståndsbestämmelse behöver därför inte införas i forskningsdatalagen.
12. Skyddsåtgärder
12.1. Inledning
Av utredningens direktiv framgår bl.a. följande:
Det krävs […] en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan vara exempelvis etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar. Utredningen ska lämna förslag, inklusive behövliga författningsförslag på sådana lämpliga skyddsåtgärder som personuppgiftsbehandling för forskningsändamål ska omfattas av.
Utifrån detta uppdrag går vi i detta kapitel igenom de rättsliga förutsättningar som den nuvarande dataskyddsregleringen ger, samt vilka förändringar som dataskyddsförordningen (EU 2016/679) medför. Vi definierar en uppsättning centrala begrepp, för att sedan i närmare detalj analysera ett antal tänkbara skyddsåtgärder. Vi behandlar även förordningens säkerhetskrav och vad detta innebär för kraven på skyddsåtgärder. Avslutningsvis lämnar vi överväganden och förslag på hur skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål bör regleras.
12.2. Rättsliga förutsättningar
Nationell lagstiftning som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forskningsändamål är inte en nyhet som följer med dataskyddsförordningen. Sådan lagstiftning har tidigare införts i svensk rätt med stöd av det nuvarande dataskyddsdirektivet (95/46/EG). I 19 § första stycket personuppgiftslagen (1998:204) föreskrivs att käns-
liga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Personuppgifter om lagöverträdelser m.m. får behandlas av andra än myndigheter om behandlingen har godkänts på samma sätt (21 § andra stycket samma lag). Det finns dock inte någon mer specifik bestämmelse om säkerhet. Enligt 31 § personuppgiftslagen anges endast att lämpliga åtgärder ska vidtas för att uppnå en lämplig säkerhetsnivå. Bestämmelsen i 31 § personuppgiftslagen genomför artikel 17 i det nuvarande dataskyddsdirektivet. Vid en jämförelse ställer motsvarande bestämmelse i dataskyddsförordningen (artikel 32) mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras.
Utöver detta ställer dataskyddsförordningen specifika krav på all personuppgiftsbehandling för forskningsändamål i artikel 89.1. Dessa har inte någon direkt motsvarighet i personuppgiftslagen eller det nuvarande dataskyddsdirektivet.1
12.2.1. Allmän reglering av skyddsåtgärder
En av dataskyddsförordningens grundläggande principer för personuppgiftsbehandling, principen om integritet och konfidentialitet (artikel 5.1 f), anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Till den generella regleringen hör även allmänna skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24), samt krav på att säkerställa en lämplig säkerhetsnivå (artikel 32).
Även medlemsstaterna åläggs att införa åtgärder till skydd för den registrerade för att viss personuppgiftsbehandling ska vara möjlig. Särskilt artikel 9 och 10, som rör känsliga personuppgifter
1 Dataskyddsdirektivet innehåller dock i artikel 6.1 e, som behandlar samma princip som artikel 5.1 e i dataskyddsförordningen (principen om lagringsminimering), ett krav på att medlemsstaterna ska vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för bl.a. vetenskapliga ändamål.
(i förordningen kallat ”särskilda kategorier av personuppgifter”) respektive personuppgifter om lagöverträdelser m.m., ålägger medlemsstaterna att införa bestämmelser i nationell rätt för att behandling i vissa fall ska vara tillåten. Sådana bestämmelser ska även fastställa lämpliga skyddsåtgärder.
12.2.2. Reglering av skyddsåtgärder i samband med forskningsändamål
Enligt dataskyddsförordningens artikel 89.1 ska personuppgiftsbehandling för bl.a. forskningsändamål omfattas av lämpliga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättigheter och friheter, särskilt principen om uppgiftsminimering. Lämpliga skyddsåtgärder är även en förutsättning för att kunna använda sig av det s.k. forskningsundantaget i artikel 5.1 b.2
Artikel 9.2 j i dataskyddsförordningen, som berör nödvändig behandling för bl.a. forskningsändamål av känsliga personuppgifter i enlighet med artikel 89.1, anger att unionsrätten eller den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgärder. Dessa åtgärder ska säkerställa den registrerades grundläggande rättigheter och intressen.
Skäl 156 i dataskyddsförordningen anger utöver detta även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.
12.2.3. Allmän reglering av säkerhetskrav
Av artikel 32, som innehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett antal åtgärder och utgångspunkter för bedömningen av lämplig säkerhetsnivå. Även artikel 25 (inbyggt dataskydd och dataskydd som standard)
2 Med ”forskningsundantaget” avses det undantag från den allmänna regeln om ändamålsbegränsning, där ytterligare behandling för just bl.a. forskningsändamål inte ska anses vara oförenlig med de ursprungliga ändamålen.
ålägger den personuppgiftsansvarige att integrera nödvändiga skyddsåtgärder i behandlingen.
I sammanhanget bör även uppmärksammas de krav som följer av svensk lagstiftning på statliga myndigheters informationssäkerhet, främst 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap samt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Av de senare framgår bl.a. att varje myndighet som omfattas av föreskrifterna ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas.
12.3. Skyddsåtgärder för personuppgiftsbehandling
12.3.1. Skyddsåtgärder enligt dataskyddsförordningen
Vad är en skyddsåtgärd?
Termerna ”skyddsåtgärder” respektive ”tekniska och organisatoriska åtgärder” är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säkerställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” förklaras närmare i dataskyddsförordningen.
Vad ska skyddas?
I vissa sammanhang används termerna utan närmare förklaring. I andra sammanhang framgår vad själva skyddsintresset är, dvs. vad åtgärderna är tänkta att skydda. Exempelvis anger artikel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 23 anger att skyddsåtgärderna ska förhindra missbruk eller olaglig tillgång eller överföring. Artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42
nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskyddsförordningen.
Hur regleras skyddsåtgärderna?
I de flesta fall följer det direkt av förordningen att skyddsåtgärder ska genomföras. För forskningsändamål framgår exempelvis direkt av artikel 89.1 att personuppgiftsbehandling ska omfattas av skyddsåtgärder.
I några fall lämnar dock förordningen ett visst utrymme för unionslagstiftaren eller den nationella lagstiftaren att närmare reglera skyddsåtgärderna, som i artiklarna 9.2 och 10. I just dessa artiklar ställer förordningen kravet att sådan lagstiftning ska fastställa lämpliga och (för artikel 9.2 j) särskilda skyddsåtgärder.
Även artikel 89.1 kan utgöra stöd för den nationella lagstiftaren att närmare reglera lämpliga skyddsåtgärder (jfr skäl 156).
Exempel på skyddsåtgärder
I några sammanhang används termerna ”skyddsåtgärder”, ”tekniska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. Artikel 6.4 e, som berör fastställande av huruvida behandling för andra ändamål är förenlig med ursprungsändamålet, anger att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas. Artikel 46, om tredjelandsöverföringar i avsaknad av ett beslut från kommissionen om adekvat skyddsnivå i ett tredjeland, anger i punkt 2 och 3 flera olika tänkbara skyddsåtgärder, exempelvis bindande företagsbestämmelser,3 godkända uppförandekoder eller avtalsklausuler.
3 Bindande företagsbestämmelser (Binding Corporate Rules, BCR) definieras i förordningens artikel 4.20 som ”strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet”.
Gränsdragningar mellan olika typer av skyddsåtgärder
Det är svårt att dra en skarp skiljelinje mellan olika termer, även om ”tekniska och organisatoriska åtgärder” avgränsar tänkbara åtgärder på ett sätt som ”skyddsåtgärder” ensamt inte gör. För att kunna dra närmare slutsatser av hur ett visst åtgärdsbegrepp ska förstås torde man inte enbart kunna utgå från den term som har använts. Man måste i första hand se på det sammanhang i vilket termen förekommer och i vilken mån den omgivande texten beskriver åtgärden.
Utifrån förordningens terminologi har vi i detta avsnitt valt att använda den sammansatta termen ”tekniska och organisatoriska skyddsåtgärder” för att beskriva tänkbara åtgärder. Vi använder förledet ”skydds” framför ”åtgärder” för att understryka att det är fråga om sådana åtgärder som ska skydda den registrerades rättigheter och friheter enligt dataskyddsförordningen.
När det är fråga om sådana skyddsåtgärder som förutsätter åtgärder från lagstiftaren eller på annat vis grundar sig i rättsregler har vi valt ”rättsliga skyddsåtgärder”, en term som inte återfinns i dataskyddsförordningen. Även dessa åtgärder ska ha till syfte att skydda den registrerades rättigheter. Att även sådana åtgärder kan ingå i begreppet ”skyddsåtgärder” framgår på flera ställen i förordningen.
Lämpliga skyddsåtgärder
Utifrån förordningens reglering kan olika skyddsåtgärder vara möjliga. Eftersom det åligger den personuppgiftsansvarige att välja lämpliga skyddsåtgärder (artikel 32, och, särskilt vad gäller forskningsändamål, artikel 89.1) är nästa steg att försöka ställa upp utvärderingskriterier för när en viss skyddsåtgärd kan vara lämplig.
Förordningens lämplighetskriterier
Dataskyddsförordningen anger inom ramen för dess bestämmelser om säkerhet (artikel 32) vissa kriterier som ska beaktas vid utvärdering av lämpligheten av en viss skyddsåtgärd. Dessa kriterier analyseras mer detaljerat i avsnitt 12.3.5 om säkerhet. Här konstaterar vi endast inledningsvis att dessa kriterier ska tillämpas vid all
personuppgiftsbehandling och att de utgör underlag för en avvägning mellan möjligheterna till och kostnaderna för skydd å ena sidan, och risken för de registrerades rättigheter och friheter å andra sidan.
En strukturerad analys för val av lämplig skyddsåtgärd
För att kunna välja vilken eller vilka skyddsåtgärder som kan vara lämpliga krävs en strukturerad analys av vad som ska skyddas (skyddsobjektet), vilka hot och risker som kan drabba skyddsobjektet, och vilka mål för skyddet som prioriteras. Vissa riktlinjer för en sådan analys, framför allt vilka risker som ska beaktas, ges i artikel 32 samt skäl 75.
Detta kan exemplifieras enligt följande. När grundläggande personuppgifter, inklusive känsliga personuppgifter, för ett stort antal personer behandlas i ett projekt är skyddsobjektet vanligtvis själva personuppgifterna. Några av problemen kan vara:
- Att personuppgifterna visar sig vara felaktiga.
- Att personuppgifter från olika källor inte kan kombineras.
- Att identifierande eller känsliga personuppgifter sprids utanför forskningsprojektet.
I det första fallet är personuppgifternas riktighet (integritet) det prioriterade skyddsmålet. I det andra fallet kan personuppgifternas tillgänglighet, särskilt åtkomsten till de register som utgör källor för personuppgifterna, vara det viktigaste. I det sista fallet är personuppgifternas konfidentialitet, dvs. att de inte avslöjas för obehöriga, det centrala skyddsmålet.
Beroende på hur denna riskanalys och målprioritering görs kan den personuppgiftsansvarige landa i att i det första fallet tillämpa skyddsåtgärder som säkerställer korrekt information (exempelvis genom att underlätta för den enskilde att utöva sin rätt till rättelse). I det andra fallet kan det vara mer lämpligt att avtalsrättsligt säkerställa villkor för åtkomst till källregister. I det sista fallet kan såväl uppgiftsminimerande åtgärder (där exempelvis identifierande personuppgifter som inte behövs för själva forskningen avlägsnas genom pseudonymisering) som åtgärder som begränsar tillgängligheten till
uppgifterna till endast utvalda personer eller endast inom ett enskilt it-system.
Det ligger utanför utredningens uppdrag att ge närmare riktlinjer eller förslag till bestämmelser för hur en sådan strukturerad analys ska utföras. Att i nationell lagstiftning särskilt reglera hur ett sådant arbete ska utföras riskerar dessutom att komma i konflikt med de regler som finns i framför allt artikel 32 i dataskyddsförordningen. Utredningen lämnar därför inte något förslag i denna del, men erinrar om att särskilt 9 § i myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) innehåller ett krav på statliga myndigheter att utifrån beslutad informationsklassningsmodeller analysera risker och vidta lämpliga åtgärder. Motsvarande arbetssätt torde vara lämpligt att tillämpa för privata forskningsaktörer och andra rättssubjekt trots att dessa inte omfattas direkt av MSB:s föreskrifter vid sin behandling av personuppgifter.
Utformning av skyddsåtgärder
En viss metod för att skydda den personliga integriteten i det konkreta fallet kan utformas på olika sätt. Vid pseudonymisering (se avsnitt 12.3.3) kan själva pseudonymen skapas antingen från olika personuppgifter eller skapas helt fristående. Vid kryptering (se avsnitt 12.3.3) finns en mängd algoritmer och protokoll för nyckelhantering att välja mellan. Sekretesslagstiftning kan utformas med exempelvis presumtion för offentlighet eller för hemlighållande.
Frågan huruvida pseudonymisering är en lämplig åtgärd i ett visst sammanhang har med andra ord inte något enkelt svar, utan det blir nödvändigt att komplettera och specificera analysen med avseende på exakt vilka attribut som ska pseudonymiseras, hur eventuella kodnycklar ska bevaras m.m. Innan man gjort denna utformning går det i allmänhet inte att komma fram till att en viss skyddsåtgärd är lämplig.
Vad gäller den motsatta frågeställningen, huruvida en viss skyddsåtgärd inte är lämplig i ett visst sammanhang, kan det däremot vara möjligt att komma fram till att så är fallet utan att fullständigt ha utformat den. Om det exempelvis medför ett icke godtagbart intrång i den registrerades integritet att poster om denne i en data-
mängd går att särskilja från andra poster om andra personer även utan att denne identifieras så är pseudonymisering per definition inte en lämplig skyddsåtgärd eftersom pseudonymisering per definition gör det möjligt att särskilja poster om en enskild registrerad.
När ”skyddsåtgärd” används i det nedanstående (och generellt) finns det därför anledning att tänka sig en detaljerad beskrivning av hur skyddsåtgärden kommer att utformas.
Tänkbara skyddsåtgärder
Dataskyddsförordningen reglerar inte att några specifika skyddsåtgärder ska vidtas. I artikel 32 nämns dock att den personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudonymisering och kryptering som sådana åtgärder. Även artikel 6.4 e exemplifierar lämpliga skyddsåtgärder med kryptering eller pseudonymisering. Förordningen lyfter i övrigt särskilt fram pseudonymisering som skyddsåtgärd i skäl 28–29 och 156. I skäl 78 anges även ett antal övriga skyddsåtgärder som är främst organisatoriska till sin natur:
Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar.
Utöver sådana skyddsåtgärder som nämns direkt i förordningen har svensk personuppgiftslagstiftning laborerat med andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser.
Avsnitt 12.3.3 och 12.3.4 innehåller en genomgång av dessa och andra skyddsåtgärder.
12.3.2. Begrepp
För att närmare kunna analysera vissa skyddsåtgärder, särskilt de av teknisk karaktär, underlättar det att först beskriva några av de begrepp som förekommer i samband med personuppgiftsbehandling för forskningsändamål. I anslutning till detta redogör vi även för varför vi valt vissa termer som beteckningar för dessa begrepp.4
Personuppgift
Dataskyddsförordningens artikel 4.1 definierar personuppgift (vår kursivering):
Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet
Det nuvarande dataskyddsdirektivet har i artikel 2 a motsvarande definition:
Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet
Utöver språkliga förändringar som inte kan anses ändra innebörden i ovanstående definition skiljer sig denna definition från det nuvarande dataskyddsdirektivet på ett antal sätt. Strukturellt har indelningen i direkt eller indirekt identifiering ersatts med uppdelningen mellan identifierare respektive faktorer som är specifika för personen. Det framgår vidare att ett namn kan vara en sådan identifierare, samt att en fysisk person även kan identifieras med faktorer som är specifika för en fysisk persons genetiska identitet. I sammanhanget bör nämnas att definitionen av identifierare innefattar även någons
4 Med ”term” avses här ett visst ord eller språkligt uttryck, och med ”begrepp” själva innebörden som man lägger i uttrycket.
”online identifier”, vilket i den svenska översättningen benämnts omväxlande ”nätidentifierare” (skäl 30 och 64) eller ”onlineidentifikatorer” (artikel 4.1). Det är oklart om ”online identifier” ska innefatta även användarvalda identifierare såsom e-postadresser eller användarnamn i sociala nätverk.
Med detta sagt är vår bedömning att tidigare praxis kring vad som utgör en personuppgift får anses vägledande även för den nya definitionen, med beaktande av den utvidgning som skett genom dataskyddsförordningen (se även skäl 9 i dataskyddsförordningen, som anger att målen och principerna för det tidigare dataskyddsdirektivet fortfarande är giltiga).
Pseudonymisering
Dataskyddsförordningen definierar i artikel 4.5 pseudonymisering (vår kursivering):
Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person
För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dessa uppgifter utgörs vanligen av en s.k. kodnyckel (se vidare avsnitt 12.3.3).
Pseudonymiserade uppgifter är fortfarande personuppgifter och faller därför inom förordningens tillämpningsområde. Själva åtgärden pseudonymisering har på flera ställen i förordningen lyfts fram som exempel på en skyddsåtgärd.
Kodning
Eftersom dataskyddsförordningens definition av pseudonymisering ställer höga krav på att återidentifiering endast ska vara möjlig med hjälp av vissa specifika kompletterande uppgifter (se närmare beskrivningen av pseudonymisering som skyddsåtgärd i avsnitt 12.3.3) finns ett behov av en term för en enklare, men mer osäker, process
i vilken endast identifierande uppgifter som namn och personnummer ersätts med pseudonymer eller koder.
I många sammanhang används termen ”kodning” för ett sådant förfarande. Även i detta betänkande används termen i denna betydelse.
Anonymisering
Anonymisering definieras inte särskilt i förordningen, men av skäl 26 framgår att anonym information är ”information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar”, och att förordningen inte är tillämplig på sådan information. Kravet på att den registrerade inte längre ska vara identifierbar medför att fullständig anonymisering, till skillnad från pseudonymisering, i praktiken ofta kan vara mycket svårt att åstadkomma.
Kravet är dock inte absolut. Det framgår vidare av skäl 26 att när man avgör huruvida en fysisk person är identifierbar så ska man beakta alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Bedömningen av huruvida det är fråga om personuppgifter eller anonym information grundas alltså på en rimlighets- och sannolikhetsbedömning.
För att förstå gränsdragningen för när någon är att anse som identifierbar kan även artikel 29-gruppens yttrande 4/2007 beaktas.5I detta yttrande (s. 15) uttalas att ”enbart en hypotetisk möjlighet att särskilja en individ inte är tillräcklig för att anse personen som
5 Yttrande 4/2007 om begreppet personuppgifter, ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2007/wp136_sv.pdf Den så kallade artikel 29-gruppen är en rådgivande och oberoende grupp som bildats på grundval av artikel 29 i det nuvarande dataskyddsdirektivet och som ska se till att det tidigare dataskyddsdirektivet tillämpas enhetligt i medlemsstaterna, bland annat genom att utfärda rekommendationer i alla frågor som rör personuppgiftsskyddet.
identifierbar” samt att om denna möjlighet inte existerar eller är försumbar när man beaktar hjälpmedel enligt ovan bör personen inte anses som identifierbar. Yttrandet gäller skäl 26 till nuvarande dataskyddsdirektivet (vars innehåll till stor del överensstämmer med skäl 26 i dataskyddsförordningen), men torde utifrån vad som sagts ovan fortfarande vara relevant.
Avidentifiering
Termen ”avidentifiering” används inte i dataskyddsförordningen. I tidigare sammanhang har uttrycket ”avidentifieringsmetoder” använts som översättning till ”anonymisation techniques”.6 Det finns alltså en oklarhet huruvida termerna ”avidentifiering” och ”anonymisering” avser samma begrepp. Båda termerna ”avidentifiering” och ”anonymisering” har tidigare använts i svensk rätt. Datainspektionen har exempelvis tidigare yttrat att ”avidentifierade uppgifter” enligt inspektionens mening inte har samma innebörd som ”anonyma uppgifter”,7 samt att anonyma uppgifter kan utgöra personuppgifter om de kan hänföras till en enskild individ som är i livet, exempelvis genom en kodnyckel. Datainspektionens egen praxis på detta område har inte varit helt konsekvent, troligen beroende på att man i remissammanhang och liknande följt avsändarens användning.
För att undvika otydlighet bedömer vi därför att ”avidentifiering” inte bör användas i samband med dataskyddsförordningen, och att ”anonymisering” används i den betydelse som framgår av skäl 26.
Återidentifiering
Med återidentifiering avses den process enligt vilken tidigare anonyma8 eller pseudonyma uppgifter åter fås att avse en identifierad person. Förordningen använder inte denna term, men bland skälen finns ett fåtal skrivningar om ”hävande av pseudonymiser-
6 Artikel 29-gruppens yttrande 05/2014. 7 Yttrande över ”Unik kunskap genom registerforskning (SOU 2014:45), dnr 2469-2014. 8 Som vi tolkar förordningens skäl 26 finns det ett åtminstone teoretiskt utrymme där anonym information kan återidentifieras, nämligen om hjälpmedel bortom det rimligas gräns använts eller om återidentifiering ändå varit möjlig trots att det var orimligt osannolikt.
ing”, som kan betraktas som en begränsad form av återidentifiering för just pseudonymiserade uppgifter. Skäl 75 talar om bl.a. personuppgiftsbehandling som kan leda till ”obehörigt hävande av pseudonymisering”, liksom skäl 85. Se även första delen av skäl 26 som diskuterar hur man kan avgöra om en fysisk person är identifierbar.
I en anonymiseringsprocess kan personuppgifter behandlas så att de blir mer eller mindre möjliga att återidentifiera. Beroende på anonymiseringen kan även en framtida återidentifiering göras med större eller mindre säkerhet. Rent tekniskt är det därför svårt att se anonymisering som en process i vilken information antingen är anonym eller inte.
Dataskyddsförordningen (och nuvarande dataskyddslagstiftning) förutsätter dock en indelning i antingen anonym information eller personuppgifter. Gränsdragningen blir därför huruvida hjälpmedel med rimlig sannolikhet kan komma att användas för att (åter)identifiera den fysiska personen. Ett exempel på sådant hjälpmedel är, enligt den engelska versionen av förordningen, ”singling out”, dvs. att särskilja uppgifter rörande en person från uppgifter rörande andra personer. Att kunna särskilja uppgifter om en person ska inte likställas med att kunna identifiera personen, även om särskiljande ofta kan vara första steget mot en identifiering. Det är värt att notera att den svenska översättningen av förordningen har översatt ”singling out” med ”utgallring”, vilket kan leda tankarna fel till gallring i arkivlagens (1990:782) mening. I denna text används därför ”särskilja” som huvudsaklig term.
Bakvägsidentifiering
Bakvägsidentifiering används ibland som synonym till återidentifiering. I vissa sammanhang kan denna term dock indikera att återidentifieringen är otillåten eller obehörig. Ett exempel är 6 § lagen (2001:99) om den officiella statistiken, som förbjuder sammanförande av uppgifter i den officiella statistiken med andra uppgifter i syfte att utröna enskilds identitet. Detta har i förarbetena benämnts just ”bakvägsidentifiering”.9
I detta betänkande används genomgående termen ”återidentifiering”.
Kvasiidentifierare
En kvasiidentifierare utgörs av en kombination av uppgifter som tillsammans unikt identifierar en fysisk person. Exempelvis kan kombinationen av ålder, kön, taxerad inkomst och postnummer ofta unikt särskilja en viss person. Identifierandet måste inte vara knutet till personens namn eller personnummer, utan det räcker enligt definitionen av personuppgift att det går att särskilja någons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Detta kan jämföras med indirekta personuppgifter, dvs. personuppgifter som inte direkt, men däremot med hjälp av annan tillgänglig information, kan hänföras till en person.
Ett exempel på användning av kvasiidentifierare kan tas från registret Stockholm Birth Cohort som består av information som ursprungligen samlats in inom ramen för det dåvarande Metropolitprojektet, med nya registerdata påfört. Efter att Metropolitprojektet upphörde 1984 behandlades de då insamlade uppgifterna på så sätt att möjligheten att identifiera ingående personer togs bort. Sedermera, och efter etikprövning, har man kunnat påföra nya uppgifter genom sannolikhetsmatchning, där uppgifter från andra databaser länkats samman genom att koppla information som fanns i samma form på båda ställena, till exempel hemort, yrke och hemförhållanden.10 Dessa variabler har tillsammans utgjort kvasiidentifierare med vars hjälp man kunnat påföra nya uppgifter på cirka 95 procent av de registrerade individerna. Utmärkande för kvasiidentifierare är att de inte lika precist pekar ut en specifik person jämfört med identifierare, och ofta kan uppstå utan att den personuppgiftsansvarige lägger märke till det. Exempelvis är det tänkbart att en viss kombination av ålder, yrke och postort, som inte utgör en kvasiidentifierare i en stor postort eftersom kombinationen där inte är unik, utgör en kvasiidentifierare i en liten postort, där dessa uppgifter kan särskilja någons sociala identitet även i avsaknad av namn.
10 Stenberg, S. Å., Vågerö, D., Österman, R., Arvidsson, E., von Otter, C. and Janson, C. G, “Stockholm Birth Cohort Study 1953-2003: a new tool for life-course studies.” Scandinavian Journal of Public Health, s. 104–110.
Dataset, poster och attribut
Dessa tre närliggande begrepp handlar om hur en samling uppgifter är ordnade. Med dataset avses en samling av poster. Med post avses en uppsättning värden (relaterade till en enskild person) för varje attribut. Med attribut avses en definierad egenskap. Dessa begrepp används här i samma betydelse som i artikel 29-gruppens yttrande 05/2014 om avidentifieringsmetoder,11 och är framför allt av betydelse i samband med diskussion om tekniska skyddsåtgärder.
I vissa sammanhang används datamängd som synonym till dataset, observation som synonym till post och variabel som synonym till attribut.
12.3.3. Tekniska och organisatoriska skyddsåtgärder
Dataskyddsförordningen använder genomgående uttrycket ”tekniska och organisatoriska åtgärder” med några variationer. Uttrycket definieras inte närmare, men får ändå uppfattas som en indelning i åtgärder som har en teknisk respektive organisatorisk karaktär.
Dessa typer av åtgärder är dock inte oberoende av varandra. Särskilt tekniska skyddsåtgärder kan ofta behöva kompletteras med organisatoriska, och ibland är det svårt att dra en skiljelinje. Ett exempel är accesskontroll, dvs. att endast den eller de inom en organisation som har behov av att komma åt vissa uppgifter ska kunna göra det. Detta är i grunden en teknisk åtgärd som genomförs av systemansvariga som sätter läsrättigheter på filer, auktorisering på interna tjänster och så vidare. Men själva bestämmandet av vilka arbetsuppgifter som medför behov av att komma åt vilka uppgifter är i allra högsta grad en organisatorisk skyddsåtgärd.
Tekniska skyddsåtgärder kan betraktas inom ramen för informationssäkerhet och dess olika skyddsmål, bl.a. konfidentialitet, integritet, tillgänglighet, spårbarhet och oavvislighet.12 Den personuppgiftsansvarige ska enligt artikel 32.1 b säkerställa flera av dessa mål.
För den registrerade vars personuppgifter behandlas är skyddsmålen konfidentialitet och riktighet (dataintegritet) av särskilt in-
11 Se yttrandet, s. 12. 12 Se bl.a. SOU 2004:32, s. 15.
tresse. För den personuppgiftsansvarige kan även skyddsmålen spårbarhet och oavvislighet vara centrala för att säkerställa att säkerhetsnivån är tillräcklig.
Vad gäller bedömningen av tekniska skyddsåtgärders lämplighet syftar samtliga åtgärder som behandlas i detta avsnitt helt eller delvis till att värna de registrerades rättigheter och friheter vad gäller dataskydd. Huruvida en viss teknisk skyddsåtgärd faktiskt även resulterar i ett effektivt skydd beror allt för mycket på omständigheterna kring den enskilda personuppgiftsbehandlingen och åtgärdens utformning för att det ska vara meningsfullt att generellt uttala sig om lämpligheten. Utredningen gör därför inga lämplighetsbedömningar i denna del.
Kryptering
Kryptering kan utgöra en byggsten för att uppnå samtliga skyddsmål, men är särskilt central för att åstadkomma konfidentialitet, dvs. säkerställa att data, inklusive personuppgifter, inte blir tillgängliga för någon annan än behörig part. Vid behandling som innebär överföring av personuppgifter mellan olika parter är även riktighet ett prioriterat skyddsmål, där kryptering kan spela en viktig roll.
Vad gäller konfidentialitet måste man göra skillnad på kryptering för överföring respektive lagring. Ursprungligen kommer kryptering från behovet att uppnå konfidentialitet vid dataöverföringar. Man kan se kryptering av lagrade data som ett specialfall av kryptering av dataöverföring – en överföring från en part till samma part över tid.13 Detta kan ställa högre krav på de metoder och processer som används, eftersom den skyddsvärda informationen kan exponeras under längre tid.
Styrning av åtkomst till personuppgifter (accesskontroll)
Accesskontroll, dvs. att på systemnivå möjliggöra eller förhindra tillgång till filer, tjänster och andra resurser, får anses vara en grundläggande del av informationssäkerhet. När resurserna inne-
13 Jfr Bruce Schneier, Data at rest vs. Data in motion, http://www.schneier.com/blog/archives/2 010/06/data_at_rest_vs.html
fattar lagrade personuppgifter utgör accesskontroll även en form av skyddsåtgärd som skyddar personuppgifterna från obehörig åtkomst (artikel 32.2).
Som nämnts inledningsvis i detta avsnitt har denna åtgärd både organisatorisk och teknisk karaktär. Det är den personuppgiftsansvarige som ansvarar för att besluta vilka fysiska personer som utför arbete med personuppgiftsbehandling under dennes överinseende och meddela instruktion för detta arbete (artikel 32.4). Att på systemnivå möjliggöra eller förhindra tillgång är sedan en teknisk åtgärd som kan ses som ett verkställande av sådana instruktioner.
I samband med registerforskning, där det många gånger är fråga om fjärråtkomst till uppgifterna kan accesskontrollen omfatta styrning av åtkomst för personer som inte arbetar under den personuppgiftsansvariges överinseende, utan som har ett självständigt personuppgiftsansvar. Det rör sig fortfarande om en skyddsåtgärd som minskar risken för obehörig åtkomst.
Själva åtkomsten kan utformas på många tänkbara sätt. Det behöver inte vara fråga om att ge behörighet i form av full tillgång till de lagrade personuppgifterna med möjlighet att exempelvis överföra dem till sin egen it-miljö. Man kan också ge åtkomst till tjänster genom vilka det går att komma åt delar av uppgifterna, funktioner för att sammanställa eller aggregera personuppgifter, eller liknande. All sådan utformning av tillgång utgör en form av skyddsåtgärd. Ett exempel på det senare är differentiell integritet, en metod för att göra personuppgifter anonyma, som förutsätter att den som vill använda innehållet i datasetet ges tillgång till kontrollerade vyer över datasetet, inte datasetet som sådant.
Fjärråtkomst
Fjärråtkomst är ett exempel på systemutformning som har verkan av en skyddsåtgärd. I ett typiskt datorsystem för fjärråtkomst samlas ett eller flera dataset tillsammans med analysverktyg med vilka den sammanlagda datamängden kan analyseras. Den forskare som behöver göra analyser av uppgifterna i systemet kan koppla upp sig till systemet på distans, utföra beräkningar och sammanställningar med de installerade analysverktygen, och sedan föra över resultatet
av analysen till sin egen it-miljö. Skyddsåtgärden består i att den underliggande datamängden, som innehåller personuppgifter, inte behöver överföras till forskarens egen it-miljö, utan endast resultatet av behandlingen, som kan bestå av aggregerade personuppgifter och som därmed inte utgör personuppgifter (jfr dataskyddsförordningens skäl 162). Detta bör dock ställas mot att själva möjligheten till fjärråtkomst ökar risken till integritetsintrång på så sätt att det introducerar en risk för att obehöriga personer ska få åtkomst på distans genom dataintrång, jämfört med om datamängden endast finns på ouppkopplade system. Vid en avvägning måste den personuppgiftsansvarige beakta de allmänna krav på säkerhet som förordningen ställer (se avsnitt 12.3.5).
I svensk miljö är exempelvis Statistiska centralbyråns (SCB) MONA ett viktigt system för fjärråtkomst.14 Användarvillkoren för MONA förbjuder kopiering av mikrodata, dvs. observationer på detaljnivå som innehåller personuppgifter, från MONA till något annat system (se vidare av snitt 12.3.4 om avtalsvillkor).
Federering av databaser
Med federering av databaser avses ett enhetligt och transparent sätt att tillgängliggöra data lagrat på flera olika ställen i flera olika system för databashantering.15 Detta utgör egentligen en hybrid av teknisk och organisatorisk åtgärd.
Skyddsåtgärden består här främst i att federeringen kan motverka behovet att lagra stora datamängder på ett och samma ställe. Detta förutsätter dock att dataöverföringen till den centrala punkt från vilken data tillgängliggörs (federationspunkten) hålls till ett minimum. Det förutsätter också att en federationsserver (”trusted location”) kan upprättas och är laglig att lämna uppgifterna till. Även kortvarigt processande i arbetsminnet på en gemensam dator kan betraktas som utlämnande av data och måste då ha en rättslig grund.
14 Se SOU 2012:36 s. 43 ff. samt SOU 2014:45 s. 335 ff. för mer information om hur MONA används. 15 Jfr exv. Federated Databases as a Basis for Infrastructure Supporting Epidemiological Research, Fomkin et al, i 20th International Workshop on Database and Expert Systems Application.
Själva federeringen av data kan ske med olika grad av flyktighet. I vissa sammanhang förekommer mellanlagring medan ett projekt pågår av en samkörd databas. I andra bara under de sekunder när data processas. I svenska forskningssammanhang finns vissa exempel på federerade lösningar, både nationellt och inom ramen för internationellt samarbete.16
Pseudonymisering
Pseudonymisering har en legaldefinition i förordningen. Denna definition tar dock inte upp hur pseudonymiseringen ska utformas. Detta kan göras på huvudsakligen två sätt, antingen baserat på identifierande uppgifter, eller utifrån helt fristående värden.
Pseudonymer baserade på identifierande uppgifter
I många fall, särskilt vid longitudinella studier, där det finns ett behov av att komplettera uppgifterna vid senare tillfälle, är det önskvärt att pseudonymen härleds från de ursprungliga uppgifterna. Ett enkelt exempel kan vara att skapa en pseudonym från ett personnummer genom att med en s.k. säker hashfunktion17 beräkna en hashsumma på personnumret. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya, personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.
Nackdelen är att denna process, särskilt om man bara använder en enstaka, starkt identifierande, uppgift som personnummer, inte är särskilt resistent mot återidentifiering. Om hashfunktionen är känd och man önskar ta reda på vilket personnummer som motsvarar en viss pseudonym räcker det med att pröva de cirka 400 miljoner möjliga personnummervärden som finns med hashalgoritmen för
16 Se SOU 2014:45 s. 337 ff. för en närmare beskrivning av dessa. 17 En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman.
att se vilket som motsvarar detta personnummer.18 För att motverka detta bör man välja en hashfunktion som är utformad för att vara resurskrävande. Denna underkategori av funktioner kallas allmänt nyckelderiveringsfunktioner (key derivation functions).
Vid användning av hashfunktionen kompletteras vanligen indata med ett unikt slumpvärde, s.k. saltning. Detta ökar resistensen så länge som saltet hålls hemligt. Det kan dock fortfarande vara möjligt att återidentifiera det ursprungliga värdet, särskilt om typen av värdet är känd och begränsad vad gäller möjliga värden.19
Pseudonymer i form av kodnycklar
Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudonymen. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande uppgifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.
Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifierande uppgifterna. Vid exempelvis longitudinella studier kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.
Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det.
18 Detta med antagandet att datamängden kan innehålla personer födda på 110 olika årtal, att det finns 365,25 dagar på ett år, och att de sista fyra siffrorna i ett personnummer kan anta 10 000 olika värden: 110 × 365,25× 10 000 = 401 775 000 olika personnummer. 19 Se artikel 29-gruppens yttrande 05/2014, s. 20.
När är det inte längre fråga om personuppgifter?
De definitioner som presenterats ovan väcker bl.a. frågan om vad som händer om man har pseudonymiserade personuppgifter med en separat kodnyckel, bestående av de kompletterande uppgifter som gör att uppgifterna kan tillskrivas en specifik registrerad, och kodnyckeln förstörs (med antagandet att kodnyckeln faktiskt kan förstöras, med tanke på molntjänster, backupper och annat) – blir det då fråga om anonymiserade data?
Vår bedömning är att det blir det, men denna bedömning vilar på en strikt tolkning av definitionen av pseudonymisering: Det centrala för att dataskyddsförordningen ska bli tillämplig är att personuppgifterna ska kunna tillskrivas en identifierbar person, dvs. det ska finnas antingen en identifierare eller ”en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet” (artikel 4.1).
För att det ska vara möjligt att tillskriva en person vissa uppgifter måste alltså denna person vara identifierbar. Som vi har sett är förordningens definition av ”identifierbar” bred och omfattar mer än bara namn och personnummer (se särskilt skäl 26 som anger att alla hjälpmedel som rimligen kan komma att användas för att identifiera någon ska beaktas vid denna bedömning). Det är lätt hänt att en viss kombination av attribut som bostadsort, yrke, kön, årsinkomst och liknande faktiskt är specifik för någons identitet i de angivna avseendena. Pseudonymisering måste därför, enligt denna strikta definition, omfatta mer än att bara byta ut identifierare som namn eller personnummer. Även andra attribut måste ändras så att de inte utgör faktorer som är specifika för den fysiska personens identitet i de angivna avseendena.
Det kan noteras att artikel 29-gruppen i det tidigare refererade yttrandet om avidentifieringsmetoder ställer ännu högre krav. Enligt dessa metoder ska det inte gå att särskilja (”single out”) en enskild individ på något sätt för att anonymisering ska anses ha skett. Detta gäller alltså även om man inte kan särskilja någon av dennes identiteter enligt ovan, utan endast avgöra att en viss post handlar om en särskild individ.20
20 Jfr artikel 29-gruppens yttrande 05/2014, s. 14.
Att en enskild person kan särskiljas, exempelvis genom att det i ett större dataset går att avgöra vilka poster som kan hänföras till denne person, är alltså inte nödvändigtvis samma sak som att denne är identifierbar. Personer vars personuppgifter är pseudonymiserade är alltid särskiljbara (genom själva pseudonymen). Att det går att särskilja exempelvis medicinska mätvärden för en enskild person innebär inte att denne person är identifierbar såvida inte mätvärdena tillsammans är specifika för exempelvis personens fysiska eller fysiologiska identitet.
Uppgifter om en viss person kan alltså vara särskiljbara utan att dataskyddsförordningen blir tillämplig, så länge som personen inte också är identifierbar enligt förordningens definition.
Randomisering
Randomisering är en familj av åtgärder som alla har det gemensamt att ett dataset skyddas genom att uppgifterna i det förvrängs i syfte att försvåra bakvägsidentifiering. Det ska i sammanhanget nämnas att alla förvrängningar av enskilda observationer innebär svårigheter för forskningen om metodiken innefattar att undersöka samband mellan värden på individnivå.
Brustillägg
Brustillägg innebär att enskilda attribut ändras inom vissa intervaller på så sätt att uppgifter inom en enskild post inte längre stämmer och därför inte kan användas för att återidentifiera en individ, men där attributets sammanlagda distribution i datasetet som helhet är oförändrat.
Permutation
Permutation innebär att enskilda attribut byts mellan poster så att varje enskilt attribut är korrekt, men inte uppträder i samma post som det ursprungligen gjorde. Detta kan ses som ett specialfall av brustillägg, men där intervall och distribution för varje attribut är oförändrat.
Differentiell integritet
Brustillägg och permutation är tekniker som måste tillämpas i förväg på ett dataset, och som syftar till att datasetet i sin helhet ska kunna överföras till en tredje part, utan risk att denna tredje part ska kunna göra en återidentifiering på materialet. I jämförelse är differentiell integritet (”differential privacy”) en teknik där det ursprungliga datasetet är oförändrat, men där tredje part inte ges tillgång till det. I stället får tredje part tillgång till vyer över datasetet utifrån en uppsättning fasta frågor. I en sådan vy läggs brus på attributvärden på ett sådant sätt att datasetets ägare (personuppgiftsansvarig) kan kontrollera hur mycket brus som ska läggas på för att kunna garantera en viss nivå av skydd. En fördel med denna metod är att åtkomst till datasetet sker genom fördefinierade frågor och under kontroll av ägaren till datasetet. Denne kan då övervaka om det uppstår möjligheter att identifiera enskilda individer genom olika vyer på datasetet.
Som skyddsåtgärd har differentiell integritet dock en praktisk nackdel i att det fulla datasetet fortfarande samlas in. Det finns därför en risk att överanvändandet av differentiell integritet leder till att mer dataset skapas än vad som är nödvändigt. I praktiken riskerar även dessa dataset göras tillgängliga i större utsträckning än vad som är nödvändigt, exempelvis via internet.
Generalisering
Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare på så sätt att integritetskänsliga eller särskiljande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges vilket åldersspann (exempelvis ”20–29 år”) denne faller inom. Sådan aggregering eller generalisering kan förstås begränsa informationen i och värdet av datasetet. Flera metoder för generalisering syftar till att minimera informationsförlusten av datasetets statistiska värde, men maximera svårigheten att urskilja enskilda individer i datasetet.
K-anonymitet
Med K-anonymitet utformas varje attributs möjliga värden så att minst K antal individer delar samma attributvärde. En enskild individ kan då inte identifieras som annat än del av en K individer stor grupp. Genom att välja värde på K kan man styra datasetets upplösning gentemot integritetsskyddet för den enskilde.
L-diversitet
K-anonymitet adresserar inte problemet med ekvivalensklasser, som kan beskrivas som grupper av attribut som kan vara korrelerade på så sätt att de kan användas för återidentifiering. L-diversitet kan ses som en utökning av K-anonymitet där problemet med ekvivalensklasser hanteras så att varje attribut i en ekvivalensklass har minst L olika värden.
T-närhet
Ett känsligt attribut är ett attribut som en angripare inte ska kunna härleda, dvs. en personuppgift vars exakta värde inte ska röjas. Med K-anonymitet och L-diversitet finns risken att fördelningen för ett sådant attribut inte är tillräckligt nära den riktiga fördelningen, vilket i sin tur kan leda till informationsläckage. T-närhet åtgärdar detta genom att kräva att skillnaden i fördelningen av ett känsligt attribut i någon ekvivalensklass och fördelningen av samma attribut i det totala datasetet befinner sig under ett tröskelvärde T.
Sökbegränsningar
I svensk lagstiftning har ofta sökbegränsningar, dvs. förbud mot användning av vissa sökbegrepp, använts som en slags skyddsåtgärd, särskilt i registerförfattningar.21 Det rör sig vanligtvis om förbud eller begränsningar kring att använda känsliga personuppgifter eller uppgifter om lagöverträdelser och liknande som sök-
21 Se bl.a. prop. 2007/08:126, s. 67 f, prop. 2000/01, s. 100 f. samt prop. 2014/15:148, s. 51 f.
begrepp. Dataskyddsförordningen innehåller i sig inte någon reglering av just sökmöjligheter, men eftersom sökning och den resulterande sammanställningen utgör en form av personuppgiftsbehandling måste den, som all annan behandling, vara förenlig med de angivna ändamålen.
Sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen har därför föreslagit ett generellt förbud mot att använda dessa typer av uppgifter som sökbegrepp när personuppgifter behandlas med stöd av ett viktigt allmänt intresse (artikel 9.2 g), i första hand i samband med ärendehandläggning.22
Vid personuppgiftsbehandling för forskningsändamål måste det dock vara möjligt att göra urval baserade på de faktorer eller variabler som ska studeras när detta är nödvändigt för att uppfylla ändamålet med behandlingen. Dessa faktorer eller variabler kan utgöras av känsliga personuppgifter eller uppgifter om lagöverträdelser och liknande.
Frågan om sökbegränsningar för system inrättade för forskningsändamål har aktualiserats i enskilda fall, exempelvis i samband med personuppgiftsbehandling vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). I förarbetena uttalades bl.a. följande:
IFAU söker i sina studier svar på frågan om värdet på en variabel, t. ex. antal dagar i arbetslöshet, har betydelse i förhållande till en viss utfallsvariabel, t.ex. att en enskild har fått arbete. Forskningsmetodiken är ofta explorativ på så sätt att olika modeller med många variabler undersöks. De variabler som inte har någon betydelse för utfallsvariabeln utesluts. Då återstår samband som kan tolkas och utvärderas. Att leta samband bland många variabler, även bland sådana där uppenbara logiska samband saknas, har visat sig vara en effektiv och värdefull metod för att hitta ny kunskap. Det är därmed inte önskvärt att begränsa antalet variabler som IFAU får använda i sin verksamhet.23
22SOU 2017:39 avsnitt 10.6.2. 23Prop. 2011/12:176 s. 48 f.
Även rörande den s.k. LifeGene-lagen har sökbegränsningar som skyddsåtgärd avstyrkts:
Med hänsyn till att det för utlämnande till forskningsprojekt måste vara möjligt att göra urval baserade på de faktorer eller variabler som ska studeras bör det dock inte i den föreslagna lagen ställas upp några begränsningar för vilka sökbegrepp som får användas.24
Även Registerforskningsutredningen har behandlat frågan om sökbegränsningar i databaser för forskningsändamål, och inte funnit skäl att införa sådana begränsningar:
Endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna. Det innebär att innehållet i databasen och därmed också möjliga sökbegrepp är noga avvägt och begränsat. För att databasen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas.25
Mot bakgrund av ovanstående anser vi därför inte att en generell sökbegränsning ska gälla vid personuppgiftsbehandling för forskningsändamål.
Utbildning av personal med tillgång till personuppgifter
Att utbilda den personal som har tillgång till personuppgifter lyftes fram som en av flera möjliga skyddsåtgärder vid förhandlingarna även om detta inte togs med i den slutliga förordningstexten.26 Att utbilda personal får i allmänhet anses följa av förordningens allmänna bestämmelser och varje individs skyldighet att känna till lagen, och i synnerhet av den princip som framgår av artikel 5.2 (ansvarsskyldighet). Det kan dock inte uteslutas att certifiering27 eller liknande av personal med tillgång till personuppgifter kan vara en organisatorisk åtgärd som minskar risken för intrång i de registrerades integritet.
24Prop. 2012/13:163 s. 43. 25SOU 2014:45 s. 442. 26 Note from German delegation to Working Party on Information Exchange and Data Protection, Subject: Pseudonymisation (dokument 14705/14, 24 oktober 2014), data.consilium.europa.eu/doc/document/ST-14705-2014-INIT/en/pdf 27 Med certifiering avses här ett utfärdande (från ett behörigt certifieringsorgan) som syftar till att visa att en viss person har kunskap om personuppgiftsbehandling och dess förenlighet med förordningen.
Det bör i sammanhanget nämnas att dataskyddsförordningen reglerar och uppmuntrar möjligheten till certifiering av behandling av personuppgifter (artikel 42). Det är dock inte samma sak som certifiering av personuppgiftsansvariga när denna tar sikte på själva processen för behandlingen snarare än de personer som utför den.
Avskild verksamhet
Det följer direkt från förordningens säkerhetskrav att den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att varje fysisk person som utför arbete under dennes överinseende endast behandlar personuppgifter på instruktion från denne (artikel 32.4). Utöver detta kan det också vara fördelaktigt att avskilja personuppgiftsbehandlande verksamhet från övrig verksamhet.
Att skapa en avskild verksamhet inom en större myndighet eller ett företag, genom att exempelvis ha fysiskt avskilda servrar, låsta avdelningar, organisatorisk indelning, behörighetskontroll med mera, syftar till att begränsa framför allt de personer som har tillgång till personuppgifterna, samt även utgöra en tydligare och mer kontrollerbar gräns som skydd mot dataintrång. Det kan därför utgöra en skyddsåtgärd i dataskyddsförordningens mening.
Ett exempel på en lagreglerad avskild verksamhet utgör 10 § förordningen (2001:100) om den officiella statistiken, som rör behandling av personuppgifter och som anger att en statistikansvarig myndighets verksamhet för framställning av statistik ska vara organiserad så att den är avgränsad från myndighetens verksamhet i övrigt.
Regelefterlevnad (”compliance”)
När en viss skyddsåtgärd införs är det viktigt att verksamheten anpassas så att det är möjligt att kontrollera att åtgärden har avsedd effekt. Om exempelvis accesskontroll för personuppgifter införs kan man inte veta om den fungerar som avsett utan att följa upp hur denna kontroll har efterlevts i praktiken. Detta görs ofta genom loggkontroller, där man analyserar de loggar som systemet för accesskontroll kan föra, och genom vilka man kan få reda på vilka som har medgivits eller nekats tillgång till vilka resurser.
Sådan loggning och logguppföljning utgör förstås personuppgiftsbehandling i sig, med de anställda som registrerade, och behöver ha stöd i bl.a. artiklarna 5 och 6 i dataskyddsförordningen.
I en bredare bemärkelse utgör regelefterlevnad ett förfarande för att testa, undersöka och utvärdera effektiviteten hos andra skyddsåtgärder. Av artikel 32.1 d framgår att ett sådant förfarande kan övervägas för att säkerställa en lämplig säkerhetsnivå. Förordningen förelägger dock inte den personuppgiftsansvarige att göra just detta.
Regelefterlevnad utgör således ett förfarande för att bl.a. testa, undersöka och utvärdera effektiviteten av införda åtgärder, och är enligt utredningens bedömning en skyddsåtgärd som kan användas för att säkerställa en lämplig säkerhetsnivå.
12.3.4. Rättsliga skyddsåtgärder
Det finns ett antal rättsligt orienterade åtgärder som kan öka skyddet för personuppgifter och de registrerades grundläggande rättigheter och friheter. Vi har samlat dessa under begreppet ”rättsliga skyddsåtgärder”, en indelning som inte förekommer i förordningstexten.
Det bör uppmärksammas att termen ”tekniska och organisatoriska åtgärder” används i artikel 89.1, angående vilka åtgärder som krävs för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Detta får anses medföra att en rättslig åtgärd inte ensam kan utgöra sådan skyddsåtgärd som krävs enligt denna artikel.
På andra ställen i förordningen (bl.a. artikel 9.2 j om behandling av känsliga uppgifter) används däremot ”lämpliga skyddsåtgärder” utan någon avgränsning. I detta sammanhang är det fråga om sådana åtgärder som ska vara fastställda enligt unionsrätten eller medlemsstaternas nationella rätt.
Det krävs därför en vidare analys av i vilka sammanhang följande åtgärder kan uppfylla förordningens krav på skyddsåtgärder. Utöver nedanstående åtgärder analyseras även etikprövning som skyddsåtgärd i kapitel 14.
Avtal
I vissa sammanhang kan avtalsvillkor som exempelvis begränsar mottagares rätt att vidarebehandla personuppgifter utgöra en skyddsåtgärd. Ett exempel är SCB:s tjänst för mikrodata (MONA). Med mikrodata avses i statistiska sammanhang information på individuell svarsnivå. Detta innefattar vanligen personuppgifter. I tjänstens användarvillkor intygar användaren bl.a. att inte kopiera mikrodata från MONA-systemet till annan dator.28
Skyddet består i att ytterligare behandling hos mottagaren – som förstås måste ha en tillämplig rättslig grund för sin behandling av personuppgifter och i övrigt uppfylla de grundläggande principerna för personuppgiftsbehandling – genom ett eller flera avtalsvillkor kan begränsas. Av dataskyddsförordningens artikel 46.3 e framgår att avtalsvillkor kan utgöra skyddsåtgärder vid vissa tredjelandsöverföringar. Vår bedömning är att avtalsvillkor generellt kan utgöra skyddsåtgärder. Lämpligheten är dock förstås avhängigt villkorens materiella innehåll.
Sekretessbestämmelser
Detta avsnitt fokuserar på skyddet för personuppgifter som behandlas inom ramen för forskningsverksamhet när det är fråga om att lämna ut dessa personuppgifter till annan verksamhet.
I offentlighets- och sekretesslagen (2009:400) (OSL) regleras ett fåtal typer av uppgifter i sammanhang som har direkt anknytning till forskning:
- Uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål (24 kap. 1 § OSL).
- Uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts det rättspsykiatriska forskningsregistret (24 kap. 2 § OSL).
- Uppgift som avser en enskilds personliga förhållanden i verksamhet enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den s.k. ”LifeGenelagen”), 24 kap. 2 a § OSL).
28 Se även FAQ: ”Finns det restriktioner på vilken typ av information filerna jag tar hem får innehålla? Ja, datafiler får ej innehålla mikrodata utan enbart aggregat.”, h ttp://www.scb.se/Grupp/ Pr odukter_Tjanster/Forskare/_Dokument/MONA/FAQ.pdf
- Uppgifter om en enskilds personliga eller ekonomiska förhållanden i verksamhet som består i etikprövning och tillsyn enligt etikprövningslagen (24 kap. 3 § OSL).
- Uppgift i en upptagning som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål, (24 kap. 4 § OSL).
Utöver ovanstående finns vissa regler till skydd för enskild som gäller oavsett i vilket sammanhang uppgiften förekommer:
- Uppgifter om enskilds hälsa eller sexualliv (21 kap. 1 § OSL).
- Om ett utlämnande av personuppgift skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (21 kap. 7 § OSL).
Dessa bestämmelser har olikartad utformning vad gäller presumtion för offentlighet eller sekretess, sekretessens styrka m.m. Utformningen av bestämmelserna i varje enskilt fall får antas ha gjorts med beaktande av risker för den enskilde. Under dessa förutsättningar är vår bedömning att de aktuella sekretessbestämmelserna också utgör skyddsåtgärder i dataskyddsförordningens mening. En likartad bedömning har även tidigare gjorts i samband med genomförandet av det nuvarande dataskyddsdirektivet.29 Eftersom sekretesslagstiftningen i sig utgör en avvägning mellan skyddet för den enskilde och insynsintresset får lagstiftningen presumeras vara förenlig med det väsentliga innehållet i rätten till dataskydd.
Av praktisk betydelse för forskningen är även den regel om överföring av sekretess som återfinns i 11 kap. 3 § OSL och som anger att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten (med undantag för uppgifter som ingår i beslut hos den mottagande myndigheten). Den s.k. statistiksekretessen (24 kap. 8 § OSL) är här av särskild betydelse för registerbaserad forskning.
En effekt av en sekretessbestämmelse är att den person som vid en myndighet får del av en uppgift för vilken det råder sekretess kan dömas till ansvar för brott mot tystnadsplikt om denne ändå röjer uppgiften (20 kap. 3 § brottsbalken via 4 kap. 2 § OSL). För
vissa sekretessbestämmelser går denna tystnadsplikt även före den grundlagsskyddade meddelarfriheten.
I den mån aktuell forskning utförs inom en myndighet bedömer utredningen att tillämpliga sekretessbestämmelser utgör en rättslig skyddsåtgärd för den registrerades rättigheter och friheter.
Tystnadsplikt
Användning av tystnadsplikt som skyddsåtgärd nämns särskilt i förordningens artikel 9.2 i som ett undantag från det generella förbudet att behandla känsliga personuppgifter på folkhälsoområdet. En motsvarande bestämmelse saknas dock för behandling för forskningsändamål. Av föregående avsnitt om sekretess framgår att det för en uppgift som omfattas av sekretess råder tystnadsplikt för den person vid en myndighet som får del av uppgiften.
Utöver den tystnadsplikt som följer av sekretessen finns regler om tystnadsplikt som träffar personer inom enskild verksamhet. Exempelvis anger 6 kap. 12 § patientsäkerhetslagen (2010:659) att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Bestämmelserna är avsedda att ge patienten samma skydd som enligt OSL.30 Denna bestämmelse tar dock inte sikte på forskning i enskild verksamhet.
För uppgifter inom enskilt bedriven forskning finns inte, som till exempel inom privat hälso- och sjukvård, några generellt tillämpliga bestämmelser om tystnadsplikt. Om en forskare i enskild verksamhet begär ut uppgifter som omfattas av sekretess från en myndighet kan dock uppgifterna i vissa fall ändå lämnas ut, med stöd av 10 kap. 14 § OSL och med ett förbehåll som ålägger den enskilde forskaren tystnadsplikt.
Vår bedömning är att befintlig lagreglerad tystnadsplikt, utöver vad som följer av sekretesslagstiftningen, endast undantagsvis kan sägas utgöra en skyddsåtgärd i dataskyddsförordningens mening. Vi bedömer vidare att det inte ryms inom utredningens uppdrag att komma med nya förslag på reglering av tystnadsplikt, då sådana
förslag skulle ha konsekvenser utanför de frågor vi har i uppdrag att reglera.
Avtalsreglerad tystnadsplikt kan dock, på samma sätt som andra avtalsvillkor, utgöra lämplig skyddsåtgärd.
Möjlighet att motsätta sig behandling (opt out-reglering)
I kapitel 6 har utredningen redogjort för möjligheterna att använda samtycke som rättslig grund för personuppgiftsbehandling.
Ett alternativt förhållningssätt till den enskildes viljeyttring kan vara att, inom ramen för en personuppgiftsbehandling som sker på annan rättslig grund än samtycke, ge den registrerade möjlighet att motsätta sig behandling av dennes personuppgifter (opt out-reglering). Exempel på sådana möjligheter i lagstiftningen finns i 7 kap. 2 § patientdatalagen (2008:355), där den enskilde ges möjlighet att motsätta sig att dennes personuppgifter behandlas i ett s.k. kvalitetsregister.31 Ytterligare exempel finns i 11 § personuppgiftslagen, där den enskilde ges möjlighet att skriftligen motsätta sig behandling av sina personuppgifter för ändamål som rör direkt marknadsföring.32I dessa fall utgör den enskildes motsättande ett absolut rättsligt hinder för vidare personuppgiftsbehandling.
Om grunden för behandlingen i stället är en intresseavvägning enligt dataskyddsförordningens artikel 6.1 f (motsvarande dagens reglering i 10 § f personuppgiftslagen) får den registrerades uttryckliga motsättande mot behandlingen visserligen anses väga tungt, men den utgör inte ett absolut hinder.33
Om grunden för behandlingen är intresseavvägning enligt artikel 6.1 f eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e har den registrerade rätt att göra invändningar mot behandlingen enligt artikel 21. Denna möjlighet behandlas närmare i avsnitt 10.3.4.
31 Med kvalitetsregister avses enligt 7 kap. 1 § patientdatalagen en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. 32 En motsvarande bestämmelse finns i artikel 21.3 i dataskyddsförordningen. 33 I forskningssammanhang är det av stor betydelse att en myndighet inte kan basera en laglig behandling på intresseavvägning som rättslig grund enligt artikel 6.1 andra stycket i dataskyddsförordningen.
Opt out skiljer sig från avsaknad av samtycke eftersom den enskilde aktivt måste motsätta sig behandlingen. Skyddsåtgärden består i att den enskilde ges kontroll att hindra en personuppgiftsbehandling som annars hade varit tillåten.
Vid opt out-reglering som skyddsåtgärd är grundförutsättningen att det finns en annan rättslig grund än samtycke för personuppgiftsbehandlingen. För att opt out-regleringen ska vara effektiv måste den enskilde få vetskap om att den sker i enlighet med artiklarna 12–14 i dataskyddsförordningen. Möjligheten att exempelvis låta bli att informera den enskilde i enlighet med artikel 14.5 b får inte användas om opt out-reglering ska tillämpas som skyddsåtgärd. Inte heller kan den enskildes rätt till tillgång enligt artikel 15 inskränkas med stöd av artikel 89.2.
Reglering av möjlighet att motsätta sig behandling bör kunna förenas med formkrav på exempelvis skriftlighet, undertecknande eller liknande. För att regleringen ska betraktas inte bara som en skyddsåtgärd i sig utan också som en lämplig skyddsåtgärd måste dock eventuella formkrav vara proportionerliga gentemot ett legitimt intresse som formkravet har till syfte att säkerställa. Det kan exempelvis vara fråga om att försäkra sig om att det verkligen är den registrerade som är den som motsätter sig behandlingen. I sammanhanget bör beaktas de villkor för den registrerades utövande av sina rättigheter som framgår av artikel 12 samt rätt till information och tillgång som framgår av artiklarna 13–15. Särskilt bör formkrav utformas så att de kan uppfyllas på enklast möjliga sätt, vilket ofta innebär elektroniskt uppfyllande (jfr skäl 59).
Arkivering, gallring och utplåning
I sådan forskning som bedrivs i offentlig verksamhet medför offentlighetsprincipen att enskilda har rätt att ta del av allmänna handlingar hos myndigheter (2 kap. tryckfrihetsförordningen). Myndigheters arkiv är en del av det nationella kulturarvet. För att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov ska myndigheternas arkiv bevaras, hållas ordnade och vårdas enligt 3 § arkivlagen (1990:782).
Med gallring avses generellt att förstöra allmänna handlingar eller uppgifter i allmänna handlingar. I en digital miljö omfattas även åtgärder med handlingarna som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter, eller förlust av möjligheter att bedöma handlingarnas autenticitet (2 kap. 1 § RA-FS 2009:1).
Huvudregeln i arkivlagstiftningen är att allmänna handlingar ska arkiveras för att därefter kunna gallras eller bevaras. Principen om uppgiftsminimering i dataskyddsförordningen föreskriver däremot bl.a. att uppgifter inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas. Principen om lagringsminimering föreskriver vidare att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas.34 Särskilt vad gäller personuppgiftsbehandling för forskningsändamål anges i artikel 89.1 att när dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
I den mån arkivering innebär att uppgifter avskiljs från den vanliga verksamheten genom att exempelvis lagras separat kan effekten bli ett visst skydd för den registrerades rättigheter och friheter enligt dataskyddsförordningen. Men även separat lagring utgör personuppgiftsbehandling. Den princip om allmänna handlingars bevarande som finns i den svenska arkivlagstiftningen är därmed i konflikt med de olika minimeringsprinciperna i dataskyddsförordningen. Vad gäller arkivlagstiftningens förenlighet med nuvarande dataskyddsdirektiv har denna konflikt adresserats i samband med genomförandet i form av 8 § andra stycket personuppgiftslagen, som anger att lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Dataskyddsutredningen har haft i uppdrag att bl.a. analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar som behövs utöver dataskyddsförordningen.
34 Personuppgifter får dock lagras under längre tid i den mån de enbart behandlas för bl.a. arkiv- och forskningsändamål, under förutsättning att skyddsåtgärder genomförs.
Även om arkivering kan vara tillåten enligt dataskyddsförordningen kan det, med tanke på den ovan beskrivna konflikten, knappast bedömas utgöra en skyddsåtgärd. Gallring, i den betydelse att uppgifterna utplånas, kan däremot utgöra en sådan åtgärd som särskilt säkerställer att principen om lagringsminimering i artikel 5.1 e och kraven i artikel 89.1 uppfylls. Vår bedömning är därför att beslut om gallring inom en viss myndighetsverksamhet kan utgöra en rättslig skyddsåtgärd i dataskyddsförordningens mening vad gäller behandling för forskningsändamål i den mån kriterierna för gallring motsvarar de krav som följer av principen om uppgiftsminimering i artikel 5.1 e samt kravet på att ändamålen ska uppfyllas genom uppgifter som inte medger identifiering av de registrerade när så är möjligt i artikel 89.1.
12.3.5. Säkerhet
Utöver de lämpliga skyddsåtgärder som artikel 89.1 kräver ställer förordningen i artikel 25 och 32 krav på att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Dessa åtgärder kan i många fall vara av samma slag, även om skyddsobjektet (den registrerades rättigheter och friheter, respektive lämplig säkerhetsnivå) skiljer sig åt.
Kriterier för en lämplig säkerhetsnivå
I det nuvarande dataskyddsdirektivets artikel 17 anges att medlemsstaterna ska föreskriva att lämpliga tekniska och organisatoriska åtgärder ska genomföras för att skydda personuppgifter. Åtgärderna ska med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas. Artikeln har genomförts i 31 § personuppgiftslagen.
Motsvarigheten i dataskyddsförordningen finns i artikel 32.1, som inleds:
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Jämfört med artikel 17 i det nuvarande dataskyddsdirektivet är denna uppräkning av utvärderingskriterier för vad som är en lämplig åtgärd mer detaljerad, men innehåller inte något kriterium som i sak avviker från artikel 17. En genomgång av de olika kriterierna kan göras utifrån lydelsen av artikel 32 i dataskyddsförordningen enligt nedan.
Med beaktande av den senaste utvecklingen
Rubriken får anses motsvara ”Med beaktande av den nuvarande tekniska nivån” i artikel 17 i det nuvarande dataskyddsdirektivet. Det framstår emellertid inte som självklart hur man ska se på den omständighet att teknik inte nämns i det nya kriteriet – är det underförstått att det är fråga om den tekniska utvecklingen inom i första hand it-säkerhet, eller ska även utvecklingen inom närbesläktade, ”mjukare” områden beaktas, såsom risker som kan uppstå med nya möjligheter till social manipulation?
Mot bakgrund av fortsättningen av artikel 32, vilken behandlar åtgärder som i första hand är förknippade med it-säkerhet, finner vi att en rimlig utgångspunkt är att det är it-utvecklingen, särskilt på säkerhetsområdet, som ska beaktas i första hand.
Den nya lydelsen förmedlar tydligare att utvecklingen på området hela tiden fortgår. Detta får till effekt att en åtgärd som bedöms som lämplig ett år kanske inte är lämplig året efter, just på grund av utvecklingen. Särskilt vad gäller it-säkerhet och metoder för kryptering upptäcks hela tiden mer avancerade attacker mot dessa.
Genomförandekostnaderna
Rubriken får anses motsvara ”de kostnader som är förknippade med åtgärdernas genomförande” i artikel 17 i det nuvarande dataskyddsdirektivet. Vad som är kostnadsdrivande i genomförandet av en åtgärd beror såväl på den faktiska åtgärden som på det sammanhang den ska införas i. En organisation med hög teknisk kompetens och befintliga liknande åtgärder kommer att kunna införa en viss teknisk åtgärd billigare än en organisation som saknar denna kunskap.
Generellt sett medför dock den tekniska utvecklingen att genomförandekostnaderna för en specifik teknisk åtgärd i allmänhet sjunker över tid. Detta bl.a. på grund av hård- och mjukvaras kommodifiering, dvs. att från början tekniskt avancerade funktioner som krypterad lagring och servercertifikat för säker kommunikation går mot att bli standardfunktioner. Detta utgör en motvikt till den ovan nämnda tendensen att en specifik åtgärd kan anses mindre och mindre lämplig allt eftersom tiden går. Tillsammans ger båda dessa utvecklingstendenser att bedömningen av vad som utgör lämpliga säkerhetsåtgärder måste göras kontinuerligt, inte enbart vid behandlingens början.
Behandlingens art, omfattning, sammanhang och ändamål
Rubriken får anses motsvara ”arten av de uppgifter som ska skyddas” i artikel 17 i det nuvarande dataskyddsdirektivet, eller som kriteriet uttryckts i svensk lagstiftning, ”hur pass känsliga de behandlade personuppgifterna är” (31 § d personuppgiftslagen). Dataskyddsförordningen utgår dock från att man ska beakta behandlingen, inte uppgifterna i sig. En ytterligare ändring är att där direktivet endast utgår från uppgifternas art så utgår förordningen från behandlingens art, omfattning, sammanhang och ändamål.
Detta kriterium, tillsammans med nästföljande, tydliggör att valet av lämplig skyddsåtgärd fordrar en avvägning: å ena sidan utifrån vad som är tekniskt och ekonomiskt rimligt, å andra sidan utifrån hur viktigt skyddet egentligen är. Det förefaller naturligt att den registrerades rättigheter måste skyddas mer noggrant när det är fråga om känsliga personuppgifter än när det är fråga om mer alldagliga uppgifter, och att detta skydd i så fall måste få kosta mer.
Riskerna för fysiska personers rättigheter och friheter
Rubriken indikerar ett avslutande kriterium som får anses motsvara ”de risker som är förknippade med behandlingen” i artikel 17 i det nuvarande dataskyddsdirektivet. Ingen av dessa formuleringar kan dock läsas helt fristående, eftersom artiklarna på andra ställen i förordningen större detalj beskriver riskbedömningen. Artikel 17 i det nuvarande dataskyddsdirektivet inleds:
Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.
Dataskyddsförordningens artikel 32.2 anger:
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Även om skyddsmålet i slutändan är den enskildes integritet ligger tyngdpunkten vid denna riskbedömning på uppgiftsförstörelse eller obehörigt röjande. Dataskyddsförordningen nämner även obehörig åtkomst. Den omständighet att dataskyddsförordningen till skillnad från det nuvarande dataskyddsdirektivet inte i detta sammanhang nämner ”överföring av uppgifter i ett nätverk” medför enligt vår bedömning inte en materiell förändring av riskbedömningen, utan får snarast ses som en följd av att överföring i nätverk är det vanliga år 2017, på ett sätt som det kanske inte var år 1995 när det nuvarande dataskyddsdirektivet antogs.
Den nationella säkerhetsstrategin
Regeringen presenterade den 8 januari 2017 en ny nationell säkerhetsstrategi. Under rubriken ”Informations- och cybersäkerhet, digitala risker” framhålls att det är en uppgift för alla aktörer i samhället att fortlöpande arbeta för att minska sårbarheter. Förmågan
att förebygga, identifiera och hantera it-incidenter och antagonistiska attacker behöver därtill förbättras inom alla samhällsviktiga funktioner. Regeringen håller även på att ta fram en nationell strategi för informations- och cybersäkerhet som bl.a. bygger på EU-direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet).35 NISdirektivet och dataskyddsförordningen innehåller inga direkta referenser mellan sig. Nationella och unionsrättsliga regler om it-säkerhet måste förstås ändå beaktas inom ramen för den personuppgiftsansvariges säkerhetsansvar.
12.4. Överväganden och förslag
Nedan lämnar vi förslag på bestämmelser om skyddsåtgärder gällande all personuppgiftsbehandling för forskningsändamål. Utöver dessa lämnar vi även specifika förslag på bestämmelser om skyddsåtgärder vid behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. i kapitel 14.
12.4.1. Lämplig normgivningsnivå
Utredningens bedömning: Bestämmelser om skyddsåtgärder
vid personuppgiftsbehandling kan och bör ges i författningsform.
Det utesluter inte att skyddsåtgärder även kan beslutas i det enskilda fallet genom meddelade villkor i samband med etikprövning, eller självregleras genom godkända uppförandekoder.
Vi föreslår inte något särskilt bemyndigande för en myndighet att meddela föreskrifter om skyddsåtgärder.
Vårt uppdrag i denna del är att lämna förslag på sådana lämpliga skyddsåtgärder som personuppgiftsbehandling för forskningsändamål ska omfattas av. Vi ska vidare lämna behövliga författningsförslag.
35 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Se vidare utredningen om genomförande av NIS-direktivets betänkande Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36).
För att behandling av känsliga personuppgifter ska vara tillåten måste den enligt artikel 9.2 j vara nödvändig på grundval av unionsrätten eller medlemsstaternas nationella rätt som ska innehålla bestämmelser om skyddsåtgärder. Även behandling av personuppgifter om lagöverträdelser m.m. av andra än myndigheter kräver stöd i unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts. Utöver detta är det inte självklart att lämpliga skyddsåtgärder för personuppgiftsbehandling för forskningsändamål måste regleras i nationell lagstiftning, även om det av skäl 156 framgår att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål. Dataskyddsförordningens krav på lämpliga skyddsåtgärder i artikel 89.1 är direkt tillämpliga. Nationell reglering som anvisar vissa särskilda skyddsåtgärder förhindrar inte EU-domstolen att göra en självständig bedömning av huruvida en viss skyddsåtgärd är lämplig i ett visst sammanhang.
Alternativ till lagreglering av skyddsåtgärder kan vara att bemyndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder enligt artikel 40 kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas.
Etikgodkännande med villkor
Etikprövningsnämnderna har enligt gällande rätt och även enligt våra förslag möjlighet att förena ett etikgodkännande med villkor. Dessa villkor kan utgöra skyddsåtgärder.
Det är visserligen så att etikprövning i dag sker, och även fortsättningsvis föreslås ske, endast för forskning som medför behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. Forskning som inte innefattar behandling av denna typ av personuppgifter etikprövas inte, och det saknas därför möjlighet att ålägga sådan forskning villkor enligt etikprövningslagen. Det får dock antas att forskning av detta slag generellt sett är mindre känslig för den personliga integriteten, och att behovet av den förutsägbara och lagreglerade tillämpningen av skyddsåtgärder är mindre i dessa fall. Kravet på lämpliga skyddsåtgärder kvarstår även när etikprövning inte är obligatoriskt, men den personuppgiftsansva-
rige har då att självständigt göra en bedömning av vilka skyddsåtgärder som bör tillämpas. Datainspektionen har som tillsynsmyndighet möjlighet att utöva tillsyn över sådan behandling.
Uppförandekoder
Dataskyddsförordningen ger en möjlighet till införande av uppförandekoder som kan godkännas av tillsynsmyndighet eller kommissionen (artikel 40). Efter godkännande kan anslutning till sådan uppförandekod användas för att visa att den personuppgiftsansvarige uppfyller sina skyldigheter (artikel 24). Avsikten med sådana uppförandekoder är att bidra till att förordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där personuppgiftsbehandling sker. Ett sådant exempel är Biobanking and BioMolecular resources Research Infrastructure (BBMRI), ett s.k. European Research Infrastructure Consortium (ERIC), som har för avsikt att ta fram en uppförandekod för ”health and life science”. Första utkastet till en sådan uppförandekod kommer att presenteras under juli 2017 med målsättningen att ha en version som kan godkännas enligt den process som anges i artikel 40.36
Vår bedömning är att sådana uppförandekoder kan vara en lämplig mekanism för självreglering av personuppgiftsbehandling för forskningsändamål under tillsynsmyndigheten och kommissionens insyn.
Sammanfattning
Med beaktande av befintliga möjligheter att reglera skyddsåtgärder när personuppgifter behandlas för forskningsändamål gör vi bedömningen att det är möjligt och lämpligt att införa sådan reglering i författningsform.
Jämfört med villkor meddelade vid etikgodkännande samt uppförandekoder kan en författningsreglering ge större tydlighet vid tillämpningen och säkerställa att lämpliga åtgärder vidtas även för behandling som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.
36 Se vidare Summary Report on the BBMRI-ERIC Working Meeting on Health and Life Sciences GDPR Code of Conduct, http://www.bbmri-eric.eu/news-events/summary-report -on-the-bbmri-eric-working-meeting-on-health-and-life-sciences-gdpr-code-of-conduct/
12.4.2. Förslag till skyddsåtgärder
Uppgifter får inte användas för att vidta åtgärder i fråga om den registrerade
Utredningens förslag:Personuppgiftslagens befintliga bestäm-
melse som anger att uppgifter som samlats in för forskningsändamål normalt inte får användas för att vidta åtgärder i fråga om den registrerade förs över till forskningsdatalagen.
Den befintliga bestämmelsen i 9 § fjärde stycket personuppgiftslagen samt undantaget i 8 § andra stycket samma lag för myndighets användning av personuppgifter i allmänna handlingar överförs till forskningsdatalagen. Dessa två bestämmelser har tillsammans tidigare bedömts vara en lämplig skyddsåtgärd när uppgifter behandlas för bl.a. forskningsändamål.37
Den befintliga bestämmelsen i 9 § fjärde stycket personuppgiftslagen omfattar historiska, statistiska eller vetenskapliga ändamål. Vad gäller historiska och statistiska ändamål har Dataskyddsutredningen föreslagit en likartad reglering i dataskyddslagen för arkivändamål och statistiska ändamål. Dataskyddsutredningen har bedömt att det saknas skäl att ange att personuppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att uppgiften används för nya ändamål, kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen. Vi ansluter oss till denna bedömning. I sammanhanget ska understrykas att det nya ändamålet omfattar vidtagande av åtgärder i fråga om den registrerade och alltså inte för forskningsändamål.
Bestämmelsen har omformulerats något med anledning av att huvudregeln i 9 § fjärde stycket sammanförts med sitt undantag i 8 § andra stycket. Vi avser dock ingen ändring i sak jämfört med dagens bestämmelser.
37Prop. 1997/98:44 s. 62 och 119.
Personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt
Utredningens förslag: Personuppgifter ska pseudonymiseras eller
skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppfyllas på det viset.
Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som en tänkbar skyddsåtgärd. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form.
Vi anser därför att den personuppgiftsansvarige ska skydda personuppgifterna genom att tillämpa pseudonymisering eller likvärdigt skydd, under förutsättning att forskningsändamålen kan uppfyllas på det viset.
I denna bedömning har vi framför allt beaktat skaderisken vad gäller intrånget i den registrerades personliga integritet som sammankopplingen mellan dennes identitet och anknytande personuppgifter medför. Denna prioritering har stöd särskilt i skäl 75 i dataskyddsförordningen som lyfter fram risken för ”obehörigt hävande av pseudonymisering”. Pseudonymisering innebär enligt definitionen i artikel 4.5 bl.a. att kompletterande information behövs för att sådan tillskrivning ska bli möjlig. Genom att särskilt prioritera konfidentialitet i denna kompletterande information säkerställs skyddsåtgärdens effektivitet.
Alternativ till pseudonymisering enligt dataskyddsförordningen
Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är, som beskrivits i avsnitt 12.3.3, strikt och ställer framför allt kravet på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer/koder. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt.
Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet, se exempelvis diskussionen om skyddsåtgärderna randomisering och generalisering i avsnitt 12.3.3. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Utvecklingen, framför allt på det tekniska området, gör det mindre lämpligt att föreskriva en viss form av skyddsåtgärder om lämpligare tekniker kan komma att utvecklas i framtiden.
Vad är likvärdigt skydd?
Det skydd som följer av pseudonymisering utgörs främst av att identifierande uppgifter avlägsnas från de uppgifter som behandlas. Information som kan användas för att identifiera den enskilde bevaras separat och omgärdas av säkerhetsåtgärder. Detta hindrar att den enskilde sammankopplas med sina uppgifter.
Med likvärdigt skydd avser vi en åtgärd eller kombination av åtgärder som i samma utsträckning som pseudonymisering förhindrar att den enskilde obehörigen sammankopplas med sina personuppgifter. Med obehörig sammankoppling avser vi här en sammankoppling mellan den enskilde och dennes uppgifter som inte framgår från det angivna ändamålet med behandlingen.
Alternativa åtgärder kan åstadkomma ett likvärdigt skydd genom att exempelvis begränsa åtkomst till identifierande uppgifter, eller omfatta instruktioner för hur personuppgiftsbehandling får bygga på användning av identifierande uppgifter. Exempel på sådana åtgärder kan vara att en separat organisation har hand om sådan information som kan användas för att identifiera den enskilde, eller att instruktionerna för personuppgiftsbehandling inom ramen för forskningen uttryckligen förbjuder försök till återidentifiering (jfr avsnitt 12.3.2).38
Detta likvärdighetskriterium för skyddsåtgärder gör det möjligt att exempelvis använda mindre ingripande metoder för att behandla
38 Det torde vara det normala inom de flesta forskningsprojekt att återidentifiering inte får ske. Det tidigare nämnda Stockholm Birth Cohort har dock använt återidentifiering som ett verktyg för att påföra ny information till anonymiserad data. Detta projekt skulle därför inte kunna använda den här föreskriva skyddsåtgärden, utan i stället få åberopa att ändamålet inte kan uppnås på det viset.
uppgifterna, exempelvis att endast ersätta direkt identifierande uppgifter med pseudonymer eller koder (kodning), under förutsättning att ytterligare åtgärder vidtas för att säkerställa att någon obehörig sammankoppling mellan den enskilde och dennes personuppgifter inte sker.
Förutsatt att ändamålet kan uppnås på sådant vis
Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Även om sådan behandling kan framgå genom det angivna ändamålet (med behandlingen), och därmed inte kan anses utgöra obehörig sammankoppling, anser vi inte att detta är att betrakta som ett likvärdigt skydd. Forskningsmetoden kan dock utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan fortfarande väga upp risken för den enskildes personliga integritet.
Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annat likvärdigt skydd, om forskningsändamålet annars inte kan uppnås.
Det är i första hand forskningsaktören som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller likvärdiga skyddsåtgärder tillämpas. I samband med forskning som etikprövas kan dock etikprövningsnämnder meddela villkor, bland annat om pseudonymisering.
Den registrerade ska kunna motsätta sig personuppgiftsbehandling
Utredningens förslag: Den enskilde ska ges möjlighet att mot-
sätta sig att dennes personuppgifter behandlas för forskningsändamål.
Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras.
Möjlighet att motsätta sig behandling (opt out) som skyddsåtgärd har berörts i avsnitt 12.3.4. Personuppgiftsbehandling för forskningsändamål torde som huvudregel utföras med stöd av att den är nödvändig för att utföra en uppgift av allmänt intresse. Det finns därför ett behov av att även låta den enskildes inställning påverka möjligheten att behandla dennes personuppgifter.
I denna bedömning har vi beaktat vikten av den enskildes medverkan i en säkerhetsanalys rörande sina egna personuppgifter. Genom att ge den enskilde möjligheten att motsätta sig behandling har vi också tillerkänt den registrerade ett grundläggande inflytande över bl.a. riskbedömningen. Den enskilde har i detta ett begränsat val att antingen låta sina personuppgifter ingå i behandlingen eller inte.
Kravet på information
Den enskilde måste få vetskap om att behandlingen sker för att kunna motsätta sig behandlingen.
Dataskyddsförordningen anger i artiklarna 12–15 på vilket sätt den enskilde ska informeras om sina rättigheter i samband med personuppgiftsbehandling. Det finns vissa möjligheter till undantag från dessa informationsplikter när personuppgifter behandlas för forskningsändamål. Exempelvis behöver den personuppgiftsansvarige, när uppgifterna erhållits från annan än den registrerade, inte informera den enskilde om det skulle visa sig vara omöjligt eller skulle medföra en oproportionerlig ansträngning (artikel 14.5 b). Den personuppgiftsansvarige behöver inte heller ge den registrerade bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas, eller i så fall ge tillgång till personuppgifterna samt information om behandlingen (om nationell lagstiftning gör undantag från artikel 15 med stöd av artikel 89.2). Om tillämpningen av sådana undantag leder till att den enskilde i praktiken inte kan motsätta sig behandlingen kan denna skyddsåtgärd inte heller anses uppfylld.
Undantag från kravet att informera om eller erbjuda möjlighet att motsätta sig behandling
I många sammanhang, särskilt vid registerforskning, uppstår praktiska problem kring information till de registrerade personerna. Det kan exempelvis röra sig om att forskningen sker utan de registrerades samtycke, på personuppgifter som pseudonymiserats eller kodats. Skäl 57 i dataskyddsförordningen anger att den personuppgiftsansvarige inte bör vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i förordningen. Det måste därför finnas ett undantag från skyldigheten att erbjuda en möjlighet för den enskilde att motsätta sig behandlingen, när det skulle visa sig vara omöjligt eller medföra en oproportionerlig ansträngning att informera den enskilde (jämför artikel 14.5 b).39
Däremot är det i många andra fall tänkbart och lämpligt att informera den registrerade att dennes personuppgifter behandlas, men att det ändå inte går att uppfylla forskningsändamålen om det finns en möjlighet att motsätta sig behandling.
Med vissa forskningsmetoder finns vidare problem med bortfall, när enskilda väljer att inte fortsatt medverka. Detta kan öka osäkerheten i forskningsresultaten.40 För vissa studier, exempelvis rörande våld i nära relationer eller smittsamma sjukdomar, kan det dessutom vara olämpligt eller helt ogörligt att låta den enskilde få inflytande över om forskningen ska utföras. Om forskningsändamålen med den valda metoden inte kan uppfyllas när den enskilde får rätt att motsätta sig behandling måste det finnas en möjlighet att ändå utföra behandlingen. Vid en sådan bedömning måste forskningsaktören ta ställning till hur många personer som sannolikt skulle välja att motsätta sig behandlingen, och vad ett sådant bortfall får för effekt på osäkerheten i resultaten.
Vi föreslår således att det ska finnas två undantag från kravet att erbjuda den registrerade möjlighet att motsätta sig behandling, dels om det skulle vara oproportionerligt ansträngande att informera
39 Notera dock det närliggande skäl 62, som i stället för ”oproportionerliga ansträngningar” använder uttrycket ”orimliga ansträngningar”. Den engelska språkversionen använder dock uttrycket ”disproportionate effort” i båda sammanhangen. 40 Se t.ex. SOU 2014:45 s. 320 f.
samtliga registrerade, dels om forskningsändamålen i sådana fall inte kan uppfyllas.
Dessa två undantag kan bedömas fristående från varandra, vilket kan leda till en situation där den enskilde måste informeras om personuppgiftsbehandlingen, men forskningens utformning inte tillåter den enskilde att få inflytande över denna behandling. Den registrerade som i det fallet vänder sig mot behandlingen kan förstås använda rättssystemets övriga möjligheter om denne menar att den personuppgiftsansvarige inte tillämpar lämpliga skyddsåtgärder.
Det är, likt vad som föreslås gälla för pseudonymisering eller likvärdiga skyddsåtgärder ovan, i första hand forskningsaktören som bedömer om något av dessa två undantag är tillämpliga. För sådan forskning som etikprövas har etikprövningsnämnderna möjlighet att meddela villkor om att det ska vara möjligt att motsätta sig behandling.
12.4.3. Övriga överväganden
Utredningens bedömning: Övriga tänkbara skyddsåtgärder ska
inte regleras i nationell rätt.
De tre föreslagna bestämmelserna förordar tre specifika skyddsåtgärder. Den första är överförd från dagens bestämmelser i personuppgiftslagen, och motsvaras av liknande bestämmelser i den föreslagna dataskyddslagen för arkivändamål samt statistiska ändamål. Den andra framhålls särskilt i förordningen. Den tredje utgör ett sätt för den enskilde att påverka behandlingen när samtycke inte kan användas som rättslig grund för behandlingen. Vi bedömer därför att skyddsåtgärderna har en särställning som gör att de är befogade att använda vid personuppgiftsbehandling för forskningsändamål. Det är utredningens bedömning att övriga tänkbara skyddsåtgärder inte ska regleras i nationell rätt.
För behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. föreslår utredningen ytterligare skyddsåtgärder, se kapitel 14.
Utredningens bedömning: Nationell reglering ersätter inte för-
ordningens generella krav på skyddsåtgärder. Någon upplysning om detta bör inte införas i nationell rätt.
Eftersom den personuppgiftsansvarige under vissa omständigheter kan underlåta att tillämpa pseudonymisering såväl som att ge den registrerade möjlighet att motsätta sig behandling kan det finnas situationer när den föreslagna nationella regleringen inte kräver några specifika skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål.
För vissa integritetskänsliga behandlingar är det även tänkbart att, även om pseudonymisering och/eller möjlighet att motsätta sig behandling tillämpas, dessa skyddsåtgärder inte är tillräckliga för att de ska bedömas som lämpliga.
I dessa situationer kräver ändå artikel 89.1 i dataskyddsförordningen att behandlingen omfattas av lämpliga skyddsåtgärder. Artikeln ålägger den personuppgiftsansvarige att se till att sådana lämpliga skyddsåtgärder föreligger. Det är därför inte tillräckligt att endast tillämpa bestämmelserna i den föreslagna forskningsdatalagen utan att samtidigt beakta om artikel 89.1 är uppfylld. I sammanhanget bör påminnas om att artikel 89.1 även ålägger den personuppgiftsansvarige att uppfylla forskningsändamålen genom vidare behandling av anonymiserade uppgifter när så är möjligt.
Den föreslagna nationella regleringen begränsar dock den personuppgiftsansvariges möjligheter att efter helt fritt skön välja lämpliga skyddsåtgärder. Om pseudonymisering respektive möjlighet att motsätta sig behandling kan tillämpas ska dessa skyddsåtgärder tillämpas, även om andra skyddsåtgärder i och för sig skulle kunna betraktas som lämpliga.
En särskild påminnelse om att artikel 89.1 gäller behöver dock inte tas in i lagen.
12.5. Sammanfattning
Detta kapitel har behandlat dataskyddsförordningens krav på skyddsåtgärder. Vårt uppdrag har varit att göra en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade. För känsliga
personuppgifter samt uppgifter om lagöverträdelser m.m. har vårt uppdrag varit att analysera behovet av kompletterande bestämmelser för att alls få behandla dessa, samt vilka lämpliga och särskilda åtgärder en sådan reglering bör innehålla.
Vi har därför inlett med en analys av centrala begrepp som personuppgift, pseudonymisering och anonymisering, för att sedan gå igenom dataskyddsförordningens krav på skyddsåtgärder. Vi har vidare analyserat ett urval av organisatoriska, tekniska och rättsliga åtgärder för att säkerställa den registrerades grundläggande rättigheter, särskilt mot bakgrund på dataskyddsförordningens säkerhetskrav. Slutligen har vi lämnat förslag på vilka skyddsåtgärder som ska tillämpas vid personuppgiftsbehandling för forskningsändamål i allmänhet.
13. En proportionerlig lagstiftning
13.1. Inledning
I kapitel 4 har vi analyserat behovet av och föreslagit en särskild forskningsdatalag, i linje med utredningens övergripande syfte att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den ska skydda den enskildes fri- och rättigheter. I andra kapitel har vi lämnat kompletterande förslag om skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål, att behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten under förutsättning att behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), samt vissa begränsningar av de rättigheter som följer av kapitel III i dataskyddsförordningen (EU 2016/679).
I detta kapitel görs en integritetsanalys och en proportionalitetsbedömning av den föreslagna forskningsdatalagen. Denna bedömning sker utifrån de krav som följer av dataskyddsförordningen, 2 kap. 6 § regeringsformen, Europarådets dataskyddskonvention,1artikel 6 och 7 i EU:s rättighetsstadga2 samt artikel 8 i Europakonventionen.3
1 Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, nr 108. 2 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 3 Jfr lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
13.2. Rättsliga förutsättningar
13.2.1. Dataskyddsförordningen
4
Fastställande av rättslig grund för personuppgiftsbehandling i nationell rätt
Av artikel 6.3 i dataskyddsförordningen framgår att grunden för personuppgiftsbehandling i enlighet med artikel 6.1 c och e ska fastställas i unionsrätten eller en medlemsstats nationella rätt. Sådan rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, och kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen.
Behandling av känsliga personuppgifter på grundval av nationell rätt
Av artikel 9.2 j framgår att behandling av känsliga personuppgifter för bl.a. forskningsändamål kan ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, under förutsättning att denna står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder.
Begränsning av skyldigheter och rättigheter i nationell rätt
Av artikel 89.2 framgår att det i unionsrätten eller i medlemsstaternas nationella rätt får föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21. Undantag ska dock föreskrivas med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag får föreskrivas i den utsträckning som dessa rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.
4 Utöver de förutsättningar som behandlats ovan kan nämnas att förordningen i artikel 35.10 tillåter att en konsekvensbedömning för vissa typer av behandlingar görs i samband med antagandet av nationell rätt. Om detta har skett kan det befria den personuppgiftsansvarige från skyldigheten att göra en egen konsekvensbedömning för en sådan behandling. I utredningens uppdrag ryms dock inte möjligheten att reglera och konsekvensbedöma specifika behandlingsåtgärder, varför denna aspekt inte behandlas närmare.
13.2.2. Regeringsformen
Skyddet mot betydande intrång i den personliga integriteten
Sedan år 2011 gäller enligt 2 kap. 6 § andra stycket regeringsformen att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Uttrycket ”enskildas personliga förhållanden” avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400), vilket kan innefatta uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket.5
Endast sådan behandling utan samtycke som innebär kartläggning eller övervakning omfattas av bestämmelsen. Enligt förarbetena kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall ofta anses innebära kartläggning av enskildas förhållanden. Så torde vara fallet när det gäller ett flertal uppgiftssamlingar som det allmänna förfogar över. En betydande mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Försäkringskassans, Skatteverkets, Tullverkets och Kronofogdemyndighetens olika databaser. I många fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och hanteringen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.6
Grundlagsskyddet omfattar endast betydande integritetsintrång. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär.
5Prop. 2009/10:80 s. 177. 6 A.a. s. 180.
Vid bedömningen av intrångets karaktär är även ändamålet med behandlingen av betydelse. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i ärendehandläggningen. Vid bedömningen av vad som kan anses utgöra ett betydande intrång bör flera omständigheter vägas in. Uppgifternas karaktär och omfattning utgör endast två faktorer att beakta. Även sådana omständigheter som t.ex. ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen.7
Förutsättningar för begränsning av skyddet
Skyddet för den personliga integriteten får enligt 2 kap. 20 § regeringsformen begränsas genom lag. Detta får, enligt 21 § samma kapitel, endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En sådan begränsning får vidare inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
Det obligatoriska lagområdet
Enligt 8 kap. 2 § andra punkten regeringsformen faller föreskrifter som avser förhållandet mellan enskilda och det allmänna, och som gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden under det s.k. obligatoriska lagområdet. Detta innebär att sådana föreskrifter ska meddelas genom lag.
7 A.a. s. 183.
13.2.3. Övriga rättsliga instrument
Utöver ovanstående innehåller även Europarådets dataskyddskonvention (nr 108), artikel 7 i EU:s rättighetsstadga samt artikel 8 i Europakonventionen bestämmelser till skydd för den personliga integriteten.
Europarådets dataskyddskonvention
Artikel 5 i Europarådets dataskyddskonvention anger ett antal grundläggande krav på automatisk databehandling av personuppgifter. Artikel 6 tillåter behandling av särskilda kategorier av uppgifter8samt uppgifter om att någon dömts för brott endast om nationell lag ger ett ändamålsenligt skydd.
Rättighetsstadgan
Artikel 6 i EU:s rättighetsstadga anger att var och en har rätt till frihet och personlig säkerhet. Artikel 7 anger vidare att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.
Från artikel 52.1 framgår att varje begränsning till dessa rättigheter ska vara föreskriven i lag, och att sådana begränsningar, med beaktande av proportionalitetsprincipen, endast får göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Europakonventionen
Artikel 8.1 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
Artikel 8.2 tillåter inskränkningar med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
8 Med vilket avses ”personuppgifter som avslöjar rasursprung, politiska åsikter liksom personuppgifter som rör hälsa eller sexualliv”.
13.3. Integritetsanalys och proportionalitetsbedömning
Samtliga ovanstående lagar, förordningar och övriga rättsliga instrument lämnar ett visst utrymme för nationell lagstiftning som begränsar eller inskränker de fri- och rättigheter som de ger individen vad gäller den personliga integriteten. Det ställs dock vissa proportionalitetskrav på sådan lagstiftning.
Vad gäller särskilt regleringen i regeringsformen framgår av förarbetena att en följd av denna reglering bl.a. är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare.9
13.3.1. Kartläggning av den föreslagna personuppgiftsbehandlingen
Datainspektionen har i september 2016 publicerat en vägledning för integritetsanalys i syfte att underlätta arbetet med att kartlägga konsekvenserna för den personliga integriteten vid personuppgiftsbehandling när förslag till nya lagar och andra föreskrifter utarbetas.10I vägledningen föreslår Datainspektionen en metod där man först utför en kartläggning av den personuppgiftsbehandling som ett förslag kan medföra och därefter vilka konsekvenser den får för den personliga integriteten. Utan en sådan kartläggning är det inte möjligt att besvara frågan om konsekvenserna är proportionerliga i förhållande till det man avser att uppnå med behandlingen.
Mot denna bakgrund har vi försökt beakta de centrala faktorer som enligt vägledningen behöver belysas i en sådan kartläggning. Eftersom utredningens uppdrag med anknytande förslag inte omfattar personuppgiftsbehandling i det konkreta fallet har det varit nödvändigt att i vår kartläggning fokusera på vilken personuppgiftsbehandling allmänt sett som, med beaktande av föreslagna skyddsåtgärder, blir möjlig med utredningens förslag.
9Prop. 2009/10:80 s. 177. 10 Vägledning för integritetsanalys, Datainspektionen september 2016, http://www.datainspektionen.se/D ocuments/vagledning-integritetsanalys.pdf
Särskilda faktorer i personuppgiftsbehandlingen
De här diskuterade frågeställningarna är hämtade från Datainspektionens vägledning.
För vilka ändamål ska personuppgifter behandlas?
Den föreslagna forskningsdatalagen fastställer en rättslig grund för laglig behandling av personuppgifter när det är fråga om att utföra forskning av allmänt intresse. I en generell reglering av detta slag går det inte att göra ändamålsbeskrivningen mer detaljerad. Även den grundlagsskyddade forskningsfriheten11 medför att det inte i förväg går att göra en ändamålsbeskrivning i lagstiftning av generell karaktär. Varje enskilt forskningsprojekt eller annat sammanhang där personuppgifter behandlas behöver dock för sin del göra en mer detaljerad ändamålsbeskrivning.
Med vilket rättsligt stöd ska personuppgifterna behandlas?
När personuppgifter behandlas för forskningsändamål är det, som redan framkommit, huvudsakligen fråga om nödvändig behandling för en uppgift av allmänt intresse, och har därmed stöd i dataskyddsförordningens artikel 6.1 e. Den rättsliga grunden ges i den föreslagna forskningsdatalagen, med stöd av artikel 6.2 och 6.3.
Vem ska utföra personuppgiftsbehandlingen och vem ansvarar för den?
Den forskningsaktör som behandlar personuppgifterna torde vara personuppgiftsansvarig enligt dataskyddsförordningen. Individuella forskare utför själva personuppgiftsbehandlingen som del av forskningsarbetet. De forskare som på detta sätt medverkar till behandlingen utan att vara personuppgiftsansvariga har i doktrin kommit att betecknas medhjälpare.12
112 kap. 18 § andra stycket regeringsformen, se även 1 kap. 6 § högskolelagen som anger att forskningsproblem fritt får väljas, forskningsmetoder fritt får utvecklas samt forskningsresultat fritt får publiceras. 12 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo), kommentaren till 3 §.
Vilka personuppgifter kommer att behöva samlas in och i övrigt behandlas?
Vilka personuppgifter som kommer att samlas in och behandlas beror på forskningens inriktning, vald forskningsmetod m.m. Exakt vilka uppgifter som är nödvändiga att behandla går inte att ange i lagstiftningssammanhang. Allmänt kan ändå sägas att det finns mycket få typer av personuppgifter som aldrig kan komma ifråga för behandling för forskningsändamål. Såväl känsliga personuppgifter som personuppgifter om lagöverträdelser m.m. behandlas regelmässigt inom forskningen. Även andra integritetskänsliga uppgifter som inte särskilt regleras i dataskyddsförordningen kan komma att behandlas för forskningsändamål.
Hur många personer kommer att beröras av personuppgiftsbehandlingen och hur många uppgifter om varje person kommer att behöva samlas in?
Antalet registrerade personer beror på forskningsändamålen och den valda forskningsmetodiken i det enskilda projektet. Vår föreslagna reglering ställer här inte upp någon gräns. Det kan med andra ord förekomma forskningsprojekt som behöver uppgifter om signifikanta delar av eller hela befolkningen, likväl som projekt som behöver behandla ett stort antal uppgifter om varje registrerad individ.
Varifrån ska personuppgifterna samlas in?
De huvudsakliga datakällorna kommer att vara olika typer av myndighetsregister (såväl befolkningsregister som kvalitetsregister och annat) samt de registrerade själva. Även allmänna handlingar kan för vissa vetenskapliga metoder utgöra ett viktigt underlag för forskningen. Utredningen föreslår ingen ny författningsreglerad skyldighet för myndigheter att lämna ut uppgifter för forskningsändamål eller någon reglering av elektroniskt informationsutbyte.
Vilka kommer att ha åtkomst till personuppgifterna och vilken spridning kan uppgifterna i övrigt komma att få?
Inom ramen för personuppgiftsbehandling i ett visst forskningsprojekt kan medverkande forskare komma att ha tillgång till personuppgifterna. Den här föreslagna regleringen kräver inte särskilt att åtkomsten till personuppgifterna begränsas till bara vissa deltagare i ett projekt, även om det i vissa fall kan vara möjligt och lämpligt att strukturera arbetet så rent praktiskt.
Uppgifter som samlas in för forskningsändamål kan i vissa fall, när forskningsaktören tillhör det allmänna, få spridning genom offentlighetsprincipen. Det är dessutom en forskningspolitisk målsättning att främja öppen tillgång till forskningsresultat och tillgängliggörande av forskningsdata.13 Sådan spridning av uppgifter och forskningsresultat måste förstås ske i enlighet med dataskyddsförordningen.
När forskningsresultat publiceras sker detta i de flesta fall genom aggregerade personuppgifter eller andra sammanställningar som inte avslöjar enskilda personuppgifter. Inom vissa områden, särskilt vad gäller rättsvetenskaplig forskning, finns dock behov av att publicera indirekta personuppgifter i form av beslutsidentifierare såsom målnummer eller referatbeteckning, med hänvisning till att detta kan utgöra vedertagen forskningssed på dessa områden.
Finns det behov av nya sekretessbestämmelser och sekretessbrytande bestämmelser?
Utredningen föreslår varken någon tillkommande sekretessreglering eller sekretessbrytande bestämmelser.
Vilka sök- och sammanställningsmöjligheter är nödvändiga för ändamålet och hur kan de begränsas?
Det är, utifrån kravet att forskningsmetodik ska få utvecklas fritt, inte möjligt att på generell nivå ange vilka sök- och sammanställningsmöjligheter som är nödvändiga för forskningsändamål. Det är
därför inte heller lämpligt att ställa upp generella krav på sökbegränsningar (se avsnitt 12.3.3). Det kan däremot i vissa fall vara lämpligt att i samband med etikprövning meddela villkor att vissa sökningar eller sammanställningar inte får göras.
Hur länge behöver personuppgifter bevaras?
Efter avslutat projekt kommer personuppgifter ofta kunna pseudonymiseras eller anonymiseras, vilket också är ett krav enligt artikel 89.1 i dataskyddförordningen. För longitudinella studier behöver personuppgifter, inklusive identifierande uppgifter, regelmässigt bevaras under en längre tid, vilket kan ske med stöd av artikel 5.1 e (undantag från principen om lagringsminimering) under förutsättning att lämpliga skyddsåtgärder genomförs.
När forskning utförs av en myndighet, och uppgifterna inte längre bevaras, måste arkivlagens (1990:782) regler om gallring beaktas (se vidare avsnitt 12.3.4). Även sådana kompletterande uppgifter som används vid pseudonymisering (såsom kodnycklar) kan vara föremål för gallring. Utredningen föreslår inga nya särskilda gallringsbestämmelser.
Vilket inflytande kommer de registrerade att ha över personuppgiftsbehandlingen?
Enligt den föreslagna regleringen kommer den registrerade som huvudregel ha möjlighet att motsätta sig behandling (”opt out”, se avsnitt 12.3.4). Utöver detta får uppgifterna användas för att vidta åtgärder i fråga om den registrerade endast om denne har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. När uppgifter hämtas direkt från den enskilde inom ramen för ett forskningsprojekt kan den enskilde alltid avstå från att uppge dessa. Utöver dessa möjligheter finns även de möjligheter till inflytande som följer direkt av dataskyddsförordningen, såsom rätt till rättelse (artikel 16), rätt till radering (artikel 17), rätt till begränsning av behandling (artikel 18), rätt till dataportabilitet (artikel 20) samt rätt att göra invändningar (artikel 21).
Vilken information om behandlingen av personuppgifter kommer de registrerade få?
De registrerade har rätt att få information om behandlingen i enlighet med artiklarna 13–15 dataskyddsförordningen. När möjlighet för den registrerade att motsätta sig behandling tillämpas som skyddsåtgärd, i enlighet med förslag i avsnitt 12.4.2, får denna rättighet inte inskränkas med stöd av något av de undantag som ges i dataskyddsförordningen.
Vilka regler kommer att gälla till skydd för de registrerades personliga integritet vid den föreslagna personuppgiftsbehandlingen?
Utredningen föreslår att pseudonymisering och möjlighet att motsätta sig behandling som huvudregel ska gälla generellt för all behandling av personuppgifter för forskningsändamål. Personuppgifter får som huvudregel inte heller användas för att vidta åtgärder i fråga om den registrerade (se avsnitt 12.4.2). Utöver detta ska etikprövning äga rum för behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. för forskningsändamål (se avsnitt 14.3.4). Sådan prövning kan vidare resultera i villkor för behandlingen, vilket också kan fungera som skyddsåtgärder.
Slutsats av integritetsanalysen
Som tidigare angetts omfattar inte utredningens uppdrag att detaljreglera den personuppgiftsbehandling som kan komma att ske för forskningsändamål. Den huvudsakliga regleringen av personuppgiftsbehandling, även för forskningsändamål, kommer att finnas i dataskyddsförordningen, som är direkt tillämplig. Den reglering som utredningen föreslår medför dock att viss personuppgiftsbehandling som annars hade varit förbjuden blir tillåten. Detta rör framför allt sådan behandling som sker utan stöd av giltigt samtycke, samt behandling av känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. Vidare görs även vissa begränsningar av de rättigheter som enligt dataskyddsförordningen tillkommer de registrerade, med stöd av artikel 89.2.
Genom de föreslagna skyddsåtgärderna begränsas dock integritetsintrånget avsevärt. Inte minst kravet på pseudonymisering, som motsvarar vad som är vanligt i forskningsmetodik, motverkar effekten av den kartläggning av enskilda som kan komma att ske i forskningsprojekt.
Det förhåller sig som sagt också så att dataskyddsförordningen, även om den ger visst utrymme för nationell reglering, är direkt tillämplig. En nationell lagstiftning om skyddsåtgärder kan exempelvis aldrig upphäva kravet i artikel 89.1 i dataskyddsförordningen på att personuppgiftsbehandling för forskningsändamål ska vara omgärdad av lämpliga skyddsåtgärder. Om de av utredningen föreskrivna skyddsåtgärderna är otillräckliga i det specifika fallet är det den personuppgiftsansvariges ansvar att självständigt efterleva dataskyddsförordningens krav.
Utredningens slutsats blir med hänvisning till ovanstående resonemang att konsekvenserna för den personliga integriteten är förenliga med det väsentliga innehållet i rätten till dataskydd. För att personuppgiftsbehandlingen ska vara tillåten måste dock det allmänna syftet med den behandling som möjliggörs (behandling för forskningsändamål) vägas in i en proportionalitetsbedömning.
13.3.2. Proportionalitetsbedömning
Som framgår av avsnitt 13.2 inrymmer samtliga här aktuella rättsliga instrument någon form av möjlighet att begränsa eller inskränka de rättigheter avseende skydd av den personliga integriteten som säkerställs på principiell nivå. Gemensamt för samtliga dessa (med undantag för Europarådets dataskyddskonvention) är att någon form av proportionalitetsbedömning ska göras. I en sådan bedömning ställs det ändamål för vilket personuppgiftsbehandlingen sker, och som måste vara godtagbart enligt olika kriterier, mot det integritetsintrång som behandlingen medför.
Den personuppgiftsbehandling som vårt lagförslag kan medföra, med beaktande av effekten av de skyddsåtgärder som föreslås, ska alltså ställas mot värdet av det ändamål för vilket personuppgiftsbehandlingen sker.
En viktig utgångspunkt är att själva forskningsändamålet generellt kan anses vara legitimt och godtagbart i ett demokratiskt sam-
hälle. Personuppgiftsbehandling för forskningsändamål intar en särställning i dataskyddsregleringen. Bland de många särregleringarna för forskningsändamål kan särskilt nämnas det s.k. forskningsundantaget i artikel 5.1 b, och möjligheterna att inskränka flera av de registrerades rättigheter enligt artikel 89.2. I bilaga 3 finns en mer fullständig genomgång av dataskyddsförordningens särreglering för forskningsändamål.
Utgångspunkter för en proportionalitetsbedömning
De här diskuterade frågeställningarna är hämtade från den tidigare nämnda vägledningen för integritetsanalys från Datainspektionen. Syftet med det närmaste följande är att belysa den avvägning mellan motstående intressen som görs i alla proportionalitetsbedömningar.
Vilket eller vilka ändamål motiverar behandlingen av personuppgifter?
Den behandling av personuppgifter som kan komma att ske med stöd av den föreslagna forskningsdatalagen är sådan som är nödvändig för att utföra forskning av allmänt intresse. Den forskning som sedan sker med stöd av lagen måste fortfarande ange:
- Sitt specifika ändamål på så sätt att det går att avgöra vilka uppgifter som ska behandlas.
- Behandlingens förenlighet med ändamålet för vilket de samlades in (med beaktande av att det s.k. forskningsundantaget medför att ytterligare behandling inte ska anses oförenlig med det ursprungliga ändamålet).
- Hur länge personuppgifter ska bevaras (med beaktande av att personuppgifter får lagras under längre perioder vid behandling för forskningsändamål).
Finns det några mindre integritetsingripande alternativ för att uppnå det avsedda ändamålet än den föreslagna personuppgiftsbehandlingen?
Ändamålet som utgör bas för forskningsdatalagen – forskningsändamål – är för generellt till sin natur för att det ska gå att bedöma alternativa metoder för att uppnå detta. Av särskild betydelse i sammanhanget är att en förutsättning för att tillämpa den rättsliga grund som utredningen föreslår är att behandlingen ska vara nödvändig för att kunna utföra forskning av allmänt intresse. Vidare gäller för sådan forskning som kräver etikprövning att forskning inte får godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för bl.a. forskningspersoners personliga integritet (10 § etikprövningslagen).
Står integritetsintrånget som behandlingen medför i rimlig proportion till den nytta som behandlingen innebär för de avsedda ändamålen?
Även den förväntade nyttan kan endast bedömas på ett generellt plan. Värdet av forskning framhålls emellertid såväl i dataskyddsförordningen som i andra rättskällor. Vad gäller nyttobedömningen bör man särskilt uppmärksamma att forskning som kräver etikprövning endast får godkännas om de risker som den kan medföra för bl.a. forskningspersonernas personliga integritet uppvägs av dess vetenskapliga värde (9 § etikprövningslagen).
Proportionalitetskrav i dataskyddsförordningen
Vi föreslår nationell lagstiftning som med stöd av artikel 6.2 och 6.3 fastställer den rättsliga grunden allmänt intresse för personuppgiftsbehandling för forskningsändamål. Sådan nationell rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Målet är att forskning ska kunna bedrivas på ett effektivt sätt med respekt för de registrerades personliga integritet. Detta mål framgår även från dataskyddsförordningen (se exempelvis skäl 157 och 159). Målet är alltså legitimt och av allmänt intresse också enligt förordningen.
Forskningsdatalagen innehåller två viktiga begränsningar till förmån för den personliga integriteten.
- Den rättsliga grund som vi fastställer är begränsad till nödvändig och proportionerlig behandling för forskning av allmänt intresse.
- Vi föreslår även skyddsåtgärder för all behandling av personuppgifter för forskningsändamål.
Lagen innehåller dock även vissa begränsningar av den registrerades rättigheter och därmed integritetsskyddet. Dessa begränsningar är utformade för att endast kunna tillämpas när det är nödvändigt för att uppnå forskningsändamålen. Det sammanlagda integritetsintrånget blir därför begränsat. Ställt mot det stora värde som forskningen har, vilket även framhålls i förordningen, finner vi att den föreslagna lagstiftningen måste anses vara proportionell.
Vi föreslår vidare att det under vissa förutsättningar ska vara tillåtet att behandla känsliga personuppgifter. Av artikel 9.2 j framgår att lagstiftning som tillåter behandling av känsliga personuppgifter ska stå i proportion till det eftersträvade syftet. Vi föreslår att sådan tillåtande lagstiftning ska innehålla bestämmelser om skyddsåtgärder i form av etikprövning. Detta ställningstagande har sin grund i att etikprövningslagstiftningen särskilt kräver att de risker som forskningen medför ska uppvägas av dess vetenskapliga värde, att endast sådan forskning som innebär den minsta risken för det förväntade resultatet kan godkännas, samt att forskning endast får godkännas om den kan utföras med respekt för människovärdet. Även denna reglering måste anses stå i proportion till det eftersträvade syftet.
Proportionalitetskrav i regeringsformen
Regeringsformen skyddar inte den personliga integriteten mot all slags personuppgiftsbehandling. Den första bedömning som måste göras är därför om den personuppgiftsbehandling som utredningens förslag kan medföra når upp till kravet för skydd av den personliga integriteten enligt 2 kap. 6 § regeringsformen (se avsnitt 13.2.2).
Det ska alltså vara fråga om personuppgiftsbehandling som utgör betydande intrång i den personliga integriteten, sker utan sam-
tycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Vid denna bedömning ska särskilt beaktas att det är fråga om en rättighetsbegränsande lagstiftning, vilket talar för en restriktiv tolkning till den enskildes fördel. Kartläggningen ovan visar att den personuppgiftsbehandling som forskningsdatalagen möjliggör åtminstone i vissa fall kommer uppfylla samtliga dessa krav, i det fall det är fråga om omfattande uppgiftsinsamlingar om enskilda som inbegriper integritetskänsliga behandlingar.
Eftersom det kan vara fråga om bestämmelser som omfattas av 2 kap. 6 § regeringsformen blir det därför nödvändigt att ta ställning till de krav som ställs i 21 § samma kapitel.
Vid denna bedömning är det återigen värt att uppmärksamma att forskning är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle utan som är legitimt enligt gällande lag. Forskningsfriheten är dessutom även grundlagsskyddad (18 § andra stycket samma kapitel). Det finns inget som talar för att den här aktuella begränsningen på något sätt skulle utgöra ett hot mot den fria åsiktsbildningen. Begränsningens utformning tar inte sikte på politisk, religiös, kulturell eller annan sådan åskådning. Det kan i och för sig förekomma forskningsprojekt där exempelvis forskningspersoner väljs ut utifrån sådana kriterier, men kravet på etikprövning säkerställer att en sådan urvalsmetod är motiverad och godtagbar från etisk synvinkel.
Proportionalitetskrav i övriga rättsliga instrument
Av artikel 8.2 i Europakonventionen framgår att inskränkningar endast får ske med stöd av lag och om det är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Det framgår inte klart av ovanstående att forskning är ett av de ändamål som kan motivera en inskränkning (legitima ändamål). I doktrinen har det dock framhållits att det är naturligt att ge varje konventionsstat stor rörelsefrihet och inte kräva mera än att särskilt känslig information behandlas på ett ansvarsfullt sätt och inte
görs i onödan tillgänglig för andra än dem som har ett legitimt intresse av att få del av informationen.14 Vidare har uttalats att uppräkningen legitima ändamål är omfattande, att de olika ändamålen är allmänt formulerade, och att det är i de flesta fall möjligt att hänföra ett ingrepp till någon av dessa kategorier.15 Vår bedömning är därför att forskningsändamål ryms inom ovanstående uppräkning.
De proportionalitetskrav, och de legitima syften för vilka inskränkningar kan göras, som framgår av dataskyddskonventionen, rättighetsstadgan och Europakonventionen skiljer sig i övrigt inte på ett avgörande sätt från de ovan behandlade kraven. Vår bedömning är därför att en reglering som uppfyller dataskyddsförordningens och regeringsformens krav även uppfyller kraven i de övriga behandlade rättsliga instrumenten.
Slutsats av proportionalitetsbedömningen
Inskränkningarna i de registrerades fri- och rättigheter görs för att tillgodose forskningsändamålet. Detta är ett ändamål som inte bara är godtagbart i ett demokratiskt samhälle utan som dessutom är grundlagsskyddat. Inskränkningarna har utformats så de inte går utöver vad som är nödvändigt med hänsyn till ändamålet. Den föreslagna lagstiftningen kan därför anses vara förenlig med dataskyddsförordningen, regeringsformen och övriga rättsliga instrument.
13.3.3. De föreslagna bestämmelserna kräver reglering i lagform
Utredningen föreslår bestämmelser i nationell rätt som kompletterar och fyller ut dataskyddsförordningens bestämmelser, inom ramen för vad som är möjligt enligt förordningen. Förordningen innehåller i sig inte närmare krav på i vilken form den nationella rätten ska fastställas.
I svensk rätt kan generell bindande reglering ges i form av lag, förordning eller myndighetsföreskrifter (8 kap. 1 § regeringsformen). Normgivning i form av lag förutsätter riksdagsbeslut, medan
14SOU 2004:20 s. 89, som hänvisar till Danelius. 15 Danelius, Mänskliga rättigheter i europeisk praxis, 5 u, s. 370.
normgivning i form av förordning kan ske genom regeringsbeslut. Normer som måste ges i form av lag sägs tillhöra det obligatoriska lagområdet. Kapitel 8 regeringsformen innehåller närmare bestämmelser om denna gränsdragning.
Av den föreslagna regleringen följer att vissa personuppgiftsbehandlingar som annars skulle ha varit förbjudna blir tillåtna. Eftersom det dessutom åtminstone i vissa fall rör behandling utan den registrerades samtycke är det fråga om ett ingrepp i enskildas personliga förhållanden. Enligt 8 kap. 2 § andra punkten regeringsformen måste sådan reglering ges i form av lag.
Utöver detta är det fråga om lagstiftning som begränsar var och ens rätt att vara skyddad mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket. Enligt 2 kap. 20 § regeringsformen ska sådan reglering ske i form av lag.
13.4. Överväganden
Utredningens bedömning: Den föreslagna regleringen uppfyller
de krav på proportionalitet m.m. som följer av dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument.
Som redovisat i avsnitt 13.3.2 måste den föreslagna regleringen uppfylla krav på proportionalitet som ställs i flera olika rättsliga sammanhang. Vår bedömning, utifrån den integritetskartläggning som gjorts, de skyddsåtgärder som föreslås och värdet av den personuppgiftsbehandling som regleringen möjliggör, är att regleringen är proportionell utifrån samtliga dessa proportionalitetskrav.
13.5. Sammanfattning
I detta kapitel har vi analyserat de föreslagna bestämmelserna utifrån de krav på framför allt proportionalitet som ställs upp i dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument. Analysen har gjorts utifrån förutsättningen att den föreslagna lagen är en ramlag som inte kan reglera personuppgiftsbehandlingen på detaljnivå, och att den faktiska personuppgifts-
behandling som görs i forskningsprojekt måste prövas utifrån samma proportionalitetskrav. De föreskrivna skyddsåtgärderna utgör här ett stöd för att tillse att det intrång som personuppgiftsbehandlingen i fråga medför är proportionellt mot den förväntade nyttan av forskningen. Vidare har den föreslagna regleringen bedömts utifrån de normgivningsprinciper som framgår av regeringsformen. Det är utredningens bedömning att den föreslagna regleringen uppfyller de krav på proportionalitet m.m. som följer av dataskyddsförordningen, regeringsformen samt övriga relevanta rättsliga instrument.
14. Etikprövning av personuppgiftsbehandling för forskningsändamål
14.1. Vårt uppdrag i denna del
Utredningen har i uppdrag att analysera behovet av anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) med anledning av att dataskyddsförordningen (EU 2016/679) blir tillämplig den 25 maj 2018. Detta uppdrag har flera beståndsdelar.
Etikprövning framhålls i utredningens direktiv som en möjlig skyddsåtgärd i enlighet med förordningens krav på skyddsåtgärder vid behandling av personuppgifter för forskningsändamål. Mot bakgrund av att kravet på etikprövning i dag enbart omfattar behandling av vissa kategorier av personuppgifter enligt 19 och 21 §§personuppgiftslagen (1998:204) är det utredningens uppdrag att överväga om kravet på etikprövning bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål. Ett sådant ställningstagande kan komma att medföra behov av ändringar i etikprövningslagen, alternativt ny reglering i annan författning som kompletterar dataskyddsförordningen samt den nationella kompletterande reglering som Dataskyddsutredningen (Ju 2016:04) föreslår.
Utredningen har även i uppdrag att se över vissa aspekter på förfarandereglerna i etikprövningslagen. Denna översyn hänger samman med uppdraget att överväga en utvidgning av etikprövningsförfarandet till att gälla all personuppgiftsbehandling för forskningsändamål. Om utredningen kommer fram till att all personuppgiftsbehandling för forskningsändamål ska etikprövas behöver det övervägas hur den ökade ärendehanteringen i så fall ska kunna ske på ett effektivt sätt och om samma krav på prövningen behöver gälla i alla slags
ärenden. Utredningen ska, givet ett ställningstagande avseende en utvidgning av etikprövningskravet, analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden. Utredningen ska i sådana fall även överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet. Utöver detta ska utredningen även se över vilka anpassningar i övrigt som behövs med anledning av dataskyddsförordningen och den generella kompletterande reglering Dataskyddsutredningen föreslår. Utredningen ska i alla delar lämna behövliga författningsförslag.
Framställningen i denna del av betänkandet kommer att följa utredningens direktiv på så vis att efter en inledande beskrivning av etikprövningslagen och dess anknytning till personuppgiftslagen kommer etikprövning som möjlig skyddsåtgärd enligt dataskyddsförordningens krav att analyseras. Därefter överväger utredningen enligt sitt uppdrag ett utökat tillämpningsområde för kravet på etikprövning, varefter utredningen behandlar frågan om ett eventuellt behov av förenklat etikprövningsförfarande under vissa förhållanden. Avslutningsvis lämnar utredningen förslag på vilka anpassningar av etikprövningslagen i övrigt som är behövliga med anledning av dataskyddsförordningen.
14.2. Rättsliga förutsättningar
14.2.1. Inledning
Lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) började gälla den 1 januari 2004. Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor och om samtycke till sådan forskning (1 §). Etikprövningslagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen (3 §).
Utöver detta tillämpas etikprövningslagen på forskning som innebär ett fysiskt ingrepp på en forskningsperson, utförs enligt en
metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Utredningen kommer i det följande att fokusera på etikprövningslagens tillämpningsområde enligt 3 §.
Syftet med etikprövningslagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 §). Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde och bara om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (7–11 §§).
14.2.2. Personuppgiftslagens relation till etikprövningslagen
Aktuella bestämmelser
Personuppgiftslagen och etikprövningslagen relaterar till varandra på flera sätt. I det följande återges de relevanta delarna av de aktuella bestämmelser som utredningen kommer att återkomma närmare till i det följande.
De bestämmelser som främst aktualiseras i personuppgiftslagen är följande:
Undantag för behandling av personuppgifter i ostrukturerat material 5 a § Bestämmelserna i 9, 10, 13– 19, 21– 26, 28, 33, 34 oc h 42 §§ behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15– 19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbu det i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.
De bestämmelser som främst aktualiseras i etikprövningslagen är följande:
Definitioner
2 § I denna lag avses med – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – behandling av personuppgifter: sådan behandling som anges i artikel 3 § personuppgiftslagen (1998:204).
Forskning som omfattas av lagen
3 § Denna lag ska tillämpas på forskning som innefattar behandling av
1. känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller
2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enli gt 21 § personuppgiftslagen.
Godkännande
6 § Forskning som avses i 3– 5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande skall avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft. Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.
Utgångspunkter för etikprövningen
7 § Forskning får godkännas bara om den kan utföras med respekt för människovärdet.
8 § Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd skall ges företräde framför samhällets och vetenskapens behov.
9 § Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde.
10 § Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.
11 § Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.
Utlämnande av personuppgifter
12 § Personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt.
Det territoriella tillämpningsområdet för respektive lag skiljer sig åt enligt följande:
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige.
Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren.
Etikprövningslagen:
Geografiskt tillämpningsområde
5 § Denna lag skall tillämpas på forskning som skall utföras i Sverige.
Etikprövningslagens tillämplighet vid viss behandling av personuppgifter
Etikprövningslagen är tillämplig på forskning som ska utföras i Sverige, till skillnad från personuppgiftslagen som huvudsakligen tar sikte på sådana personuppgiftsansvariga som är etablerade i Sverige.1Detta innebär att det enbart är sådan forskning som ska utföras i Sverige som kräver etikprövning enligt etikprövningslagen. Forskning som ska utföras i andra länder av personuppgiftsansvariga som är etablerade i Sverige kan dock omfattas av krav på etikgodkännande enligt respektive lands lagstiftning. Relationen mellan etikprövningslagens och personuppgiftslagens territoriella tillämpningsområde har kommenterats i lagkommentaren till personuppgiftslagen.
Etikprövningslagen tillämpas bara på forskning som ska utföras i Sverige (5 §). Om en svensk forskningshuvudman (dvs. en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs) deltar i ett internationellt forskningsprojekt (multicenterstudie), ska etikprövning ske av den del av projektet som ska utföras i Sverige (prop. 2002/03:50 s. 109 och 194). Det territoriella tillämpningsområdet för etikprövningslagen är alltså inte samordnat med tillämpningsområdet för personuppgiftslagen, som enligt huvudregeln bestäms av var den personuppgiftsansvarige är etablerad och inte var behandlingen utförs, se 4 § och kommentaren till den paragrafen. En personuppgiftsansvarig som är bunden av personuppgiftslagen (företrädesvis därför att han eller hon är etablerad i Sverige) och som ska utföra forskning utanför Sverige kan alltså inte behandla känsliga personuppgifter för forskningsändamål efter en etikprövning enligt etikprövningslagen utan torde i praktiken ha att förlita sig på uttryckligt samtycke till behandlingen från alla registrerade.2
Etikprövningslagen blir, enligt 3 §, tillämplig när forskning innefattar behandling av känsliga personuppgifter, enligt 13 § personuppgiftslagen, eller personuppgifter om lagöverträdelser m.m., enligt 21 § personuppgiftslagen. Enligt 6 § etikprövningslagen får sådan forskning enbart utföras om den har godkänts vid en etikprövning.
1 Dataskyddsförordningen ska enligt artikel 3 i vissa fall tillämpas även på personuppgiftsansvariga som inte är etablerade i unionen. 2 Se Lindblom & Öman, Personuppgiftslagen (version 15 sep. 2016, Zeteo), kommentaren till 19 §.
När laglig personuppgiftsbehandling förutsätter etikprövning
Av 13 § personuppgiftslagen framgår att det som huvudregel är förbjudet att behandla känsliga personuppgifter. Vilka uppgiftskategorier detta är framgår uttömmande av bestämmelsens första och andra stycke. I 14 § anges dock att undantag från förbudet framgår av 15–19 §§. Genom ett villkor i 19 § undantas behandling för forskningsändamål från det generella förbudet att behandla känsliga personuppgifter. Villkoret utgörs av etikgodkännande enligt etikprövningslagen för behandling av känsliga personuppgifter.
Av 21 § personuppgiftslagen framgår ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Detta förbud kan dock enligt andra stycket upphävas på liknande sätt som för känsliga personuppgifter, dvs. genom ett krav på etikgodkännande enligt etikprövningslagen för sådan behandling som utförs av andra än myndigheter.
Detta innebär sammantaget att det föreligger krav på etikprövning av behandling för forskningsändamål av såväl känsliga personuppgifter som personuppgifter om lagöverträdelser m.m. enligt etikprövningslagen och att sådan behandling enligt personuppgiftslagen kan få utföras om behandlingen har godkänts vid prövning enligt etikprövningslagen.
Personuppgiftslagens tillämplighet vid etikgranskning av forskning
En utgångspunkt vid tillämpningen av personuppgiftslagen i relation till annan lagstiftning är att den, enligt 2 §, är subsidiär i förhållande till avvikande bestämmelser i annan lag eller förordning. Sådan annan lagstiftning som har företräde framför personuppgiftslagen är till exempel etikprövningslagen.
Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. I förarbetena betonas att 6 § bara anger betydelsen av etikprövningen och inte innefattar någon prövning enligt alla andra regler som kan påverka om och hur forskningen får utföras, ett godkännande vid etikprövning är därmed
långtifrån alltid en tillräcklig nödvändig förutsättning för forskningens bedrivande.3
Av 6 § första stycket etikprövningslagen framgår att forskning får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Innan etikprövningslagen infördes hanterades undantaget från förbudet att behandla känsliga personuppgifter för forskningsändamål enligt en avvägningsnorm i den dåvarande 19 § personuppgiftslagen. Denna avvägningsnorm innebar att behandlingen skulle vara nödvändig för forskningen och samhällsintresset skulle klart överväga risken för intrång i enskildas personliga integritet. Den personuppgiftsansvarige kunde välja att tillämpa avvägningsnormen själv och sedan föranmäla behandlingen till Datainspektionen som gjorde en bedömning av eventuella åtgärder. Alternativt lät den personuppgiftsansvarige en etikkommitté granska personuppgiftsbehandlingen. En sådan etikgranskning omfattades dock inte av något krav på användning av avvägningsnormen som framgick av dåvarande 19 § personuppgiftslagen.
Införandet av etikprövningslagen innebar att bedömningen av själva personuppgiftsbehandlingen flyttades över till etikprövningsnämnderna som, i samband med granskningen av forskningsprojektet i fråga, har att förhålla sig till samma avvägningsnorm i sak som enligt tidigare bestämmelse i personuppgiftslagen.4 Denna avvägningsnorm baseras på de principer som en bedömning enligt personuppgiftslagen utförs på, och grunderna för den ingår i etikprövningslagens utgångspunkter för etikprövningen i 7–11 §§ etikprövningslagen. Det var med andra ord framför allt ansvaret för bedömningen som flyttades till etikprövningsnämnderna.
Denna regelkonstruktion innebär vidare att det i samband med etikprövningen av ett forskningsprojekt också ska göras en bedömning av själva personuppgiftsbehandlingen, en bedömning som annars skulle ske enligt bestämmelser i personuppgiftslagen. Personuppgiftslagen är således subsidiär till etikprövningslagen i detta hänseende även om bedömningen baseras på samma principer, se särskilt nödvändighetskravet i 10 § andra stycket etikprövningslagen. Det ska samtidigt noteras att forskning som har etikgodkänts därefter
3Prop. 2002/03:50 s. 195 f. 4 A.a s. 172 f.
ändå måste vara förenlig med personuppgiftslagens bestämmelser i de delar där någon tillämplig särreglering inte förekommer, t.ex. avseende säkerheten vid behandlingen och rätten till registerutdrag.
Av 12 § etikprövningslagen framgår att personuppgifter får lämnas ut för att användas i forskning om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen ska läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen. Där framgår att om personuppgifter samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Sådan information behöver dock inte lämnas om det finns bestämmelser om registreringen eller utlämnandet av personuppgifterna i lag eller annan författning.
Bestämmelsen i 12 § etikprövningslagen är en sådan bestämmelse om utlämnande av personuppgifter som avses i 24 § andra stycket personuppgiftslagen. Den för med sig att en forskare som i enlighet med bestämmelsen hämtar in personuppgifter från annat håll än den registrerade inte behöver informera den registrerade om sin behandling. Däremot kan etikprövningsnämnden ställa som villkor att information ändå ska lämnas. Bestämmelsen innebär inte någon skyldighet att lämna ut personuppgifter, men gör det tillåtet för den som har uppgifterna att göra detta. Om något annat följer av regler om sekretess och tystnadsplikt får uppgifterna dock inte lämnas ut. En motsvarande bestämmelse avseende utlämnande för användning i statistikprojekt finns i 19 § fjärde stycket personuppgiftslagen.
Särskilt om förhållandet mellan missbruksregeln i personuppgiftslagen och etikprövningslagen
Bestämmelsen i 5 a § personuppgiftslagen infördes år 20075 och innebär lättnader i regleringen vid behandling av personuppgifter i vad som betecknas som ostrukturerat material. Enligt den utredning som låg till grund för införandet av bestämmelsen var syftet i korthet att de detaljerade hanteringsreglerna i personuppgiftslagen inte skulle tillämpas på s.k. vardaglig hantering av personuppgifter. Det rör sig till exempel om produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning
5 SFS 2006:398.
av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ska infogas i en databas med en avancerad personuppgiftsanknuten struktur, till exempel ett ärendehanteringssystem.6
Sådan ostrukturerad behandling kan alltså utföras utan att den personuppgiftsansvarige behöver beakta ett flertal av de övriga reglerna i personuppgiftslagen. Bestämmelsen innebär således att behandling av personuppgifter kan göras jämförelsevis fritt, vilket i sig motiverade skrivningen i bestämmelsens andra stycke som anger att sådan behandling inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Eftersom regeln avser att skydda mot missbruk av personuppgifter kallas den missbruksregeln.
Vad som innebär en kränkning av den personliga integriteten avgörs från fall till fall utifrån bland annat vilka uppgifter som behandlas, i vilket sammanhang, för vilket syfte, vilken spridning uppgifterna kan få samt vad behandlingen kan leda till. I förarbetena angavs fem förhållningsregler att beakta vid kränkningsbedömningen:
- Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse och skandalisering.
- Samla inte utan godtagbara skäl en stor mängd uppgifter om en person.
- Rätta personuppgifter som visar sig vara felaktiga eller missvisande.
- Förtala eller förolämpa inte någon annan.
- Bryt inte mot sekretess eller tystnadsplikt.7
Missbruksregelns tillämpningsområde har varit föremål för utredning sedan den infördes. Informationshanteringsutredningen (Ju 2011:11) föreslår exempelvis i sitt slutbetänkande att missbruksregeln inte längre ska kunna tillämpas av myndigheter eftersom bestämmelsen motiverades av helt andra skäl än att underlätta myndigheternas informationshantering.8
6SOU 2004:6 s. 134 f. 7 A.a. s. 148. 8SOU 2015:39 s. 240 ff.
Personuppgiftslagens 5 a § i relation till etikprövningslagen
Enligt 5 a § personuppgiftslagen behöver varken 13, 19 eller 21 §§ tillämpas på sådan behandling som tas upp i bestämmelsen, dvs. ostrukturerat material. Eftersom personuppgiftslagen är subsidiär till etikprövningslagen så går dock kraven enligt etikprövningslagen före undantaget i 5 a § personuppgiftslagen. Etikprövningslagen hänvisar i 3 § till 13 § (känsliga personuppgifter) och 21 § (lagöverträdelser m.m.) i personuppgiftslagen samt fastslår i 6 § att sådan forskning endast får utföras efter etikgodkännande. Detta innebär kortfattat att om förutsättningarna för tillämpning av etikprövningslagen är uppfyllda krävs ett etikgodkännande för behandlingen.
Missbruksregeln sett i relation till dataskyddsförordningen
Möjligheten att tillämpa den svenska särregleringen i 5 a § personuppgiftslagen försvinner i och med att dataskyddsförordningen börjar tillämpas. Något utrymme att komplettera med en sådan nationell bestämmelse om undantag från tillämpningen av förordningen finns inte. Eftersom förordningen ska tillämpas i sin helhet på all behandling av personuppgifter måste sådan behandling som tidigare utförts enligt missbruksregeln ha sin rättsliga grund i förordningens bestämmelser.
14.3. Etikprövning som skyddsåtgärd
14.3.1. Inledning
Etikprövning utgör i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. för forskningsändamål. Etikprövning framhålls i utredningens direktiv som en möjlig skyddsåtgärd i enlighet med dataskyddsförordningens krav på skyddsåtgärder vid behandling av personuppgifter för forskningsändamål. För att ta ställning till om etikprövning utgör en skyddsåtgärd som är förenlig med dataskyddsförordningen kommer utredningen i det följande att analysera etikprövningens beståndsdelar samt uppmärksamma vilka bedömningar som legat till grund för införandet av etikprövning som en redan i dag befintlig skyddsåtgärd.
14.3.2. Etikprövning som befintlig skyddsåtgärd
Utgångspunkterna för vad som ska beaktas vid etikprövningen framgår av 7–11 §§ etikprövningslagen. Dessa bestämmelser är emellertid inte avsedda att utgöra en detaljerad beskrivning av hur själva prövningen ska gå till. Lagstiftaren ansåg nämligen vid etikprövningslagens införande att den materiella prövning som ska göras, beträffande bedömningen av bl.a. forskningens vetenskapliga värde och om riskerna för forskningspersonerna uppvägs av detta vetenskapliga värde, varken kan eller bör detaljstyras i lagen. Denna bedömning motiverades med att forskning utförs på så många olika sätt och att forskningsmetoder och andra förhållanden av betydelse ständigt utvecklas och förändras.9
I den proposition som låg till grund för etikprövningslagen hänvisas dock till den avvägningsnorm som vid den tiden framgick av 19 § personuppgiftslagen och som tillämpades vid prövning av om undantag från förbudet att behandla känsliga personuppgifter var tillåtet vid behandling för forskningsändamål. Denna avvägningsnorm innebar att behandlingen skulle vara nödvändig för forskningen och att samhällsintresset klart skulle överväga risken för intrång i enskildas personliga integritet. Enligt förarbetena till personuppgiftslagen (till vilka det hänvisades i propositionen till etikprövningslagen) bestod avvägningsnormen av en helhetsbedömning av samtliga omständigheter i det enskilda fallet.10
Vid helhetsbedömningen skulle således beaktas bl.a. forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, omständigheter vid ett eventuellt samtycke, om information lämnats till de berörda och i vilken utsträckning den som begärde detta hade rätt att bli struken. I viss mån skulle även beaktas hur pass svårt det var att på grund av de behandlade uppgifterna identifiera enskilda personer.
Regeringen framhöll i propositionen med förslag till etikprövningslag att några sakliga förändringar i avvägningsnormens innehåll inte var avsedda i samband med att dess grunder fördes över från personuppgiftslagen till de allmänna utgångspunkterna för etikprövningen enligt etikprövningslagen. Avsikten var helt enkelt att
9Prop. 2002/03:50 s. 113 f. 10 A.a. s. 172 f.
prövningen av forskning som innefattar behandling av känsliga personuppgifter skulle ske på samma sätt som enligt den avvägningsnorm som då fanns i personuppgiftslagen.11 Grunderna för avvägningen mellan risk och värde i samband med etikprövning av personuppgiftsbehandling för forskningsändamål har således sitt ursprung i personuppgiftslagen, vilken i sin tur baseras på det nuvarande dataskyddsdirektivet (95/46/EG).
Den personuppgiftsbehandling som är föremål för etikprövning ska vidare vara nödvändig enligt 10 § andra stycket etikprövningslagen. Nödvändighetskravet i etikprövningslagen motsvarar det som gäller enligt 10 § personuppgiftslagen.12 Enligt utredningens bedömning torde nödvändighetskravet också ha samma innebörd som kravet på nödvändighet i dataskyddsförordningen.13
Ett beslut om etikgodkännande kan förenas med villkor. Detta görs i de fall integritetsaspekterna kan anses tillvaratagna på ett tillfredsställande sätt genom särskilda villkor, i stället för att en ansökan avslås. Sådana villkor antogs i etikprövningslagens förarbeten behövas till exempel beträffande formerna för rekrytering av forskningspersoner och inhämtande av samtycke, lämnande av information eller strykningsrätt. Lagstiftaren ansåg vidare att det i praxis får utvecklas närmare när villkor i något avseende behöver meddelas, eftersom det inte går att förutse alla uppkommande situationer när något villkor borde meddelas.14
Etikprövningsnämnderna har utvecklat denna praxis till att omfatta villkor avseende t.ex. krav på inhämtande av samtycke, möjligheter för den registrerade att motsätta sig behandling av personuppgifter samt tydligare information till den enskilde. Allmänna anvisningar för datasäkerhet har också utvecklats, vilka anger på vilket sätt personuppgifter ska hanteras för att uppnå tillräckligt dataskydd.
Etikprövning har i tidigare lagstiftningsarbete uttryckligen bedömts utgöra en skyddsåtgärd enligt dataskyddsdirektivet vid behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.15 I propositionen som föregick vissa ändringar i etik-
11 A.a. s. 196. 12Prop. 2002/03:50 s. 196. 13 Se vidare avsnitt 5.2.2. 14Prop. 2002/03:50 s. 115. 15SOU 2005:78 s. 71.
prövningslagen anförde regeringen att den prövning av personuppgifter om lagöverträdelser m.m., som ska ske av en etikprövningsnämnd, för ett godkännande av forskning som innebär behandling av sådana uppgifter, innefattar sådana lämpliga och specifika skyddsåtgärder som avses i dataskyddsdirektivet.16 Syftet med etikprövning har följaktligen bedömts vara överensstämmande med dataskyddsregleringens övergripande syfte.
Etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. har alltså tidigare bedömts i relation till kraven i dataskyddsdirektivet.
Av dataskyddsdirektivets artikel 8 p. 4 och 5 (artikel 8.1 reglerar förbudet mot behandling av känsliga personuppgifter och 8.2 anger undantag från förbudet) framgår att:
4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.
5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.
Dataskyddsdirektivet kräver således lämpliga skyddsåtgärder för behandling av hänsyn till ett viktigt allmänt intresse av känsliga personuppgifter17 och lämpliga och specifika skyddsåtgärder för behandling av personuppgifter om lagöverträdelser m.m. I båda fallen har etikprövning sedan tidigare bedömts uppfylla kraven i dataskyddsdirektivet på skyddsåtgärd fastställd i nationell rätt.
14.3.3. Dataskyddsförordningens krav
Dataskyddsförordningen kräver lämpliga skyddsåtgärder för behandling av alla slags personuppgifter för forskningsändamål, inklusive personuppgifter om lagöverträdelser m.m., och lämpliga och sär-
16Prop. 2007/08:44 s. 31. 17 Behandling för forskningsändamål av känsliga personuppgifter har av lagstiftaren bedömts utgöra ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet.
skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) för forskningsändamål. Dataskyddsförordningen saknar närmare definitioner av begreppen lämpliga och särskilda skyddsåtgärder. En analys av begreppet lämpliga skyddsåtgärder finns i kapitel 12.
Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Etikprövningen måste således uppfylla kraven avseende de olika kategorierna av personuppgiftsbehandling för att vara förenlig med förordningen. Dataskyddsförordningens krav i dessa delar har tre olika nivåer:
- All personuppgiftsbehandling för forskningsändamål, innefattande uppgifter om lagöverträdelser m.m. som utförs under kontroll av myndighet, måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1).
- Personuppgiftsbehandling för forskningsändamål av uppgifter om lagöverträdelser m.m. som utförs av enskild får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).
- Personuppgiftsbehandling för forskningsändamål av känsliga uppgifter måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).18
Dataskyddsförordningens krav har stora likheter med de krav som det nuvarande dataskyddsdirektivet ställer. Dataskyddsdirektivet kräver, som angetts ovan, lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser m.m. Utredningen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsförordningen skulle
18 I dataskyddsdirektivet saknas ett undantag specifikt för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter. Undantaget i nuvarande lagstiftning baseras därför på att forskningsändamålet utgör en uppgift av viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet. I dataskyddsförordningen finns undantaget för behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g. Enligt utredningens slutsats i kapitel 7 bör dock personuppgiftsbehandling för forskningsändamål av allmänt intresse, med rättsligt stöd i artikel 6.1 e, tillämpa undantaget i artikel 9.2 j vid behandling av känsliga personuppgifter.
innebära någon skillnad i sak jämfört med begreppet specifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”suitable and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet anger kravet på ”suitable specific safeguards”. Det engelska begreppet ”specific” har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförordningen och dataskyddsdirektivet.
Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskyddsförordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläggande rättigheter och intressen. I artikel 10 anges kravet på lämpliga skyddsåtgärder för de registrerades rättigheter och friheter vid personuppgiftsbehandling av uppgifter om lagöverträdelser m.m. Någon motsvarande formulering av syftet med skyddsåtgärderna finns inte i dataskyddsdirektivet, som dock har som övergripande syfte enligt artikel 1 att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
I kapitel 12 finns utförligare beskrivningar av dataskyddsförordningens krav på skyddsåtgärder generellt. I korthet bör i detta sammanhang lyftas fram att en av dataskyddsförordningens grundläggande generella principer för personuppgiftsbehandling, principen om integritet och konfidentialitet (artikel 5.1 f), anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Till den generella regleringen hör även allmänna skyldigheter i artikel 24 i dataskyddsförordningen för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.
Artikel 32 i dataskyddsförordningen ställer mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Där framgår att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varie-
rande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.
Av skäl 75 i dataskyddsförordningen framgår att risker för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling av bland annat känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. I skäl 76 i förordningen anges att hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.
Ansvaret för att denna riskbedömning görs åligger enligt dataskyddsförordningen den personuppgiftsansvarige. Om det föreligger ett krav på etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för forskningsändamål, varigenom denna avvägning mellan risk och nytta utförs, måste dock etikprövningen vara förenlig med dataskyddsförordningens reglering av riskbedömningen. Ansvaret för att varje enskild personuppgiftsbehandling uppfyller dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar dock alltid den personuppgiftsansvarige.
14.3.4. Överväganden
Utredningens bedömning: Etikprövning enligt etikprövnings-
lagen utgör en sådan fastställd lämplig och särskild åtgärd som krävs vid personuppgiftsbehandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen. Etikprövning enligt etikprövningslagen utgör också en sådan fastställd lämplig skyddsåtgärd som krävs för personuppgiftsbehandling av personuppgifter om lagöverträdelser m.m. enligt artikel 10 i dataskyddsförordningen.
Syftet med etikprövningslagen är att skydda den enskilda människan och respekten för människovärdet vid forskning. Skyddsobjektet är alltså inte helt identiskt med vad som ska skyddas enligt personuppgiftslagen (mot att människors personliga integritet kränks
genom behandling av personuppgifter) eller dataskyddsförordningen (fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter).
Vid etikprövningen ska dock, som ovan redogjorts för, en avvägning göras mellan det förväntade värdet av den kunskap forskningen sannolikt kan ge och riskerna för den enskildes skada och obehag. Riskerna får inte stå i bristande proportion till forskningens potentiella allmängiltiga värde. Oavsett värdet av forskningen måste den genomföras med respekt för människovärdet.
Vid etikprövningen ska beaktas bl.a. forskningsprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, omständigheter vid ett eventuellt samtycke, om information lämnats till de berörda och i vilken utsträckning den som begärde detta hade rätt att bli struken samt risken för identifiering av enskilda personer. Avvägningen har, som utredningen visat, sitt ursprung i personuppgiftslagen som i sin tur baseras på dataskyddsdirektivet. Den riskbedömning som etikprövningsnämnderna gör av personuppgiftsbehandling för forskningsändamål har därmed sedan tidigare bedömts förenlig med kraven i dataskyddsdirektivet.
Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda, men viss vägledning till vilka faktorer som bör beaktas vid bedömningen av lämpligt skydd vid personuppgiftsbehandling finns i artikel 32 i dataskyddsförordningen. Av artikel 32 framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas. Risken bör, enligt skäl 76, utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.
Det är inte möjligt att inom vårt uppdrag till fullo utreda hur etikprövningen går till i praktiken. Utredningen har därför att utgå ifrån att etikprövningslagens bestämmelser, och de vägledningar för tillämpningen som finns i förarbetena, följs av etikprövningsnämnderna och att etikprövningen därmed utförs enligt den avvägningsnorm och riskbedömning som är avsedd. I enlighet med vad utred-
ningen redogjort för i detta avsnitt är det därmed vår bedömning att etikprövningen som helhet uppfyller dataskyddsförordningens krav. Meddelade villkor kan enligt utredningens bedömning utgöra skyddsåtgärder enligt dataskyddsförordningen och komplettera etikprövningen i de fall det krävs för ett fullgott skydd. Att prövningen görs av etikprövningsnämnderna uppfyller, enligt utredningens uppfattning, dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter.
Mot bakgrund av detta är det utredningens sammanvägda bedömning att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid behandling av känsliga personuppgifter för forskningsändamål, samt utgör en sådan fastställd lämplig skyddsåtgärd som artikel 10 i dataskyddsförordningen kräver för behandling av personuppgifter om lagöverträdelser m.m.
Närmare föreskrifter om etikprövningen
Eftersom dataskyddsförordningen blir direkt tillämplig som lag från och med den 25 maj 2018 är det viktigt att den faktiska bedömning av avsedd behandling av personuppgifter som utförs i samband med etikprövningen efter detta datum vid behov anpassas till förordningens krav. Till skillnad från personuppgiftslagen är dataskyddsförordningen inte subsidiär till etikprövningslagen. Dataskyddsförordningens ställning som direkt tillämplig reglering medger inte att bestämmelser som redan framgår av förordningen fastställs i nationell rätt, men i begränsad utsträckning tillåts preciseringar eller upplysningar i syfte att förtydliga förordningens krav. I särskilda fall kräver förordningen nationell reglering.
Det är utredningens uppfattning att etikprövningslagens utgångspunkter för etikprövningen är förenliga med dataskyddsförordningens krav på skydd. Dessa utgångspunkter för etikprövningen anger dock inte i detalj hur själva bedömningen ska gå till. Det är vidare utredningens uppfattning att en sådan detaljreglering heller inte bör ske i lag.
Tillämpningen av dataskyddsförordningen innebär troligen att utbildningsinsatser behöver genomföras för att höja etikprövnings-
nämndernas kompetens avseende det nya regelverket för skydd av den personliga integriteten. Det är vidare möjligt att föreskrifter som närmare tydliggör vilka krav i dataskyddsförordningen som etikprövningsnämnderna särskilt bör beakta vid sin bedömning måste utformas. En sådan översyn görs lämpligen av etikprövningsnämnderna själva. Mot bakgrund av det föreliggande förslaget om en ny etikprövningsmyndighet19 är det utredningens uppfattning att en sådan översyn och anpassning av själva bedömningskriterierna bör avvakta genomförandet av denna organisatoriska förändring.
14.4. Tillämpningsområdet för kravet på etikprövning
14.4.1. Inledning
Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål har utredningen i uppdrag att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål:
Det finns anledning att i detta sammanhang överväga om etikprövning av forskning liksom i dag enbart ska tillämpas på forskning som innefattar behandling av sådana personuppgifter som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.20
Etikprövningslagens tillämpningsområde avseende vilken slags personuppgiftsbehandling som ska omfattas av kravet på etikprövning har på uppdrag av regeringen utretts tidigare vid ett par tillfällen. Vid införandet av etikprövningslagen år 2004 omfattade kravet på etikprövning behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag enbart om forskningspersonen inte hade lämnat
19 I Ds 2016:46 föreslås att de regionala etikprövningsnämnderna organiseras i en myndighet framöver för att bland annat centralisera den administrativa handläggningen av ärendena. Det framgår också av förslaget att ett nytt gemensamt elektroniskt system för ansökan till etikprövningsnämnderna kommer att tas i bruk inom kort. Förslaget till ny organisation för etikprövning av forskning är under beredning, varför utredningen har hänvisat till den befintliga strukturen i samband med våra överväganden och förslag. 20 Dir. 2016:65.
sitt uttryckliga samtycke till behandlingen. Regeringen framhöll då att frågan om etikprövning av annan forskning som i vissa fall kan vara känslig från integritetssynpunkt borde utredas närmare innan ett ställningstagande avseende en eventuell utvidgning av lagens tillämpningsområde kunde göras.21
Denna fråga utreddes sedan närmare inför en lagändring år 2008 som innebar att etikprövningslagens tillämpningsområde utvidgades så att all forskning som innefattar behandling av sådana personuppgifter som anges i 13 och 21 §§personuppgiftslagen ska etikprövas, oavsett om forskningspersonen har lämnat sitt uttryckliga samtycke till behandlingen eller inte.22 Lagens tillämpningsområde avseende personuppgiftsbehandling har dock alltjämt enbart omfattat sådana slags personuppgifter som anges i 13 och 21 §§personuppgiftslagen. Det kan därför vara av intresse, i samband med utredningens övervägande av en eventuell utvidgning av kravet på etikprövning till att omfatta all personuppgiftsbehandling för forskningsändamål, att se något närmare på tidigare resonemang kring avgränsningarna av lagens tillämpningsområde.
14.4.2. Etikprövningslagens ursprungliga tillämpningsområde
Ett övergripande syfte med etikprövningslagen angavs redan från början vara att skydda forskningspersonerna från risker att skadas fysiskt, psykiskt eller integritetsmässigt. De delar av lagens tillämpningsområde som omfattar personuppgiftsbehandling tar sikte på risken för integritetsmässig skada. Lagen omfattar i andra delar krav som avser att skydda forskningspersonerna från risker att skadas fysiskt eller psykiskt. Den utredning som föregick införandet av etikprövningslagen föreslog att lagen skulle tillämpas på forskning med personuppgifter som direkt eller indirekt kunde hänföras till en viss forskningsperson och som skulle utföras utan dennes samtycke, dock bara om forskningen innefattade behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.
Utredningen som föregick införandet av etikprövningslagen framhöll särskilt vikten av den enskildes skydd för forskningens anse-
21Prop. 2002/03:50 s. 102. 22Prop. 2007/08:44 s. 21.
ende, dvs. allmänhetens förtroende för att forskningen utfördes etiskt korrekt. Utredningens bedömning var därför att de olika skyddsaspekterna skulle beaktas på ett ändamålsenligt sätt genom att etikprövning skulle ske på förhand av forskning som kunde antas innebära särskilda risker. Beträffande vilken slags forskning som typiskt sett kunde innebära sådana särskilda risker för forskningspersonerna resonerade utredningen utifrån utgångspunkten att ett förslag till vilken slags forskning som ska omfattas av etikprövning behöver innehålla överväganden om vid vilken sorts deltagande för forskningspersonen som skyddsaspekter blir särskilt framträdande. Det ansågs inte avgörande inom vilket vetenskapligt område forskningen utförs, utan vilken metod som används och hur forskaren avser behandla personuppgifterna.23
Utredningen ansåg att samtycke från forskningspersonen innebar att krav på etikprövning inte var motiverat. Detta ställningstagande gjordes mot bakgrund av bedömningen att forskningspersonen, om denne tillfrågas, själv kan välja att avstå från att delta om denne anser att uppgifterna är för integritetskänsliga. Bedömningen av uppgiftens integritetskänslighet utförs då av forskningspersonen själv.
Forskning som hanterar integritetskänsliga uppgifter om enskilda som inhämtats från annat håll ansågs däremot innebära en sådan integritetsrisk att det motiverade etikprövning, enligt utredningens bedömning. Som utgångspunkt framhölls känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. utifrån personuppgiftslagens definitioner som särskilt integritetskänsliga och utredningen ansåg därför att forskning som innehåller den typen av personuppgifter bör etikprövas. Bedömningen av dessa uppgiftskategoriers integritetskänsliga karaktär baserades alltså i stor utsträckning på den bedömning som föregick regleringen i personuppgiftslagen.
Som exempel på personuppgifter som inte borde omfattas av etikprövning uppgav utredningen att information som avser direkta faktauppgifter om en person (till exempel adress och ålder) inte är att anse som särskilt integritetskänsliga i sig, liksom uppgifter om en persons neutrala värderingsfrågor (som exempel angavs i utredningen vilken mat en person föredrar). Avgörande för vad som
23Ds 2001:62 s. 109 f.
skulle etikprövas ansågs således vara informationens karaktär, oavsett inom vilket vetenskapligt ämne eller område forskningen bedrevs. Fördelen med denna grund för etikprövning framhölls vara att olika sätt att forska inom skilda områden inte påverkar kravet på etikprövning i sig. All forskning som omfattade behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. utan inhämtat samtycke skulle enligt utredningens förslag omfattas av kravet på etikprövning.24
I samband med remissbehandlingen av utredningens förslag inkom en del synpunkter på att lagens föreslagna tillämpningsområde var för snävt avgränsat. En allmän uppfattning var att också observationsstudier, enkäter och intervjuer borde omfattas av etikprövning. Några remissinstanser ansåg att etikprövning borde ske av all behandling av känsliga personuppgifter för forskningsändamål, dvs. även i det fallet forskningspersonen samtyckt. En annan synpunkt som framkom var att lagförslaget bedömdes minska omfattningen av den granskning som redan skedde, avseende sådan forskning som utfördes med samtycke inom det medicinska området, och att denna förändring var diskutabel ur trovärdighetssynpunkt för granskningsprocessen och forskningen.25
Regeringen fann dock att utredningens förslag till avgränsning av etikprövningslagens tillämpningsområde var rimlig och några materiella ändringar gjordes därför inte i regeringens proposition. Etikprövningslagen infördes att gälla från och med den 1 januari 2004 och omfattade då (bland annat) personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. enligt definitionerna i 13 och 21 §§personuppgiftslagen, om forskningspersonen inte lämnat sitt uttryckliga samtycke till behandlingen.
14.4.3. Etikprövningslagens nuvarande tillämpningsområde
Hösten 2004 beslutade regeringen att tillsätta en utredning med uppdrag att se över etikprövningslagen, bland annat med avseende på frågan huruvida lagens tillämpningsområde skulle utvidgas.26
24 A.a. s. 113 ff. 25Prop. 2002/03:50 s. 102 f. 26 Dir. 2004:111.
I detta uppdrag skulle utredaren särskilt uppmärksamma forskning som inkräktar på människors integritet, eller på annat sätt aktualiserar skyddsaspekter, samt lägga särskild vikt vid att avgränsa forskningsområden och att utforma definitioner på ett sådant sätt att såväl forskningsområdena som definitionerna uppfyllde vederbörliga krav på rättssäkerhet.
Definitionerna skulle vara lätta att förstå och tillämpa för alla berörda. Utredningen lämnade förslag på såväl en ny definition av forskning som ett utökat tillämpningsområde av etikprövningslagen. Definitionen av forskningsbegreppet är central för etikprövningen. Enbart forskning som omfattas av lagens definition ska etikprövas och all forskning som omfattas av lagen kräver godkännande för att få utföras. Legaldefinitionen av forskningsbegreppet i 2 § etikprövningslagen är därför grundläggande för lagens tillämpningsområde.
Etikprövningsutredningen föreslog att etikprövningslagens tilllämpningsområde borde utvidgas på så sätt att all forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen ska etikprövas, oavsett om forskningspersonen lämnat sitt samtycke eller inte. Utredningen föreslog också att det borde införas ett nytt stycke i 21 § personuppgiftslagen med innebörden att andra än myndigheter får behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål om en etikprövningsnämnd lämnat sitt godkännande.
Den bedömning som låg till grund för utredningens förslag att utvidga etikprövningslagens tillämpningsområde baserades framför allt på synpunkter som Vetenskapsrådet fört fram i en rapport som överlämnats till regeringen hösten 2003. Vetenskapsrådet hade under våren 2003 fått i uppdrag av regeringen att, med beaktande av den då framlagda propositionen med förslag till etikprövningslag, kartlägga forskningsområden där Vetenskapsrådet bedömde att en etisk problemställning kunde uppkomma och som inte omfattades av den föreslagna regleringen i 3 och 4 §§ etikprövningslagen.27
I Vetenskapsrådets rapport framfördes att det fanns vissa principiellt viktiga skillnader mellan dåvarande praxis för etikbedömning
27 Regeringsbeslut 2003-03-06 Uppdrag till Vetenskapsrådet om etikprövning av viss forskning, dnr U2003/993/F.
av forskning och den granskning som följde av den föreslagna etikprövningslagen. Skillnaderna rörde dels tillämpningsområdet, dels granskningens omfattning. Vetenskapsrådets bedömning beträffande tillämpningsområdet var att etikprövningslagens krav på etikgranskning omfattade ett mycket begränsat forskningsområde i förhållande till dåvarande granskningspraxis. Detta innebar att väsentliga etiska problem i forskningen som tidigare behandlats i etikkommittéer skulle komma att falla utanför etikprövningslagens krav. Vetenskapsrådet föreslog därför att etikprövningslagen skulle utvidgas till att omfatta all forskning som omfattar behandling av känsliga personuppgifter, all forskning som företas utan s.k. informerat samtycke28 och all forskning som innefattar en risk för att forskningspersoner eller andra direkt eller indirekt berörda kan komma att negativt påverkas fysiskt eller psykiskt.29
Liknande synpunkter som i Vetenskapsrådets rapport fördes fram från forskarhåll i samband med utredningen, framför allt rörande forskning med inhämtande av uppgifter från enkäter och intervjuer. Det rörde sig om forskning som uppfattades som etiskt problematisk av såväl forskare som allmänhet och som därför borde omfattas av etikprövning. Avgränsningsproblematiken låg huvudsakligen i gränsdragningen mellan etiskt problematisk forskning med eller utan uttryckligt samtycke. Frågan om det är rätt att genomföra vilken integritetskänslig forskning som helst med samtycke som grund fördes fram, liksom frågan om samtyckets giltighet i olika situationer. Eftersom det inte krävdes etikprövning av forskning med samtycke skedde heller ingen prövning av det avgivna samtyckets giltighet, någon insyn från samhällets sida skulle då inte finnas avseende de etiska aspekterna av forskningsprojekten.
Etikprövningsutredningen fann efter en samlad bedömning att det fanns ett behov av att förstärka samhällets insyn rörande forskning av känsliga personuppgifter genom att överföra godkännandet av sådan forskning, oavsett informerat samtycke, från forskaren själv till etikprövningsnämnderna. Detta förslag innebar att inhämtande av personuppgifter för forskningsändamål genom till exempel enkä-
28 Det kan noteras att beteckningen ”informerat samtycke” är vanligt förekommande inom framför allt medicinsk forskning. Ett giltigt samtycke enligt integritetsskyddslagstiftningen förutsätter dock även att det ska vara fråga om en viljeyttring baserad på frivillighet. 29 Avrapportering av uppdrag till Vetenskapsrådet om etikprövning av viss forskning, dnr U2003/4070/F.
ter, intervjuer och observationsstudier, som tidigare undgått kravet på etikprövning så länge uttryckligt samtycke lämnats, nu skulle omfattas av etikprövningslagens krav.30
Beträffande behandling av personuppgifter om lagöverträdelser m.m. anförde utredningen samma skäl som avseende känsliga personuppgifter för en utvidgning av etikprövningslagen, dvs. att det fanns ett behov av att förstärka samhällets insyn rörande sådan forskning oavsett samtycke eller inte. Utredningen ansåg vidare att samma skyddsnivå för den enskildes integritet var motiverad vid behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål såväl hos en offentlig som hos en enskild forskningshuvudman. Utredningen föreslog därför att om en etikprövningsnämnd godkänt forskningen vid en enskild huvudman skulle det inte behövas något ytterligare beslut från regeringen eller Datainspektionen om undantag från förbudet i 21 § personuppgiftslagen för enskilda att behandla sådana personuppgifter, vilket var det förfarande som annars förelåg vid den här tiden.31
Betänkandet skickades ut på remiss och de flesta remissinstanserna tillstyrkte utredningens förslag. Bland de positiva yttranden som inkom framhölls att förslaget medförde ett bättre skydd för forskningspersonerna, att det undanröjde vissa gränsdragningsproblem och att det skulle öka kvalitén i forskningen. Samtidigt fördes det fram negativa synpunkter som framhöll risken för onödig prövning av forskningsprojekt som var etiskt oproblematiska och att förslaget medförde begränsningar av forskares möjligheter att göra studier som kräver snabb datainsamling.
Vetenskapsrådet ansåg i sitt remissyttrande att förslaget inte var tillräckligt långtgående utan att man alltid borde kräva informerat samtycke även i samband med etikprövning, vilket var i enlighet med slutsatserna i den rapport Vetenskapsrådet tidigare avlämnat till regeringen. Exempel på andra synpunkter som fördes fram rörde risken för ökad arbetsbörda för etikprövningsnämnderna, med alltför rutinbetonade arbetsuppgifter.
Regeringen ansåg vid denna tid att det mot bakgrund av Vetenskapsrådets rapport, Etikprövningsutredningens förslag samt remissinstansernas synpunkter förelåg ett sådant underlag för ställnings-
30SOU 2005:78 s. 65 ff. 31 A.a. s. 70 f.
tagande ifråga om en eventuell utvidgning av etikprövningslagens tillämpningsområde som man efterlyst i samband med införandet av lagen. Regeringen ställde sig i huvudsak bakom utredningens förslag och lämnade, mot bakgrund av vad som framkommit i remissbehandlingen, även förslag på att införa ett förtydligande i 2 § etikprövningslagen avseende en definition av begreppet behandling av personuppgifter. Av definitionen framgår att begreppet i etikprövningslagen avser sådan behandling som anges i den aktuella bestämmelsen i personuppgiftslagen (3 § ).32
Regeringen anförde vidare att den föreslagna utvidgningen av etikprövningslagens tillämpningsområde skulle leda till att förutsättningarna för att integritetsskyddet hålls på en hög nivå i alla de forskningsprojekt som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. blev påtagligt bättre. Regeringens bedömning var att värdet av utökad trygghet för den enskilde och av förstärkt förtroende för forskningen i samhället vägde tyngre än en viss ökad arbetsinsats för den enskilda forskaren och ökad ärendemängd för etikprövningsnämnderna. Vidare ansåg regeringen att det skulle ankomma på etikprövningsnämnderna att pröva förutsättningarna för behandlingen av personuppgifterna utan samtycke. Om nämnden ansåg att samtycke borde inhämtas eller att informationen till forskningspersonerna var alltför bristfällig hade nämnden möjlighet att avslå ansökan eller förena ett godkännande med särskilda villkor, t.ex. avseende krav på samtycke eller rätt för forskningspersonerna att få uppgifter strukna. På så vis ansåg regeringen att etikprövningsnämnderna kunde svara för att integritetsaspekterna tillvaratogs på ett tillfredsställande sätt.33
Nuvarande reglering av etikprövningslagens tillämpningsområde infördes att gälla från och med den 1 juni 2008.
14.4.4. Ett utvidgat tillämpningsområde?
Utredningen kommer i det följande att behandla den uttryckliga uppgiften enligt utredningsdirektiven att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.
32Prop. 2007/08:44 s. 21 ff. 33 A.a. s. 25 f.
Allmänt om etikprövning
En allmän bakgrund till utredningens överväganden avseende kravet på etikprövning är individens rätt till skydd av den personliga integriteten och till individuell autonomi. Denna rätt är vägledande för såväl de allmänna och specifika etiska principer som gäller för forskning som de uttryck detta tagit sig i lagstiftningen. Andra etiska principer bör emellertid också vägas in som härrör från det allmänna intresset av att tillgodose värden som inte enbart kommer den enskilda individen till godo, men som också vanligen har betydelse för den registrerade själv. Här innefattas exempelvis den medicinska etikens princip om att göra gott, att inte skada och att i allmänhet bedriva en verksamhet som åtnjuter allmänhetens förtroende med respekt för människovärdet och individens integritet.
Den medicinska etiken innebär en moralisk skyldighet att ibland ingripa. Utöver de direkta ingripanden som sker i vården kan det vara fråga om förebyggande arbete. Det kan också handla om att använda de möjligheter som står till buds för att förbättra kunskaperna om orsaker till sjukdom och om effektiva metoder för förebyggande och behandling. Skyldigheten för samhället att göra insatser av detta slag har exempelvis stöd genom Förenta nationernas allmänna förklaring om de mänskliga rättigheterna, som i artikel 25 anger följande:
Var och en har rätt till en levnadsstandard tillräcklig för den egna och familjens hälsa och välbefinnande, inklusive mat, kläder, bostad, hälsovård, och nödvändiga sociala tjänster samt rätt till trygghet i händelse av arbetslöshet, sjukdom, invaliditet, makas eller makes död, ålderdom eller annan förlust av försörjning under omständigheter utanför hans eller hennes kontroll.34
Som exempel på ovanstående resonemang kan nämnas senare års forskning inom den s.k. epigenetiken som har visat på långsiktiga effekter av individuell livsstil samt fysisk och social miljö på hälsa och sjukdomsrisker hos kommande generationer. Detta kan illustreras med påvisande av att miljön i fosterlivet har långsiktiga effekter på barnets hälsa under hela dess återstående liv och även
34 FNs konventioner om mänskliga rättigheter. Justitiedepartementet och Utrikesdepartementet 2006, s. 7. (Tillgänglig via nätet på manskligarattigheter.se)
kan påverka hälsan hos barnets egna avkommor35. Ökad kunskap om hur moderns levnadsmiljö påverkar de uttryck det genetiska arvet får hos barnet har vunnits genom möjligheten att följa grupper och individer under mycket långa tidsperioder. Forskningen inom detta fält är relativt ny och sökandet av ny kunskap kan leda till en bättre förståelse av de komplicerade samband som gäller i detta avseende. Detta för i sin tur med sig etiska frågeställningar av följande slag:
- Bör gravida kvinnor åläggas ett större ansvar för sina levnadsvanor under den känsliga fosterutvecklingen? Vilken roll har samhället för att underlätta detta?
- Vilken vetenskaplig grund är tillräcklig för att ge förebyggande rekommendationer? När bör man avstå från sådana?
- Vilket ansvar har samhället för miljön om miljöfaktorer inte bara kan påverka människors hälsa direkt, utan även kommande generationers hälsa? Bör denna kunskap utvecklas vidare genom forskning?36
De etiska principer som exemplifieras här kan ibland komma i motsättning till intresset av att skydda den personliga integriteten, exempelvis vad gäller rätten att kontrollera huruvida känsliga personuppgifter får användas för att generera ny kunskap. Resonemanget ovan mynnar ut i vikten av att vad som bör gälla för skyddet av personuppgifter behöver utvärderas i ett bredare etiskt perspektiv än det som enbart betraktar den registrerades integritetsskydd som vägledande.
Frågan om ett utvidgat tillämpningsområde
Etikprövningslagens övergripande syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Detta innebär såväl ett skydd för den enskilde mot att skadas fysiskt,
35 För en populärvetenskaplig redogörelse, se exempelvis Norman, Mikael. ”Hjärtinfarkt, diabetes och övervikt – hur dina odds bestäms som foster och nyfödd.” Barnläkaren 2012, nr 1, s. 16–17. 36 För vidare diskussion och fler exempel se Statens Medicinsk-etiska Råds hemsida http://www.smer.se/
psykiskt eller integritetsmässigt som ett skydd av grundläggande principer för forskning som avser människor. Ett sådant skydd är också avgörande för forskningens anseende och allmänhetens förtroende. Att bedöma etikprövningens tillämpningsområde handlar ytterst om att hitta en balans mellan etiska principer och andra värden som bör vägas in, där integritetsskyddet utgör en viktig men inte allenarådande utgångspunkt. Beträffande personuppgiftsbehandling för forskning innebär detta ett behov av att hitta en lämplig avgränsning av personuppgifter som är särskilt integritetskänsliga och som därigenom behöver åtnjuta ett större skydd, med beaktande av vilka konsekvenser obligatorisk etikprövning av dessa uppgifter skulle få. Utredningen kommer i det följande att analysera vad som framstår som en lämplig sådan avgränsning.
Redan i det utredningsarbete som föregick införande av etikprövningslagen framhölls att det är viktigt ur rättssäkerhetssynpunkt att forskaren har tydliga ramar för sitt eget initiala ställningstagande till om en etikprövning behöver göras. En tydlig avgränsning av etikprövningens tillämpningsområde skapar tydlighet för forskare bl.a. vid planering av forskningsprojekt.37 Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är förstås minst lika viktig för allmänhetens förtroende för systemet.
Kravet på etikprövning kan anses vara en begränsning av forskningens frihet, forskarens möjlighet att fritt använda sig av personuppgifter i forskningen, vilket kräver proportionalitet i avgränsningen av tillämpningsområdet.
Det är utredningens uppfattning att ramarna för etikprövningens omfattning bör utformas så att de kan fungera även på längre sikt. Detta är av stor vikt för att regleringen inte snabbt ska bli föråldrad jämfört med forskningsmetodernas utveckling och därmed blir lätt att kringgå. En alltför detaljerad avgränsning av tillämpningsområdet medför en sådan risk. Ett omotiverat brett tillämpningsområde riskerar samtidigt att urholka själva syftet med etikprövningen och resultera i ett sämre förtroende för etikprövning.
Ett argument för dagens reglering har sammantaget varit att en avgränsning ska vara så lätt att tillämpa som möjligt och samtidigt uppfylla grundläggande krav på rättssäkerhet, inbegripande förutsebarhet. Metoden att räkna upp de situationer som ska etikprövas
anses uppfylla detta mål. De situationer som inte räknas upp ska således inte etikprövas. Vid tveksamhet faller forskningen utanför lagens tillämpningsområde och forskningshuvudmannen hänvisas till förfarandet med rådgivande yttrande i de fall en etikprövning ändå är önskvärd.38
De synpunkter på omfattningen av etikprövningslagens krav som fördes fram i samband med stiftande av lagen togs i huvudsak om hand i samband med lagändringen år 2008 när lagens tillämpningsområde utökades. Av de kommentarer som lämnades i samband med förslaget att utöka tillämpningsområdet var det ingen remissinstans som anförde att all personuppgiftsbehandling för forskningsändamål bör etikprövas. Ett sådant önskemål har således inte framförts från något håll sedan etikprövningslagen infördes, enligt vad utredningen kunnat erfara.
14.4.5. Överväganden och förslag
Utredningens förslag: Etikprövningslagen ska tillämpas på forsk-
ning som innefattar behandling av:
1. sådana särskilda kategorier av personuppgifter som avses i
artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), eller
2. sådana personuppgifter om lagöverträdelser som innefattar
brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Utredningens bedömning: Det finns inte skäl att utvidga
tillämpningsområdet för lagen om etikprövning av forskning som avser människor till att omfatta all personuppgiftsbehandling för forskningsändamål.
Etikprövning bör vara den lämpliga och särskilda skyddsåtgärden även för de kategorier av personuppgifter som tillkommit i uppräkningen av särskilda kategorier personuppgifter i artikel 9.1 i dataskyddsförordningen. Kravet på etikprövning bör även fortsättningsvis omfatta personuppgifter om lagöver-
38 Se vidare 4 a § förordning (2003:615) om etikprövning av forskning som avser människor.
trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och inte enbart sådana uppgifter som anges i artikel 10 i dataskyddsförordningen.
Dataskyddsförordningen nämner inte etikprövning över huvud taget. Något krav enligt förordningen på etikprövning för varken all eller viss personuppgiftsbehandling för forskningsändamål finns således inte. Förordningen kräver emellertid lämpliga skyddsåtgärder för all behandling av personuppgifter för forskningsändamål (artikel 89.1) och lämpliga och särskilda åtgärder fastställda i unionsrätten eller medlemsstaternas nationella rätt för behandling av känsliga personuppgifter för forskningsändamål (artikel 9.2 j). För behandling av personuppgifter rörande lagöverträdelser m.m. av andra än myndigheter kräver förordningen lämpliga skyddsåtgärder fastställda i unionsrätten eller medlemsstaternas nationella rätt (artikel 10). Utredningen har tidigare konstaterat att etikprövning är att anse som en skyddsåtgärd i enlighet med förordningen, se avsnitt 14.3.4. Frågan är här om etikprövning är en lämplig skyddsåtgärd för all personuppgiftsbehandling för forskningsändamål och inte bara för vissa uppgiftskategorier.
Vad som skulle kunna tala för att utvidga etikprövningslagens tillämpningsområde till att omfatta all personuppgiftsbehandling för forskningsändamål är om det finns skäl att flytta bedömningen avseende vilken slags personuppgiftsbehandling som ska etikprövas från forskningshuvudmannen till etikprövningsnämnderna. Detta gäller framför allt de fall som skulle kunna vara svårbedömda utifrån dagens avgränsning. Risken för att forskning som av integritetsskäl bör etikprövas inte blir bedömd av en etikprövningsnämnd skulle på så vis elimineras och samhällets insyn skulle öka än mer. Frågan är dock om det finns reella behov av en sådan utvidgning.
Dagens avgränsning i etikprövningslagen är väl inarbetad. Såväl känsliga personuppgifter som personuppgifter om lagöverträdelser m.m. är explicit definierade i personuppgiftslagen och det torde vara svårt att undandra forskning omfattande behandling av sådana personuppgifter en föregående etikprövning. I samband med utlämnande av denna typ av uppgifter för forskningsändamål krävs som huvudregel godkänd etikprövning. Behovet av att undanröja risken för att forskning som av integritetsskäl bör etikprövas inte
blir bedömd av en etikprövningsnämnd verkar därför vara litet. I dagsläget finns dessutom ett förfarande med rådgivande yttrande för ärenden där det skulle kunna råda viss osäkerhet om huruvida forskningen omfattas av etikprövningslagen eller inte.
Frågan är vidare om det finns ett behov av att etikpröva sådan forskning som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. Sådana uppgifter har i tidigare utredningssammanhang inte bedömts vara av särskilt integritetskänslig karaktär. Det är dock viktigt att i sammanhanget påminna om att en sådan bedömning naturligtvis kan skilja från person till person, vad någon uppfattar som integritetskänsligt kan en annan uppfatta som helt oproblematiskt. Av den anledningen har tidigare utredningar företrädesvis haft personuppgiftslagens kategoriseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. som utgångspunkt för vad som generellt kan karaktärisera integritetskänsliga personuppgifter.
Om etikprövningslagen skulle omfatta all personuppgiftsbehandling för forskningsändamål skulle det innebära etisk prövning av behandling av alla slags personuppgifter. En personuppgift är, enligt definitionen i 3 § personuppgiftslagen, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Kravet på etikprövning skulle således omfatta varje slags behandling för forskningsändamål även av indirekta personuppgifter utan någon integritetsmässig risk, dvs. etiskt oproblematisk personuppgiftsbehandling för forskningsändamål. En sådan utvidgning av etikprövningslagens tillämpningsområde ter sig enligt utredningen såväl onödig som orimlig.
Etikprövningens syfte är, bland annat, att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns ingen risk för sådan skada behöver inte heller någon etikprövning ske. Utredningens samlade bedömning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med lagen och dessutom riskera att urholka förtroendet för etikprövningssystemet. För att uppnå ett adekvat skydd i enlighet med dataskyddsförordningens krav för personuppgiftsbehandling för forskningsändamål som inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. bör således andra typer av
skyddsåtgärder komma ifråga. Utredningen lämnar överväganden och förslag på sådana skyddsåtgärder i kapitel 12.
Utredningens sammantagna bedömning är således att etikprövningslagens tillämpningsområde inte bör utvidgas till att omfatta all personuppgiftsbehandling för forskningsändamål.
Definitionerna av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m.
Dataskyddsförordningens definitioner av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. innebär vissa skillnader jämfört med nuvarande reglering. Detta medför att utredningens förslag att etikprövningslagen även fortsatt ska omfatta känsliga personuppgifter samt personuppgifter om lagöverträdelser m.m. kräver en närmare analys av vilka personuppgifter som avses. Dataskyddsförordningens definition av sådana slags personuppgifter som det här är fråga om framgår av artikel 9.1 och artikel 10:
Artikel 9.1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. Artikel 10. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Dataskyddsförordningens definition av känsliga personuppgifter är utökad jämfört med dataskyddsdirektivets och personuppgiftslagens. De kategorier av personuppgifter som tillkommit i definitionen är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgift om en fysisk persons sexuella läggning39.
39 Uppgift om en fysisk persons sexualliv är redan i dagsläget kategoriserad som en känslig personuppgift enligt 13 § personuppgiftslagen.
Utredningens förslag att godkänd etikprövning ska vara ett krav för att få behandla känsliga personuppgifter för forskningsändamål innebär således visst utökat tillämpningsområde för etikprövningslagen till följd av den EU-rättsliga utvecklingen.
Personuppgiftsbehandling för forskningsändamål även av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning bör således enligt utredningens mening etikprövas i samband med att dataskyddsförordningen och den anpassade regleringen i etikprövningslagen börjar tillämpas. Det är dock i dagsläget svårt för utredningen att bedöma i vilken mån denna utvidgade definition av känsliga personuppgifter kommer att generera en ökad arbetsmängd för etikprövningsnämnderna.
Det är i sammanhanget viktigt att förtydliga att kravet på etikprövning som skyddsåtgärd vid behandling av känsliga personuppgifter, i enlighet med definitionen i artikel 9.1 i dataskyddsförordningen, omfattar all behandling för forskningsändamål som avser dessa speciella kategorier av personuppgifter. Detta innebär att oavsett om behandlingen utförs med samtycke eller är nödvändig enligt någon av de andra rättsliga grunderna enligt artikel 6.1 krävs det etikgodkännande enligt etikprövningslagen om behandlingen utförs för forskningsändamål. Artikel 9.2 j i dataskyddsförordningen omfattar all personuppgiftsbehandling som är nödvändig för forskningsändamål. Det lagstadgade kravet på etikprövning för all behandling av känsliga personuppgifter för forskningsändamål innebär vidare att samtycke inte ensamt kan upphäva förbudet mot behandling av känsliga personuppgifter enligt artikel 9.2 a, inom ramen för etikprövningslagens tillämpningsområde.
Beträffande definitionen av personuppgifter om lagöverträdelser m.m. är dataskyddsförordningens formulering något snävare än den nuvarande bestämmelsen i 21 § personuppgiftslagen, som stadgar:
Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Utredningen har i kapitel 8 analyserat skillnaderna mellan formuleringarna i 21 § personuppgiftslagen och artikel 10 i dataskyddsförordningen. Utredningen lämnar där ett förslag om att införa en bestämmelse i forskningsdatalagen som ger andra än myndigheter rätt
att behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål. Detta förslag är förenligt med artikel 10 i dataskyddsförordningen.
Förordningens krav på fastställda lämpliga skyddsåtgärder gäller dock enbart för sådana personuppgifter om lagöverträdelser m.m. som framgår av artikel 10. Som tidigare framgått är det utredningens bedömning att etikprövningslagens nuvarande tillämpningsområde bör kvarstå. Detta innefattar den vidare definition av personuppgifter om lagöverträdelser m.m. som gäller enligt 21 § personuppgiftslagen. Utredningen finner inte skäl för att undanta sådana typer av personuppgifter som omfattas av etikprövningslagens nuvarande krav från samma skydd framöver.
Utredningen kan inte heller finna att det skulle stå i strid med dataskyddsförordningen att även fortsättningsvis låta kravet på etikprövning enligt etikprövningslagen omfatta sådana personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen. Utredningen föreslår således att etikprövningslagen även fortsättningsvis ska tillämpas på forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Sammanfattning
Det är utredningens bedömning att etikprövningslagens krav även fortsättningsvis bör omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Detta innebär i praktiken att tillämpningsområdet avseende känsliga personuppgifter utökas i förhållande till i dag, i syfte att vara förenligt med dataskyddsförordningens definition i artikel 9.1. Det innebär vidare att definitionen av personuppgifter om lagöverträdelser m.m. enligt etikprövningslagen kvarstår enligt den avgränsning som återfinns i 21 § personuppgiftslagen, vilket i sin tur innebär en vidare definition än artikel 10 i dataskyddsförordningen.
Utredningen vill i detta sammanhang avslutningsvis framhålla att det är vårt uppdrag att överväga om etikprövningslagens krav bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål, eller om dagens avgränsning till behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m.
ska kvarstå. Uppdraget omfattar således inte en analys av en utvidgning av tillämpningsområdet till att omfatta viss annan personuppgiftsbehandling för forskningsändamål.
Vilka slags personuppgifter som upplevs som integritetskänsliga är många gånger en subjektiv bedömning. Vad som är integritetskränkande för någon kan vara relativt okomplicerat för en annan person. En uppgift om medlemskap i fackförening kan te sig mindre integritetskänsligt än till exempel en uppgift om någons privatekonomi, vilket inte omfattas av förordningens definition av känsliga personuppgifter. Detsamma gäller för omfattande sammanställningar av personuppgifter som var för sig inte är så känsliga men som tillsammans med en stor mängd andra personuppgifter kan utgöra ett integritetskänsligt material.
I Vetenskapsrådets rapport från år 2003, med anledning av regeringens uppdrag att kartlägga forskningsområden där en etisk problemställning skulle kunna uppkomma och som inte täcks av etikprövningslagen, var ett av förslagen att all personuppgiftsbehandling för forskningsändamål utan informerat samtycke skulle omfattas av kravet på etikgodkännande.40 Detta förslag återgavs men behandlades inte närmare av den utredning som sedan föregick införandet av etikprövningslagens nuvarande tillämpningsområde.41Slutsatsen i den utredningen var dock att en lämplig avgränsning av lagens tillämpningsområde var att all personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter, oavsett inhämtat informerat samtycke eller ej, skulle etikprövas. Det ligger inte inom vårt uppdrag att utreda Vetenskapsrådets förslag till utvidgat tillämpningsområde vidare.
Vi är medvetna om de behov av ytterligare nyansering som förs fram i olika forskningssammanhang och att det kan vara motiverat att se över vilken slags personuppgiftsbehandling för forskningsändamål, även i andra fall än som direkt framgår av vårt uppdrag, som borde etikprövas. Mot bakgrund av det tydliga utredningsuppdraget och den högst begränsade utredningstiden är det dock vår bedömning att en sådan översyn av etikprövningslagens tillämpningsområde inte låter sig göras inom ramen för detta utredningsuppdrag.
40 Dnr U2003/4070/F. 41SOU 2005:78.
14.5. Behov av fortsatt översyn
14.5.1. Inledning
Utredningen har, som redan framkommit, i uppdrag att överväga om kravet på etikprövning bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål. Om utredningen kommer fram till att kravet på etikprövning ska utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål ska utredningen enligt sitt uppdrag analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden. För det fallet utredningen skulle förorda en utvidgning av kravet på etikprövning skulle vi överväga behovet av att införa ett enklare förfarande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet.
Så som utredningen redan har redogjort för är vårt ställningstagande emellertid att etikprövningslagen även fortsatt bör omfatta behandling för forskningsändamål begränsat till känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Enligt utredningens bedömning bör etikprövningslagen således inte utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål. Någon anpassning av de bestämmelser i etikprövningslagen som reglerar handläggningen av ärenden aktualiseras därför inte med hänvisning till ett utvidgat tillämpningsområde. Inte heller behöver en analys göras av ett eventuellt behov av förenklingar i etikprövningsförfarandet vid personuppgiftsbehandlingar som innebär en liten risk för intrång i den enskildes integritet, mot bakgrund just av att utredningen inte föreslår ett utökat tillämpningsområde.
Samtidigt har utredningen under arbetets gång på olika sätt blivit varse om behovet av att inom ramen för dagens tillämpningsområde se över etikprövningsförfarandet i samband med behandling av personuppgifter. Under utredningstiden har vi närmare bestämt fått ta del av konkreta exempel och vad som framstår som välgrundade synpunkter avseende behovet av vissa förändringar av etikprövningsförfarandet.
Sammantaget är det utredningens uppfattning att det är av stor vikt att dessa aspekter på etikprövning riktad mot personuppgiftsbehandling utreds vidare. Mot bakgrund av att utredningen i detta skede har sitt huvudsakliga fokus på anpassningar till dataskydds-
förordningen, är det dock vår bedömning att en sådan översyn bör ske i ett annat sammanhang. Utredningen kommer därför i det följande att återge exempel på behov av vidare analys över ett förändrat, och vad som kan betecknas som differentierat, etikprövningsförfarande som har identifierats under utredningstiden.
14.5.2. Etikprövning vid lägre risk för intrång i den enskildes integritet
Etikprövning ska enligt utredningens förslag utgöra den huvudsakliga skyddsåtgärden för all behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. för forskningsändamål. Sådan behandling av personuppgifter förekommer inom många forskningsområden med användning av olika metoder. Risken för intrång i den enskildes integritet kan därför variera högst avsevärt även inom sådan slags personuppgiftsbehandling som kräver etikgodkännande. Etikprövning är en omfattande skyddsåtgärd som i dagsläget är utformad på i princip samma sätt för all etikprövning av personuppgiftsbehandling.
Basen utgörs av begreppet personuppgift som ges en långtgående definition i dataskyddsförordningen. Enligt artikel 4.1 avses med personuppgifter:
Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Denna definition gäller för alla slags personuppgifter. Detta innebär att det även avseende känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. finns såväl direkta som indirekta personuppgifter.
Utredningen har både för egen del och av andra aktörer uppmärksammats på ett antal varianter av personuppgiftsbehandling för forskningsändamål vilka omfattas av etikprövningslagen krav, men som kan antas innebära en lägre risk för intrång i den enskildes integritet.
Behandling av kodade personuppgifter från myndighetsregister
Registerforskningsutredningen (U 2013:01) lade fram ett förslag i sitt betänkande SOU 2014:45 Unik kunskap genom registerforskning som avsåg ett förenklat förfarande för behandling av personuppgifter som hämtats från myndighetsregister med uppgifter som primärt samlats in för andra ändamål än forskning och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde.
Förslaget baserades på att Centrala etikprövningsnämnden, enligt uppgift från Registerforskningsutredningen, har utvecklat en praxis enligt vilken forskningsprojekt som endast innefattar sådan personuppgiftsbehandling i regel anses medföra mycket små risker för den personliga integriteten. Någon egentlig värdering av forskningsprojektets nytta anses därför inte behövas i samband med etikprövningen.
Registerforskningsutredningens förslag till förenklat förfarande innebär att sådana ärenden skulle få avgöras av nämndens ordförande ensam, genom en ändring av den befintliga 27 § etikprövningslagen. I 27 § anges redan i dag under vilka förutsättningar ordföranden, eller annan ledamot, i en regional etikprövningsnämnd får fatta beslut ensam. En sådan situation är när ett ärende är av den typen att tidigare vägledande avgöranden kan tillämpas, dvs. när det finns en väl etablerad praxis på området.42 I våra direktiv anges som alternativt förslag att sådana ärenden skulle kunna avgöras av ordföranden i samråd med en vetenskaplig ledamot.
Enligt Registerforskningsutredningen anses behandling av kodade personuppgifter som hämtats ur ett myndighetsregister utgöra liten eller obefintlig risk för skada eller obehag för forskningspersonerna. Någon bedömning av forskningens vetenskapliga bärkraft behöver därför inte göras, eftersom risksidan aldrig kommer att väga tyngre än värdesidan. Utredningen bedömde att ordföranden ensam är lämpad att utföra riskbedömningen och besluta i ärendet, eftersom det inte krävs en avvägning mellan riskerna för skada för den enskilde och det förväntade värdet av forskningen. Prövningen i sig skulle enligt förslaget alltjämt utföras enligt de principer som gäller enligt etikprövningslagen och i de fall ordfö-
42SOU 2014:45 s. 375 f.
randen anser ärendet vara av sådan karaktär att det bör behandlas i nämnden skulle ärendet hänvisas dit. Enligt Registerforskningsutredningens förslag skulle detta förenklade förfarande enbart gälla de regionala etikprövningsnämnderna eftersom ärenden som överklagas till centrala nämnden ansågs vara av mer komplicerad karaktär och något förenklat förfarande inte bedömdes motiverat.43
I samband med remissbehandlingen av Registerforskningsutredningens förslag inkom synpunkter på förslaget om förenklat etikprövningsförfarande till regeringen. Ett flertal remissinstanser ställde sig positiva till förslaget i sin helhet,44 medan ett par i övrigt positiva svar föreslog att förslaget kompletterades med att sådana ärenden i samråd med en vetenskaplig ledamot ska avgöras av ordföranden (som enligt etikprövningslagen ska vara eller ha varit ordinarie domare).45 Bland övriga inkomna synpunkter märktes förslaget att helt slopa kravet på etikprövning för forskning baserad på avidentifierade registeruppgifter (dvs. indirekta personuppgifter), för att i stället införa ett system där utlämning av sådana personuppgifter kan ske till auktoriserade institutioner utan särskild prövning i varje enskilt fall.46
I andra änden av skalan ansåg en remissinstans att ett förenklat förfarande inte borde tillämpas mot bakgrund av utredningens argument, eftersom en vägning av risk mot nytta alltid behöver göras för att värna registrens legitimitet och allmänhetens tillit till forskning.47 Andra synpunkter rörde bland annat att det inte förelåg övertygande argument för förslaget samt att grundregeln borde vara att ärenden som avser registerforskning granskas av nämnden i sin helhet.48 Flera risker belystes i ytterligare ett remissvar. Detta gällde såväl att en befarad ökad arbetsbelastning för ordförandena riskerar att motverka effektivitetsargumentet i förslaget som att personuppgiftsbehandling enligt förslaget får en stämpel av att inte vara så integritetskänsligt med risk för mindre ansvarsfull hantering.49
43 A.a. s. 377. 44 Bland annat Nationellt biobanksråd, Försäkringskassan, Uppsala universitet, Linné- universitetet, Inspektionen för socialförsäkringen, Folkhälsomyndigheten, Karolinska institutet, Umeå universitet och Kammarrätten i Stockholm. 45 Till exempel Stockholms universitet, Vetenskapsrådet och Forte. 46 Lunds universitet, Ekonomihögskolan. 47 Lunds universitet, Medicinska fakulteten. 48 Statens Medicinsk-etiska råd. 49 Myndigheten för vårdanalys.
Centrala etikprövningsnämnden anförde i sitt remissyttrande att nämnden inte gärna ser att man inför bestämmelser som medför särbehandling av visst slag av forskning. Dessutom finns redan en möjlighet enligt 27 § etikprövningslagen att överlämna ärenden till ordföranden eller annan ledamot att avgöra under vissa förutsättningar. Mot den bakgrunden avstyrkte Centrala etikprövningsnämnden förslaget om förenklad etikprövning.
Vi har under utredningstiden också tagit del av uppfattningen från flera håll att behandling av kodade personuppgifter ur myndighetsregister inte självklart medför lägre risk för intrång i den registrerades integritet utan snarare tvärt om.
Behandling av personuppgifter ur offentligt material
Kravet på etikprövning enligt 3 § etikprövningslagen omfattar all forskning, enligt lagens definition, innefattande behandling av de angivna kategorierna av personuppgifter. Några andra kriterier uppställs inte. Detta innebär att kravet på etikprövning omfattar uppgifter som inhämtats från myndigheter, andra organisationer, privata företag eller enskilda forskningspersoner m.fl. Aktuella forskningsdata kan avse både uppgifter som är offentliga och uppgifter som skyddas av sekretess. Eftersom definitionen av personuppgift omfattar såväl direkta som indirekta uppgifter om en enskild levande fysisk person är kravet på etikprövning långtgående. Frågan om etikprövning av personuppgiftsbehandling av uppgifter ur offentligt och eventuellt redan (digitalt) tillgängliggjort material har behandlats såväl i rättsvetenskapliga artiklar som av etikprövningsnämnderna.
Kärnan i problematiken kring etikprövning av personuppgiftsbehandling av uppgifter ur offentligt material rör framför allt relationen mellan den grundlagsfästa rätten att ta del av allmänna handlingar också innehållande personuppgifter (2 kap. tryckfrihetsförordningen) och etikprövningslagens krav på etikprövning av viss personuppgiftsbehandling. En övergripande uppfattning som förs fram i sammanhanget från forskarhåll är att etikprövningslagen inte kan begränsa en rättighet som fastställts i grundlag.
Var och en kan med stöd av offentlighetsprincipen samla in och bearbeta uppgifter ur offentliga allmänna handlingar. Med offent-
liga allmänna handlingar menas sådana allmänna handlingar där det inte föreligger någon sekretess.
När sådan insamling och bearbetning av vissa kategorier av personuppgifter görs för forskningsändamål blir kravet på etikprövning aktuellt. Etikgodkännande ska närmare bestämt föreligga redan innan uppgifter samlas in i samband med forskning, vilket i praktiken innebär ett krav på förhandsgodkännande av inhämtande av personuppgifter också ur offentliga allmänna handlingar. Detta krav har ansetts inskränka forskarnas grundlagsskyddade rätt att ta del av sådana offentliga uppgifter.
Inom forskning kan det många gånger också vara svårt att fastställa den tidpunkt när insamling och läsning av till exempel rättspraxis övergår från att vara fortbildning eller undervisningsförberedelser till att utgöra inledningen på forskning.50 Regleringen i etikprövningslagen är i dagsläget så långtgående att till exempel behandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. ur en tryckt och förlagsutgiven rättsfallssamling kräver etikgodkännande innan läsning av bokinnehållet får påbörjas för detta ändamål.
Att en forskare tar del av personuppgifter som återfinns i material som en domstol eller förvaltningsmyndighet exempelvis offentliggjort via sin webbplats får vidare anses medföra en låg risk för kränkning av den enskildes integritet. Behandling av uppgifter ur sådant material, som offentliggjorts med syfte att ge allmänheten insyn i domstolars och andra allmänna organs verksamheter, har dessutom ansetts kunna generera samhällsnyttiga forskningsresultat av stor vikt.51
Centrala etikprövningsnämndens praxis
I ett överklagat ärende bedömde Centrala etikprövningsnämnden frågan om rättsvetenskaplig analys av domskäl i brottmålsdomar ska omfattas av etikprövningslagen. Klagandens motivering till ifrågasättandet av lagens tillämplighet var att etikprövningslagens regler-
50 Se vidare Elisabeth Rynning: Privatlivet och forskningen – en dyster lägesbeskrivning, SvJT 2009 s. 566–584, s. 578 f. 51 Se vidare Vilhelm Persson, Grundlagsstridigt krav på etikprövning?, Förvaltningsrättslig tidskrift 4/2015.
ing står i strid med den grundlagsfästa rätten att ta del av allmänna handlingar. Nämnden menade att man måste skilja mellan rätten att ta del av allmänna handlingar och rätten att använda uppgifter ur allmänna handlingar inom forskningsverksamhet. I det aktuella forskningsprojektet skulle citat ur domar föras över till forskningstexten tillsammans med uppgift om målnummer, vilket nämnden ansåg gjorde det möjligt att hänföra varje citat till tilltalade och målsägande i målet. Detta innebar sammantaget enligt nämndens bedömning att forskningen innefattade behandling av personuppgifter som omfattades av etikprövningslagens krav på etikprövning. Det rörde sig alltså om forskning enligt etikprövningslagens definition och underlaget bestod av redan existerande och tillkommande känsliga personuppgifter samt även personuppgifter om lagöverträdelser m.m. På vilket sätt uppgifterna gjorts tillgängliga för allmänheten ansåg Centrala etikprövningsnämnden sakna betydelse. Ansökan godkändes med villkor att nämndens allmänna anvisningar för datasäkerhet skulle följas i tillämpliga delar.52 Centrala etikprövningsnämnden bedömde i det aktuella fallet risken för intrång i forskningspersonernas personliga integritet som så pass liten att den regionala nämndens beslutade villkor om s.k. opt out-förfarande53inte bedömdes nödvändigt.54
Centrala etikprövningsnämnden avgjorde senare ett liknande ärende där en analys av domar och andra myndighetsbeslut, enbart offentligt material, skulle genomföras inom ett forskningsprojekt. Klaganden ansåg att den distinktion som nämnden gjort i sin praxis mellan rätten att ta del av offentliga allmänna handlingar och de etiska förutsättningarna för att använda information ur sådana handlingar inom forskning med hänvisning till doktrin55 inte är oproblematisk. Centrala etikprövningsnämnden ansåg dock alltjämt att den planerade analysen var tillståndspliktig i sin helhet.
52 Etikprövningsnämndernas allmänna anvisningar för datasäkerhet: Allt forskningsmaterial som innehåller känsliga personuppgifter ska förvaras i låsta skåp. Känsligt elektroniskt material ska lagras på separat krypterad hårddisk eller liknande, som förvaras i säkerhetsskåp och som endast personer direkt utsedda av den ansvarige forskaren har tillgång till. Kodnyckel och annat direkt identifierbart material, som ljudinspelningar och samtyckesblanketter, ska förvaras åtskilt från det kodade materialet. All bearbetning och förvaring av data ska äga rum på dator eller annat medium utan anslutning till Internet. 53 Den registrerades möjlighet att motsätta sig behandling av personuppgifter. 54 Centrala etikprövningsnämnden beslut Ö 14-2015. 55 Vilhelm Persson, Grundlagsstridigt krav på etikprövning?, Förvaltningsrättslig tidskrift 4/2015.
Ansökan godkändes med villkoret att nämndens allmänna villkor för datasäkerhet skulle följas i de delar som inte avsåg analys som grundade sig på avgöranden som domstolarna publicerat på sina webbplatser. Centrala etikprövningsnämnden ansåg således att villkoret om datasäkerhet fick anses obehövligt till den del analysen grundade sig på avgöranden som domstolarna publicerat på sina webbplatser.56
Den principiella frågan om det bör göras någon distinktion avseende den integritetsrisk som är förknippad med behandling av uppgifter ur offentligt redan publicerat material och offentligt material i övrigt har behandlats av Centrala etikprövningsnämnden vid ytterligare ett par tillfällen. Ett av de aktuella ärendena avsåg en studie med syfte att närmare analysera viss rättstillämpning med användande av bland annat domar från förvaltningsrätt och kammarrätt. Materialet bestod av offentliga allmänna handlingar som dock innehöll känsliga personuppgifter. I redovisningen av forskningsresultaten skulle information om individer eller direktidentifierande uppgifter inte anges, men man avsåg att ge hänvisning till målnummer i syfte att ge läsaren möjlighet att kontrollera forskningens kvalitet. Ansökan beviljades av den regionala etikprövningsnämnden med villkor att vad avsåg opublicerade domar, dvs. sådana som inte återgivits i referatsamlingar, målnummer inte skulle få anges i resultatredovisningen. I stället skulle en kodlista kunna sparas för att möjliggöra identifikation av de aktuella domarna i efterhand.
Sökanden överklagade beslutet avseende detta villkor med hänvisning bland annat till att det i rättsvetenskaplig forskning är en vedertagen princip att målnummer anges i resultatredovisningar mot bakgrund av att man behandlar offentligt material. Centrala etikprövningsnämnden bedömde lämpligheten i ett sådant krav bland annat med beaktande av doktrin,57 där det framhålls att offentligheten gällande domar och beslut bland annat syftar till att göra det möjligt att kritiskt granska rättstillämpningen och att det generellt står varje medborgare fritt att inhämta och behandla sådana uppgifter, även i forskningssammanhang.
56 Centrala etikprövningsnämnden beslut Ö 30-2015. 57 Elisabeth Rynning: Privatlivet och forskningen – en dyster lägesbeskrivning, SvJT 2009 s. 566–584.
Centrala etikprövningsnämnden konstaterade dock att offentliga referatsamlingar visserligen anonymiserar namn i samband med publicering, men alltid innehåller en hänvisning till målnummer, datum för domar och beslut osv. vilka utgör indirekta personuppgifter. En sådan hänvisning är, enligt nämndens bedömning, godtagbar enligt fast praxis. Även hänvisningar i rättsvetenskapliga framställningar till opublicerade avgöranden innehåller som regel sådana indirekta personuppgifter, vilket är i enlighet med vedertagen forskningssed. Centrala etikprövningsnämnden fann sammantaget att skyddet för den enskildes integritet inte skulle öka nämnvärt genom det av regionala nämnden uppställda villkoret och att ett sådant villkor stred mot vedertagna principer och upphävde beslutet i den delen.58
Av Centrala etikprövningsnämndens bedömning avseende huruvida det bör göras någon distinktion ifråga om integritetsrisken vid behandling av uppgifter ur offentligt redan publicerat material och offentligt material i övrigt kan slutsatsen dras att en begränsning av möjligheten att på vedertaget sätt hänvisa till målnummer och liknande uppgifter i rättsvetenskapligt arbete inte är motiverad, oavsett om det offentliga materialet är publicerat eller ej.
Sammanfattningsvis kan utredningen konstatera att det i dagsläget råder olika uppfattningar i frågan om etikprövning vid användning av offentligt material, såväl publicerat som opublicerat.
14.5.3. Överväganden
Utredningens bedömning: Ett mer ändamålsenligt etikpröv-
ningsförfarande för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång bör utredas vidare.
Mot bakgrund av ovan förda resonemang och praktiska exempel bedömer utredningen att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etikprövning av personuppgiftsbehandling för forskningsändamål.
58 Centrala etikprövningsnämnden beslut Ö 11-2012 och Ö 16-2012.
Dataskyddsförordningen definierar inte närmare vad som avses med lämpliga och särskilda skyddsåtgärder. Det är upp till medlemsstaterna att bedöma detta, särskilt i samband med fastställande i nationell lag. Eventuell granskning sker i efterhand av EU-domstolen, där en nationell skyddsåtgärd kan komma att bedömas som oförenlig med förordningens krav.
Det är i sammanhanget viktigt att påminna om att all behandling av personuppgifter för forskningsändamål måste uppfylla de allmänna principerna i dataskyddsförordningens artikel 5 samt utgå från en rättslig grund enligt artikel 6.1 och omfattas av lämpliga skyddsåtgärder enligt artikel 89.1. Vid behandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. krävs dessutom att kraven enligt artikel 9.2 eller artikel 10 är uppfyllda, vilket enligt utredningens förslag genomförs i och med den nationella reglering avseende skyddsåtgärd som kräver etikgodkännande för att behandlingen ska få utföras.
Den fullständiga etikprövningen bör enligt vår mening begränsas till de personuppgiftsbehandlingar som formellt sett kräver ett dylikt omfattande skydd. Dagens krav på etikprövning omfattar, som framkommit ovan, även sådan personuppgiftsbehandling som generellt kan betraktas som mindre riskfylld för den enskilde, men som ändå är i behov av lämplig skyddsåtgärd. Att tillämpa samma etikprövningsförfarande på all slags personuppgiftsbehandling som etikprövningslagen omfattar är mot denna bakgrund inte rimligt och proportionerligt. Det riskerar dessutom att urholka förtroendet för etikprövning som skyddsåtgärd om förfarandet inte åtminstone i viss mån anpassas utifrån skyddsbehovet.
Det är etikprövningsnämndernas uppgift att bedöma varje ansökan för sig och ställa de krav på skydd för den registrerades integritet som är motiverad i det enskilda fallet. Varje enskild bedömning kan mynna ut i ett villkorat godkännande där en kombination av skyddsåtgärder är möjlig. Etikprövningen omfattar även kontroll av informationen till forskningspersonerna, vilket också utgör ett starkt skydd mot integritetsrisker.
Efter det att etikprövningslagen infördes har det vuxit fram praxis för etikprövningsförfarandet vid olika slags personuppgiftsbehandlingar. Särskilt sådana situationer som bedömts innebära en lägre integritetsrisk bedöms utifrån tidigare vägledande avgöranden genom ett mer rutinartat förfarande. För ett mer lättillgängligt och trans-
parent regelverk krävs dock tydligare gränsdragningar inom ramen för lagens tillämpningsområde liksom en reglerad beskrivning av i vilka situationer ett mer ändamålsenligt förfarande kan komma ifråga.
Effektivitetsaspekten är en tungt vägande faktor i sammanhanget. Ett mer ändamålsenligt förfarande torde leda till vinster för etikprövningsnämnderna avseende effektivitet och resursanvändning. All etikprövning bör således ske på ett ändamålsenligt sätt enligt en förutsebar och tydlig reglering, med möjlighet till insyn för den enskilde, samt omfattas av kontroll och tillsyn.
Mot bakgrund av föregående resonemang är det utredningens bedömning att ett mer ändamålsenligt etikprövningsförfarande för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång bör utredas vidare.
14.6. Anpassningar av etikprövningslagen till dataskyddsförordningen
14.6.1. Inledning
Utredningen har i uppdrag att se över vilka anpassningar av etikprövningslagen som behövs med anledning av dataskyddsförordningen och den generella reglering Dataskyddsutredningen föreslår och lämna behövliga författningsförslag. I detta avsnitt presenteras därför de anpassningar av etikprövningslagen som behövs utöver de förslag som utredningen redan har presenterat. Det kan för tydlighetens skull i sammanhanget framhållas att det är utredningens bedömning att övriga bestämmelser i etikprövningslagen inte berörs av dataskyddsförordningen och därför inte behandlas närmare.
Dataskyddsutredningen och Forskningsdatautredningen har efter samråd kommit överens om att överföra den del av Dataskyddsutredningens uppdrag som rör personuppgiftsbehandling för forskningsändamål till Forskningsdatautredningen. Eftersom etikprövningslagen tillämpas på forskning som avser människor innebär detta beslut om överförande av uppdrag att Dataskyddsutredningen inte lämnar några förslag avseende etikprövningslagen. Några andra förslag till generell reglering från Dataskyddsutredningen som påverkar etikprövningslagen har vi inte tagit del av. Utredningen har således i denna del främst att utgå ifrån vilka anpassningar av etikprövningslagen som behövs med anledning av dataskyddsförordningen.
14.6.2. Överväganden och förslag
När dataskyddsförordningen börjar tillämpas den 25 maj 2018 upphävs personuppgiftslagen. Som en direkt följd av detta måste alla författningar som relaterar till personuppgiftslagen ses över och anpassas. I etikprövningslagen återfinns ett flertal hänvisningar till personuppgiftslagen som behöver justeras i förhållande till dataskyddsförordningen.
Utöver anpassningar i etikprövningslagen medför införandet av dataskyddsförordningen i detta sammanhang att de delar av personuppgiftslagen som hanterar personuppgiftsbehandling för forskningsändamål och som hänvisar till etikprövningslagen måste tas om hand eftersom personuppgiftslagen upphävs. Detta avser 19 § första stycket (undantag från förbudet att behandla känsliga personuppgifter för forskningsändamål efter etikgodkännande) och 21 § andra stycket (undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål efter etikgodkännande). Utredningens övriga överväganden och förslag avseende dessa delar framgår av kapitel 7 och 8.
Definitionen av behandling av personuppgifter (2 §)
Utredningens förslag: 2 § i lagen om etikprövning av forskning
som avser människor anpassas så att det framgår att i lagen avses med behandling av personuppgifter sådan behandling som anges i artikel 4.2 i dataskyddsförordningen.
I 2 § etikprövningslagen definieras behandling av personuppgifter som sådan behandling som anges i 3 § personuppgiftslagen. Denna definition bör omformuleras med en hänvisning till dataskyddsförordningens definition enligt artikel 4.2.
Forskning som omfattas av lagen (3 §)
Utredningens förslag: 3 § i lagen om etikprövning av forskning
som avser människor ändras så att det framgår att lagen ska tillämpas på forskning som innefattar behandling av
1. sådana särskilda kategorier av personuppgifter som framgår
av artikel 9.1 dataskyddsförordningen (känsliga personuppgifter), eller
2. sådana personuppgifter om lagöverträdelser som innefattar
brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Utredningens överväganden och förslag avseende tillämpningsområdet framgår av avsnitt 14.4.5, där utredningen gör bedömningen att etikprövningslagens krav även fortsättningsvis bör omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Avseende etikprövningslagens tillämpningsområde hänvisas i 3 § till 13 och 21 §§personuppgiftslagen. Dessa hänvisningar måste därför omformuleras.
Utlämnande av personuppgifter (12 §)
Utredningens förslag: 12 § i lagen om etikprövning av forsk-
ning som avser människor överförs till forskningsdatalagen och omformuleras så att det framgår att personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.
Beträffande 12 § etikprövningslagen relaterar den till personuppgiftslagen betydligt mer än vad själva bestämmelsen ger uttryck för. Bestämmelsen har följande lydelse:
Personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt.
Enligt förarbetena till etikprövningslagen ska 12 § läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen59 som har följande lydelse:
Om personuppgifter har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Information enligt första tycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.
Andra stycket baseras på artikel 11.2 i dataskyddsdirektivet. Artikel 11 har följande lydelse:
Information när uppgifterna inte har samlats in från den registrerade
1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med behandlingen.
c) All ytterligare information, exempelvis – de kategorier av uppgifter som behandlingen gäller, – mottagarna eller de kategorier som mottar uppgifterna, – förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
2. Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt genom 24 § personuppgiftslagen. För att undgå kravet på information till den registrerade enligt 24 § första stycket krävdes att registrering eller utlämnande av personuppgifter uttryckligen fastställdes i författning. Den ursprungliga bestämmelsen i 19 § personuppgiftslagen reglerade undantag från förbudet att behandla känsliga personuppgifter för både forsknings- och statistikändamål under samma förutsättningar. Den ursprungliga formuleringen i 19 § tredje stycket personuppgiftslagen syftade till att uppfylla kravet i 24 § andra stycket för både forsknings- och statistikändamål. Formuleringen i 19 § tredje stycket löd:
Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.
I samband med att etikprövningslagen infördes justerades formuleringen i 19 § tredje stycket personuppgiftslagen till att omfatta enbart behandling för statistiska ändamål i det som kom att bli fjärde stycket, samtidigt som en likalydande bestämmelse infördes i 12 § etikprövningslagen vilken omfattade behandling för forskningsändamål. Lagstiftaren valde således att placera bestämmelsen avseende forskning i etikprövningslagen och behålla bestämmelsen avseende statistik i personuppgiftslagen.
För att forskare ska kunna undgå informationsskyldigheten enligt 24 § personuppgiftslagen, och artikel 11.2 dataskyddsdirektivet, krävs alltså att utlämnande föreskrivs uttryckligen i författning vilket i dagsläget uppfylls genom 12 § etikprövningslagen. Frågan är således vilka krav som i sammanhanget uppställs enligt dataskyddsförordningen, och som skulle kunna ge upphov till behov av anpassningar av etikprövningslagen.
I dataskyddsförordningens artikel 14 regleras information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Artikel 14 i förordningen är betydligt mer omfattande än artikel 11 i direktivet och har följande lydelse:
Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade
1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
d) De kategorier av personuppgifter som behandlingen gäller.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.
2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
b) Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.
c) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet.
d) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
e) Rätten att inge klagomål till en tillsynsmyndighet.
f) Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.
g) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
3. Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2
a) inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,
b) om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller
c) om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.
4. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.
5. Punkterna 1–4 ska inte tillämpas i följande fall och i den mån
a) den registrerade redan förfogar över informationen,
b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,
c) erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller
d) personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.
Motsvarande krav på fastställande i författning av erhållande eller utlämnande av uppgifter för att forskare ska kunna undgå informationsskyldigheten återfinns alltså i artikel 14.5 c i dataskyddsförordningen. Artikel 14.5 c uppställer som krav att erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Dataskyddsförordningens krav är således något annorlunda formulerade än direktivets, som angav att registrering eller utlämnande uttryckligen skulle föreskrivas i författning och i sådana fall skulle medlemsstaterna föreskriva lämpliga skyddsåtgärder. Men kravet på att erhållande eller utlämnande av uppgifter måste föreskrivas uttryckligen i nationell rätt kvarstår, liksom kravet på fastställda lämpliga skyddsåtgärder.
Dataskyddsförordningens skäl 62 anger följande:
Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.
För att helt undgå förordningens krav enligt artikel 14.1–4 krävs således att erhållandet eller utlämnandet av personuppgifter uttryckligen föreskrivs i lag.
Med tanke på att artikel 14 i dataskyddsförordningen ersätter 24 § personuppgiftslagen, som baserades på motsvarande artikel 11 i direktivet, ska således 12 § etikprövningslagen framöver läsas mot bakgrund av artikel 14 i förordningen. Eftersom 12 § etikprövningslagen inte innehåller någon direkt hänvisning till lagrum i personuppgiftslagen är någon anpassning av bestämmelsen inte nödvändig enbart av den anledningen. Det kan dock av andra skäl vara motiverat med en anpassning av bestämmelsen med anledning av dataskyddsförordningen.
Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över regeringens lagförslag. Beträffande den bestämmelse som sedan blev 12 § etikprövningslagen hade Lagrådet en del synpunkter på
formuleringen och tydligheten i densamma. Lagrådets uppfattning var att det var svårt att se att bestämmelsen hade den innebörden att forskaren som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut personuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering som enligt 24 § andra stycket personuppgiftslagen medför att information enligt 24 § första stycket personuppgiftslagen inte behöver lämnas ut, borde bestämmelsen utformas så att detta klart framgår. Lagrådets förslag var att en sådan bestämmelse placerades som inledande paragraf under rubriken ”Information och samtycke” enligt följande lydelse:
Vid forskning som avses i 3 § behöver 24 § personuppgiftslagen (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade.
Regeringen valde att inte följa Lagrådets synpunkter och förslag mot bakgrund av bedömningen att Lagrådets föreslagna alternativa skrivning inte kunde anses vara förenlig med EG-direktivet. Detta eftersom något utlämnande inte skulle föreskrivas i författning utan bara utgöra ett undantag från informationsskyldigheten. Regeringen ansåg vidare att risken för missförstånd avseende bestämmelsens lydelse var liten och förordade därför en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning om inte något annat följer av regler om sekretess och tystnadsplikt, som därigenom tydligt uttryckte att ett utlämnande av personuppgifter får ske, i enlighet med dataskyddsdirektivets krav.60
Den bedömning som ursprungligen låg till grund för bestämmelsens formulering återfinns i förarbetena till personuppgiftslagen, eftersom 12 § etikprövningslagen är en överföring av motsvarande bestämmelse i 19 § personuppgiftslagen avseende behandling för forskningsändamål. I förarbetena till personuppgiftslagen
framgår att den ursprungliga formuleringen i 19 § tredje stycket utgår från direktivets krav på att det uttryckligen måste föreskrivas i nationell rätt att ett utlämnande får ske och bedömningen att sekretess och tystnadsplikt är en sådan lämplig skyddsåtgärd som direktivet kräver i sammanhanget.61
Det är utredningens bedömning att det inte är tillräckligt tydligt att, om man tolkar 12 § etikprövningslagen isolerat, utläsa att bestämmelsen reglerar vilken information som behöver lämnas till den registrerade. Eftersom 12 § ska läsas mot bakgrund av 24 § personuppgiftslagen, som kommer att ersättas av dataskyddsförordningen, kan det vara motiverat av rättssäkerhetsskäl att tydliggöra denna nya koppling för en framtida korrekt tillämpning av bestämmelsen. Utredningens bedömning är därför att innebörden av 12 § etikprövningslagen bör förtydligas på så vis att det framgår av bestämmelsen att den ska läsas mot bakgrund av artikel 14 i dataskyddsförordningen. Det är vidare utredningens bedömning att bestämmelsen snarare hör hemma i den av utredningen föreslagna forskningsdatalagen, eftersom den inte har något direkt samband med etikprövningsförfarandet.
Ikraftträdande- och övergångsbestämmelser
Utredningens förslag: Ändringarna i lagen ska träda i kraft den
25 maj 2018. Inga övergångsbestämmelser ska införas.
Av artikel 99 i dataskyddsförordningen framgår att förordningen trädde i kraft den 24 maj 2016 och att den ska tillämpas från och med den 25 maj 2018. De föreslagna ändringarna i etikprövningslagen bör träda i kraft samma dag som dataskyddsförordningen börjar tillämpas.
Dataskyddsförordningen innehåller inga övergångsbestämmelser som är relevanta för etikprövningslagen. Det är utredningens bedömning att det inte ska införas övergångsbestämmelser avseende de föreslagna ändringarna.
14.7. Sammanfattning
I detta kapitel har utredningen analyserat vilka anpassningar av etikprövningslagen som behöver göras med anledning av att dataskyddsförordningen börjar tillämpas. Utredningen har inledningsvis behandlat frågan om etikprövning som en skyddsåtgärd i enlighet med dataskyddsförordningens krav och kommit till slutsatsen att etikprövning utgör en sådan lämplig och särskild skyddsåtgärd som dataskyddsförordningen kräver för personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m.
Utredningen har därpå analyserat om etikprövningslagens tillämpningsområde bör utvidgas till att gälla all personuppgiftsbehandling för forskningsändamål och kommit till slutsatsen att detta vore en alltför ingripande åtgärd som inte är proportionerlig i förhållande till syftet. Utredningen föreslår därför att kravet på etikprövning även fortsättningsvis ska omfatta personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. enligt de definitioner som framgår av artiklarna 9.1 och 10 i dataskyddsförordningen, samt att kravet på etikprövning avseende de uppgifter som i dagsläget framgår av 21 § personuppgiftslagen även fortsättningsvis bör omfattas av etikprövningslagens tillämpningsområde.
Utredningen har vidare konstaterat att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet inom det befintliga tillämpningsområdet. Ett differentierat etikprövningsförfarande framstår som mer ändamålsenligt inom framför allt viss samhällsvetenskaplig och rättsvetenskaplig forskning. Vi lämnar flera exempel på sådana behov i samband med att personuppgiftsbehandling för forskningsändamål baserar sig på redan offentliggjorda uppgifter och där den efterföljande behandlingen innebär endast en mindre integritetsrisk. Mot bakgrund av begränsningar i vårt uppdrag och ramar i övrigt föreslår vi att detta utreds vidare i särskild form.
Slutligen har utredningen analyserat vilka ändringar av etikprövningslagen som i övrigt behöver göras med anledning av att dataskyddsförordningen börjar tillämpas och lämnar behövliga författningsförslag i dessa delar.
15. Anpassningar av vissa registerförfattningar
15.1. Vårt uppdrag i denna del
Av våra direktiv framgår att det är regeringens uppfattning att det behövs bättre förutsättningar för registerbaserad forskning. Som ett led i detta arbete fick en särskild utredare i januari 2013 i uppdrag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Utredningen tog sig namnet Registerforskningsutredningen (U 2013:01) och lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45).
I betänkandet konstaterade utredningen att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra s.k. forskningsdatabaser. Två sådana lagar är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister. I betänkandet lämnar utredaren förslag till lag om forskningsdatabaser. Med forskningsdatabas avses i detta sammanhang en infrastruktur som ska kunna användas av olika forskare, från olika lärosäten och inom olika forskningsområden i framtida forskningsprojekt. Den föreslagna lagen om forskningsdatabaser föreslås ge lagligt stöd åt universitet och högskolor som omfattas av högskolelagen (1992:1434) samt andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Registerforskningsutredningens förslag har remitterats.
Forskningsdatautredningen har nu i uppdrag att bereda Registerforskningsutredningens förslag vidare. Det är kort tid tills data-
skyddsförordningen (EU 2016/679) ska börja tillämpas den 25 maj 2018 och någon generell reglering av forskningsdatabaser kommer inte att kunna vara på plats tills dess. Därför behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen, och den generella reglering Dataskyddsutredningen (Ju 2016:04) föreslår, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen om rättspsykiatriskt forskningsregister tills dess att dataskyddsförordningen ska börja tillämpas.
Utredningen ska i ett senare skede föreslå långsiktiga regleringar av forskningsdatabaser samt analysera om det på sikt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas. Utredningen ska lämna behövliga författningsförslag i alla delar.
15.2. Rättsliga förutsättningar
Personuppgiftslagen (1998:204) reglerar behandling av personuppgifter enligt nu gällande rätt och baseras på det nuvarande dataskyddsdirektivet (95/46/EG). Personuppgifter får samlas in om det finns en laglig grund och enbart för särskilda, uttryckligt angivna och berättigade ändamål (9 §). Behandlingen är laglig om det föreligger samtycke från den enskilde eller om den är nödvändig för t.ex. utförande av en arbetsuppgift av allmänt intresse (10 §). Forskning anses vara en sådan verksamhet. Myndigheters behandling av personuppgifter regleras ofta i särskilda s.k. registerförfattningar, där bland annat ändamålet och vilka personuppgifter som får behandlas anges. Personuppgifter får inte behandlas för något ändamål som anses oförenligt med det ursprungliga, om den nya behandlingen inte är tillåten enligt någon annan bestämmelse i personuppgiftslagen. Forskningsändamål ska dock inte anses som oförenligt med det ursprungliga ändamålet (9 § andra stycket).
Det är förbjudet att behandla känsliga personuppgifter (13 §). Från detta förbud finns undantag angivna i lagen. Det är till exempel tillåtet att behandla känsliga personuppgifter med den registrerades samtycke (15 §) eller om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och regeringen eller den myndighet
regeringen bestämmer föreskriver om undantaget (20 §). För att behandla känsliga personuppgifter för forskningsändamål krävs etikgodkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor (19 §). I offentlighets- och sekretesslagen (2009:400) finns bestämmelser som reglerar under vilka förutsättningar vissa personuppgifter omfattas av sekretess och vad som krävs för att dessa ska kunna lämnas ut för ytterligare behandling.
Regering och riksdag har som tidigare konstaterats i vissa fall stiftat särskilda lagar för att möjliggöra registerbaserad forskning genom upprättande av forskningsdatabaser. Två sådana författningar är lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Dessa författningar har av lagstiftaren bedömts vara förenliga med det nuvarande dataskyddsdirektivet och har företräde framför personuppgiftslagen.
Dataskyddsförordningen börjar tillämpas den 25 maj 2018. I förordningen återfinns de krav och villkor som ska gälla i stället för det nuvarande dataskyddsdirektivet och personuppgiftslagen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, vilket innebär att nationell rätt måste vara förenlig med förordningen och enbart tillåts komplettera förordningen där så är möjligt och tillåtet.
Liksom personuppgiftslagen kräver dataskyddsförordningen att personuppgifter enbart får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för forskningsändamål ska inte anses som oförenligt med det ursprungliga ändamålet (artikel 5.1 b). Enligt dataskyddsförordningen är behandling av personuppgifter laglig om någon av de rättsliga grunderna i artikel 6.1 är uppfyllda, till exempel samtycke eller utförande av en uppgift av allmänt intresse. Av artikel 6.3 framgår att unionsrätten eller medlemsstaternas nationella rätt ska fastställa, bland annat, den rättsliga grunden uppgift av allmänt intresse. I samband med detta fastställande i nationell lag kan samma lag även innehålla särskilda bestämmelser avseende bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behand-
ling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling m.m. Sådana särskilda bestämmelser återfinns i dagsläget ofta i nationella registerförfattningar. Artikel 6.2 tillåter att medlemsstaterna behåller eller inför sådana nationella mer specifika bestämmelser för att anpassa tillämpningen av förordningen avseende bland annat den rättsliga grunden uppgift av allmänt intresse. Dataskyddsförordningen ställer vidare upp krav för behandling av känsliga personuppgifter (artikel 9) och personuppgifter om lagöverträdelser m.m. (artikel 10) samt krav på skyddsåtgärder vid all personuppgiftsbehandling för forskningsändamål (artikel 89.1).
I det följande kommer en analys göras av vilka anpassningar som behövs av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister med anledning av att dataskyddsförordningen börjar tillämpas.
15.3. Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
15.3.1. Inledning
Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (registerlagen) trädde i kraft den 1 december 2013.1 Registerlagens syfte är att ge ett tydligt lagstöd för register som förs med de registrerades samtycke i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. Känsliga personuppgifter samlas in med uttryckligt samtycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forskningsprojekt som har godkänts vid en etikprövning. Regeringen beslutar vilka som ska få föra register i enlighet med registerlagen. Föreskrifter om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
1 Lagen har i allmänhet kommit att kallas LifeGene-lagen, men är tillämplig för all sådan verksamhet som faller inom lagens tillämpningsområde.
Registerlagen infördes primärt för att tydliggöra rättsläget i samband med insamling av personuppgifter till ett projekt, LifeGene, som syftar till att skapa underlag för att kunna studera hur våra gener, vår omgivning och vårt sätt att leva påverkar vår hälsa.2 Projektet är ett samarbete mellan Karolinska institutet och universiteten i Göteborg, Linköping, Lund, Umeå och Uppsala.
Insamlingen av personuppgifter sker med samtycke och inom ramen för det redan befintliga projektet behandlas en stor mängd känsliga personuppgifter. Datainspektionen beslutade i december 2011 att förelägga Karolinska institutet att upphöra med insamlingen och övrig behandling av personuppgifter i projektet.3 Datainspektionen ansåg att ändamålet framtida forskning var alltför opreciserat för att uppfylla kraven i 9 § personuppgiftslagen. Vidare fann Datainspektionen att det inte kunde föreligga giltigt samtycke enligt 3 och 10 §§personuppgiftslagen, mot bakgrund av det alltför opreciserade ändamålet. Dessutom framhöll Datainspektionen att avsaknaden av särreglering för registret utgjorde ytterligare ett hinder. Datainspektionens beslut föranledde således regeringens åtgärd att låta utreda och föreslå en lagreglering av sådan personuppgiftsbehandling som LifeGene-projektet består av. Riksdagen beslutade sedan att anta förslaget.
Registerlagen är tidsbegränsad och har förlängts vid ett tillfälle till att gälla till och med den 31 december 2017. Ett förslag om ytterligare förlängning bereds för närvarande vid regeringskansliet. Bakgrunden till den tidsbegränsade registerlagen är det utredningsarbete som påbörjades år 2013 när regeringen gav en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning.4 Utredningen resulterade i betänkandet SOU 2014:45 Unik kunskap genom registerforskning. Förslagen i det betänkandet bereds, som redan nämnts, inom regeringskansliet. Forskningsdatautredningen har i uppdrag att i ett andra skede utreda i vilken mån dessa förslag är förenliga med dataskyddsförordningen och kan ligga till grund för en långsiktig reglering av forskningsdatabaser. Under perioden från att dataskyddsförordningen börjar tillämpas och tills dess en långsiktig reglering är på plats måste dock register-
2 Se vidare projektets hemsida http://www.lifegene.se 3 Datainspektionens beslut 2011-12-16 dnr 766-2011. 4 Registerforskningsutredningen (U 2013:01).
lagen vara förenlig med dataskyddsförordningen för att fortsatt kunna tillämpas.
Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering av forskningsdatabaser kommer denna första del av uppdraget i denna del att fokusera uteslutande på lagtekniska anpassningar av registerlagen i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i detta skede kommer att utgå ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inriktad på sådana ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagen ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018 och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagen i vart fall inte ska försämras.
15.3.2. Dataskyddsförordningens utrymme för nationell lagstiftning – övergripande överväganden
Utredningens bedömning: Lagen om vissa register för forsk-
ning om vad arv och miljö betyder för människors hälsa utgör tillåten nationell kompletterande reglering till dataskyddsförordningen.
Dataskyddsförordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter (artikel 1). Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Vidare ska förordningen, enligt skäl 10, säkerställa en enhetlig och hög skyddsnivå och undanröja hinder för flödet av personuppgifter inom EU.
Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig
förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning, vilka anges i artikel 6.1 c och e. Som tidigare nämnts är det tillåtet att i sådan nationell reglering ha bestämmelser om bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling m.m. Den nationella regleringen ska vidare uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, enligt artikel 6.3.
Som utredningen tidigare aviserat kommer vi att i detta skede utgå ifrån redan tidigare gjorda bedömningar, i den mån dessa inte står i strid med dataskyddsförordningen. De bedömningar som föregick införandet av registerlagen baseras på dataskyddsdirektivet, som införlivats i svensk rätt genom personuppgiftslagen.
Behandling av personuppgifter ska enligt 2 § registerlagen ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ändamål. Av motiven till registerlagen framgår vidare explicit att det är regeringens bedömning att ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till specifika forskningsprojekt som har godkänts vid etikprövning är ett sådant viktigt allmänt intresse som avses i artikel 8.4 i dataskyddsdirektivet.5 Artikel 8.4 ger medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Det är således regeringens och riksdagens redan gjorda bedömning att ändamålen med registerlagen utgör ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet. I avsnitt 5.2.2 redovisar utredningen slutsatsen att det inte torde föreligga någon skillnad i sak avseende innebörden i begreppet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen är behandling laglig om och i den mån åtminstone ett av de uppräknade villkoren är
uppfyllt. Denna formulering öppnar för att flera villkor kan vara tillämpliga för en och samma behandling. Artikel 6.1 a anger samtycke som ett villkor samtidigt som artikel 6.1 e anger nödvändig behandling för att utföra en uppgift av allmänt intresse som ett annat villkor. Som tidigare konstaterats är samtycke ett villkor för behandling av personuppgifter enligt registerlagen. Behandling av personuppgifter för de ändamål som anges i registerlagen har också bedömts vara av viktigt allmänt intresse. Detta innebär att behandling enligt registerlagen kan vara laglig enligt såväl artikel 6.1 a som artikel 6.1 e i dataskyddsförordningen. Det ska dock noteras att regeringen hela tiden utgått från en samtyckesbaserad reglering.
Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av personuppgifter för forskningsändamål. I sammanhanget är även skäl 43 i dataskyddsförordningen av vikt att analysera. Av skäl 43 framgår att det i fråga om myndigheters verksamhet kan anses som mindre lämpligt att grunda behandling av personuppgifter på samtycke när det är fråga om förhållandet mellan en myndighet och en enskild, särskilt där det råder betydande ojämlikhet mellan parterna, eftersom förordningens krav på frivillighet i dessa fall kan ifrågasättas. Det är dock utredningens bedömning att det inte kan anses föreligga betydande ojämlikhet mellan den enskilde och den personuppgiftsansvarige i de fall registerlagen omfattar.
Det är utredningens övergripande bedömning att personuppgiftsbehandlingen enligt registerlagen är laglig enligt artikel 6.1 a, mot bakgrund av det uttryckliga samtycke som krävs för all behandling. Det är vidare utredningens bedömning att personuppgiftsbehandlingen enligt registerlagen är att anse som nödvändig och proportionerlig för att uppfylla ändamålet, dvs. uppgiften som är av allmänt intresse, och därför laglig även enligt artikel 6.1 e dataskyddsförordningen. Detta innebär att registerlagen utgör en sådan tillåten nationell reglering för att mer specifikt fastställa hur förordningens bestämmelse ska tillämpas när det gäller utförande av uppgift av allmänt intresse (artikel 6.1 e) enligt artikel 6.2 och 6.3.
Den personuppgiftsbehandling som registerlagen omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande kommer utredningen att gå igenom registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.
15.3.3. Överväganden och förslag
Lagens syfte
Utredningens bedömning: Bestämmelsen om lagens syfte i 1 §
påverkas inte av dataskyddsförordningen och kan och bör behållas.
I registerlagens 1 § anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagen syftar också till att skydda den enskildes personliga integritet i sådan verksamhet.
Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan utgör en slags förklaring till vad som är målet med lagregleringen. Dataskyddsförordningen innehåller inte några bestämmelser som behandlar vilket syfte som anges för nationell kompletterande lagstiftning. Eftersom bestämmelsen om syfte inte har någon materiell betydelse finns det inte något hinder mot att den kvarstår oförändrad.
Lagens tillämpningsområde
Utredningens förslag: Bestämmelsen i 2 § andra stycket om att
lagen bara gäller om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier ska tas bort.
Registerlagen gäller enligt 2 § första stycket behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434). Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen, och vilka register enligt lagen som får föras enligt 2 § tredje stycket. Det är utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka
personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.
För behandling av personuppgifter i enlighet med lagens syfte krävs den enskildes uttryckliga samtycke, enligt 2 § första stycket. Vidare är lagen enligt 2 § andra stycket tillämplig bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig.
Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed i viss mån utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Utifrån detta föreligger således inte något juridiskt hinder mot att låta formuleringen kvarstå i lagen. Det är dock utredningens bedömning att ett införlivande av bestämmelsen varken är nödvändigt för samstämmigheten eller för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade. Sammanfattningsvis bör därför 2 § andra stycket tas bort i syfte att undvika dubbelreglering. Dataskyddsförordningen föranleder inte i övrigt någon ändring av bestämmelsen om lagens tillämpningsområde.
Förhållandet till personuppgiftslagen
Utredningens förslag: Hänvisningarna till personuppgiftslagen
ska tas bort.
I 3 § anges att personuppgiftslagen gäller vid all behandling av personuppgifter, om inte annat följer av denna lag. Med anledning av att personuppgiftslagen upphävs ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till personuppgiftslagen i 3 § ska tas bort.
Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i personuppgiftslagen. Detta gäller hänvisningen till 28 § personuppgiftslagen i fråga om rättelse (13 § denna lag), 26 § personuppgiftslagen om information efter ansökan (14 § andra stycket p. 7 denna lag) och 48 § personuppgiftslagen om skadestånd (17 § denna lag).
Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive den nya nationella dataskyddslagen, se respektive avsnitt nedan.
Förhållandet till dataskyddsförordningen och dataskyddslagen
Utredningens förslag: I registerlagen införs en upplysande be-
stämmelse som tydliggör att lagen kompletterar dataskyddsförordningen. I registerlagen införs även en upplysande bestämmelse som tydliggör att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt registerlagen om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller dataskyddslagen.
I syfte att förtydliga registerlagens förhållande till dataskyddsförordningen föreslås att det i registerlagen införs en upplysande bestämmelse som tydliggör att registerlagen innehåller kompletterande bestämmelser till dataskyddsförordningen. På så vis framgår normhierarkin direkt i lagen, och det blir tydligt att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar således
till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar registerlagen och de registrerade.
Samma syfte har en upplysande bestämmelse om registerlagens förhållande till den nationella kompletterande dataskyddslagen som Dataskyddsutredningen föreslår. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförordningen kommer det att i dataskyddslagen finnas generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen. Dataskyddslagen är subsidiär och dess bestämmelser kommer därmed att gälla i den mån inte registerlagen, eller annan författning, föreskriver annat. Det krävs således inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Därför föreslås att det också införs en upplysande bestämmelse som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats med stöd av registerlagen eller dataskyddslagen.
Personuppgiftsansvar
Utredningens bedömning: Bestämmelsen om personuppgifts-
ansvar i 4 § kan och bör behållas.
I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i förordningen att ange vem som är personuppgiftsansvarig i den nationella rätten.
I registerlagens 4 § anges att det är de universitet och högskolor som utför behandlingen av personuppgifter som är personuppgifts-
ansvariga. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig.
Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det utredningens bedömning att bestämmelsen både kan och bör kvarstå.
Ändamål
Utredningens bedömning: Ändamålsbestämmelserna i lagens
5–8 §§ kan och bör behållas.
Ändamålen med personuppgiftsbehandlingen hör samman med registerlagens syfte, tillämpningsområde och den rättsliga grunden för behandlingen av personuppgifter. Genom ändamålsbestämmelser fastställs ramarna för att personuppgifterna behandlas i enlighet med de allmänna principer för all personuppgiftsbehandling som framgår av 9 § personuppgiftslagen och artikel 5 i dataskyddsförordningen. Detta innefattar bland annat principerna att personuppgifter ska behandlas på ett korrekt, lagligt och öppet sätt i förhållande till de registrerade (artikel 5.1 a) och att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b).
Primära ändamål
Ändamålsbestämmelser delas ofta upp med utgångspunkt i primära och sekundära ändamål. Primära ändamålsbestämmelser syftar till att tillgodose de behov som finns av att behandla personuppgifter i myndighetens egen verksamhet.
Registerlagens primära ändamål är enligt 5 § att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndighet och att forskningen och personuppgiftsbehandlingen är godkända enligt lagen (2003:460) om etikprövning av forskning som avser människor. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men får vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning. Enligt 7 § andra stycket får dock den personuppgiftsansvarige under vissa förutsättningar lämna ut såväl beteckningen som den registrerades personnummer eller motsvarande identitetsbeteckning.
I propositionen som föregick införandet av registerlagen påpekades att regering och riksdag redan tidigare gjort bedömningen i ett flertal författningsärenden att ”forskning” är ett tillräckligt preciserat ändamål enligt dataskyddsdirektivet. Regeringen ansåg vidare att de i registerlagen föreslagna ändamålen var än mer preciserade, eftersom de avsåg att skapa underlag för och lämna ut uppgifter till viss närmare angiven typ av forskning. Det var således regeringens bedömning att ändamålen var tillräckligt preciserade enligt kraven i dataskyddsdirektivet.6 Det är utredningens bedömning att kraven på tillräckligt preciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet. Regeringens redan gjorda bedömning är därför fortsatt giltig och förenlig med dataskyddsförordningen. Det är vidare utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens
krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör därför behållas.
Sekundära ändamål och finalitetsprincipen
Sekundära ändamål avser myndighetens utlämnande av personuppgifter för att tillgodose andras behov. Ett sekundärt ändamål är i 7 § första stycket registerlagen utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Personuppgifter som registrerats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är utredningens bedömning att bestämmelsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad.
För att undvika konflikter med eventuell annan lagstiftning som innebär en uppgiftsskyldighet får, enligt 8 § första tycket, personuppgifter som behandlas enligt 5 §, utöver vad som anges i 6 och 7 §§, lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse är av upplysande karaktär, för att det inte ska råda något tvivel om förhållandet mellan registerlagens ändamålsbestämmelser, offentlighets- och sekretesslagen och andra författningar som tillåter utlämnande av uppgifter.7 Bestämmelsen innehåller inga materiella regler som påverkas av dataskyddsförordningen och kan därför kvarstå oförändrad.
De uppräknade ändamålen och tillåtna behandlingarna i lagen är uttömmande, enligt 8 § andra stycket. Detta innebär en begränsning av den finalitetsprincip som framgår av 9 § första stycket d samt 9 § andra stycket personuppgiftslagen, vilka baseras på artikel 6.1 b i dataskyddsdirektivet. Finalitetsprincipen anger att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, dvs. så länge ett nytt ändamål är förenligt med det ursprungliga så kan vidarebehandling vara tillåten. En behandling av personuppgifter för historiska, statistiska eller
7 A.a. s. 37.
vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in, enligt 9 § andra stycket personuppgiftslagen. I dessa fall föreligger således som huvudregel ett förenligt ändamål.
I dataskyddsförordningen finns motsvarande formulering i artikel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenliga med de ursprungliga ändamålen. I artikel 6.4 beskrivs vidare vad den personuppgiftsansvarige bör beakta för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Bakgrunden till begränsningen av ytterligare behandling i registerlagen, dvs. att de uppräknade ändamålen och tillåtna behandlingarna i lagen är uttömmande enligt 8 § andra stycket, är regeringens bedömning att med hänsyn till att registerlagen avser behandling av särskilt känsliga uppgifter och då det endast är fråga om en tillfällig lag bör personuppgifter inte få behandlas för några andra ändamål än som uttryckligen anges i lagen.8
Mot bakgrund av att ändamålen med behandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är utredningens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas.
8 A.a. s. 38.
Personuppgifterna i registret
Utredningens bedömning: Bestämmelsen i 9 § om vilka person-
uppgifter som får finnas i registret kan och bör behållas.
I 9 § listas vilka slags uppgifter som får finnas i ett register som förs med stöd av registerlagen. Uppräkningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräkning råder det enligt utredningens uppfattning inget tvivel om att uppgifterna som samlas in med stöd av registerlagen utgörs av huvudsakligen känsliga personuppgifter, enligt definitionen i 13 § personuppgiftslagen där bland annat personuppgifter om hälsa ingår. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier, jämfört med dataskyddsdirektivet och personuppgiftslagen, som har lagts till i dataskyddsförordningen.
I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga undantag från förbudet i artikel 9.1, till exempel om den registrerade har lämnat sitt samtycke (artikel 9.2 a) eller om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i artikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlems-
staternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det.
Motsvarande förbud mot behandling av känsliga personuppgifter finns i dataskyddsdirektivets artikel 8.1, vilken införlivats i svensk rätt genom 13 § personuppgiftslagen. Undantag från förbudet är bland annat möjligt om den registrerade lämnat sitt uttryckliga samtycke (artikel 8.2 a i dataskyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirektivet).
I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerlagen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet. De bestämmelser som finns i registerlagen bland annat ifråga om information, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas enligt registerlagen.
Eftersom motsvarande möjligheter till undantag finns i dataskyddsförordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter enligt registerlagen finns således i artikel 9.2 a i dataskyddsförordningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskyddsförordningen.
Intern elektronisk åtkomst
Utredningens bedömning: Bestämmelsen om begränsning av
intern elektronisk åtkomst i 10 § kan och bör behållas.
I 10 § anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
Begränsning av åtkomst till personuppgifter av det här slaget utgör en skyddsåtgärd, enligt dataskyddsförordningens terminologi. Av artiklarna 24.1 och 32 i dataskyddsförordningen framgår generella krav på skyddsåtgärder vid personuppgiftsbehandling. Det är dock upp till den personuppgiftsansvarige att säkerställa lämpliga skyddsåtgärder för att efterleva förordningens krav i alla delar. I vissa fall, till exempel vid behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter enligt personuppgiftslagens benämning) enligt något av undantagen i artikel 9.2 i dataskyddsförordningen, krävs dessutom att lämpliga och särskilda skyddsåtgärder är fastställda i nationell rätt.
Det är utredningens bedömning att bestämmelsen i sak är förenlig med förordningen och utgör en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Bestämmelsen behöver således inte ändras med anledning av dataskyddsförordningen.
Utlämnande genom direktåtkomst
Utredningens bedömning: Bestämmelsen om förbud mot ut-
lämnande genom direktåtkomst i 11 § kan och bör behållas.
Utlämnande genom direktåtkomst till personuppgifter i registret får inte förekomma, enligt 11 §. Även denna bestämmelse utgör en skyddsåtgärd enligt dataskyddsförordningens terminologi. Det är utredningens bedömning att bestämmelsen i sak är förenlig med
förordningen och utgör en sådan mer specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa behandling som grundar sig på bland annat en arbetsuppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. Bestämmelsen behöver således inte ändras med anledning av dataskyddsförordningen.
Gallring
Utredningens förslag: Terminologin i bestämmelsen om gall-
ring i 12 § anpassas till dataskyddsförordningen.
Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, enligt 12 §.
Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Motsvarande bestämmelse återfinns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskyddsförordningen.
Det kan konstateras att huvudregeln i 12 § registerlagen, dvs. att personuppgifter ska gallras så snart de inte längre behövs, motsvarar första ledet i artikel 5.1 e dataskyddsförordningen. Det är dock utredningens bedömning att bestämmelsen utgör en sådan nationell bestämmelse om lagringstid som är tillåten enligt artikel 6.3 i dataskyddsförordningen när behandlingen grundas på en uppgift
av allmänt intresse. Tidigare bedömningar och avvägningar mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallringsbestämmelsen i registerlagen, får även fortsatt anses gälla. Det är därför utredningens bedömning att bestämmelsen om gallring inte behöver ändras i sak.
Möjligheten för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål är inte en bestämmelse med materiellt innehåll. Eftersom de materiella bestämmelserna i lagen har bedömts vara förenliga med dataskyddsförordningen så kan bemyndigandebestämmelsen lämnas oförändrad.
Formuleringen i artikel 5.1 e dataskyddsförordningen (om personuppgifter som enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) skiljer sig i viss mån från den som återfinns i artikel 6.1 e dataskyddsdirektivet (historiska, statistiska eller vetenskapliga ändamål). Någon skillnad i sak torde omformuleringen dock inte innebära. För tydlighets skull bör dock skrivningen i 12 § registerlagen anpassas till dataskyddsförordningen.
Rättelse
Utredningens förslag: Bestämmelsen om rättelse i 13 § ska upp-
hävas.
I 13 § hänvisas till 28 § personuppgiftslagen och att dessa bestämmelser ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.
Bestämmelser som hänvisar till personuppgiftslagens reglering om rättelse kan inte vara kvar när personuppgiftslagen upphävs. Den registrerades rätt till rättelse behandlas i artikel 16 i dataskyddsförordningen. I den mån det kommer att finnas generella undantag från förordningens bestämmelser kommer dessa att regleras i dataskyddslagen. Någon specifik hänvisningsbestämmelse till dataskyddslagen är inte nödvändig.
Enligt utredningens bedömning är det varken behövligt eller lämpligt att införa en motsvarande specifik bestämmelse med hänvisning till dataskyddsförordningen i fråga om rättelse eftersom förordningens bestämmelser är direkt tillämpliga.
Samtycke och information
Utredningens förslag: Bestämmelsen i 14 § om samtycke och
information anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Hänvisningen till 26 § personuppgiftslagen ska utgå och ersättas med en hänvisning till artikel 15 dataskyddsförordningen.
Av 14 § framgår vilken information som måste ha lämnats till en enskild för att ett uttryckligt samtycke ska kunna ges. Det tydliggörs också att samtycke är en förutsättning för all behandling av personuppgifter enligt 9 § samma lag. Kravet på samtycke till behandling i 14 § gäller, enligt 9 §, såväl personuppgifter som inhämtas från den registrerade som personuppgifter som inhämtas från annan än den registrerade. I uppräkningen av vilken information som ska lämnas till den enskilde finns en hänvisning till 26 § personuppgiftslagen.
I artikel 13 i dataskyddsförordningen anges vilken information som den personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter samlas in från den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som finns i artikel 10 i dataskyddsdirektivet. Den registrerade har således rätt att få mer information än vad som gäller enligt dataskyddsdirektivet.
Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som finns i artikel 11 i dataskyddsdirektivet. Den registrerade har således rätt att få mer information än vad som gäller enligt dataskyddsdirektivet.
Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas saknar helt motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har utökats. Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant har genomförts genom 23–25 §§personuppgiftslagen.
Uppräkningen av vilken information som ska lämnas enligt 14 § registerlagen skiljer sig i viss mån åt från den uppräkning som finns i artiklarna 13 och 14 i dataskyddsförordningen. Viss information som ska lämnas enligt 14 § registerlagen motsvaras av information enligt de direkt tillämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen medan vissa punkter i registerlagen inte har någon motsvarighet i dataskyddsförordningen.
Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt utredningens bedömning behållas med stöd av artikel 6.2 och 6.3 dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Enligt utredningens bedömning innebär detta att punkterna 2, 4, 5, 6 och 10 bör anpassas eller utgå.
Hänvisningen till 26 § personuppgiftslagen måste utgå. Motsvarande bestämmelse återfinns i artikel 15 i dataskyddsförordningen. Detta bör tydliggöras genom en motsvarande hänvisning i 14 § registerlagen.
Information om utlämnande till forskning
Utredningens bedömning: Bestämmelsen i 15 § om informa-
tion till den registrerade om till vilka forskningsprojekt uppgifter om denne har lämnats ut kan och bör behållas.
Den registrerade har enligt 15 § rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
Bestämmelsen är en specificering av den rättighet som återges i artikel 15.1 c dataskyddsförordningen, dvs. att den registrerade bland annat ska ha rätt till information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut. Bakgrunden till bestämmelsen är bedömningen att den registrerade kan behöva få tillgång till information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter.
Bestämmelsen är, enligt utredningens bedömning, en sådan nationell specificering som är tillåten enligt skäl 8 samt artikel 6.2 och 6.3 i dataskyddsförordningen.
Utplåning av uppgifter
Utredningens förslag: Bestämmelsen om den registrerades rätt
till utplåning av uppgifter i 16 § ändras på så sätt att första meningen i paragrafen ersätts med en inledande upplysning om att det i artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. I bestämmelsen ska även begreppet utplåna genomgående ersättas med begreppet radera, i enlighet med terminologin i dataskyddsförordningen.
Av 16 § framgår att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen lämnas vidare vissa ramar för ett sådant utplånande. I sammanhanget kan noteras att utplåning och gallring är två olika förfaranden, där gallring regleras i arkivsammanhang och utplåning eller radering av uppgifter sker av integritetsskyddsskäl.
Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i dataskyddsförordningen såtillvida att den registrerade enligt första meningen i paragrafen har en ovillkorlig rätt att få sina uppgifter utplånade. Den registrerades rätt enligt första meningen i 16 § i registerlagen avviker således från vad som anges i den direkt tillämpliga artikeln 17 i dataskyddsförordningen. Denna del av paragrafen är således enligt vår bedömning inte förenlig med dataskyddsförordningen. Den första meningen bör därför ersättas med en upplysning om att i artikel 17 i dataskyddsförordningen finns det bestäm-
melser om rätt till radering. Resterande del av paragrafen innehåller bestämmelser som närmare reglerar förfarandet när en registrerad begär att uppgifter om honom eller henne i registret ska utplånas. Denna del är enligt vår bedömning en sådan specificering som enligt artikel 6.2 är tillåten i nationell rätt för att anpassa tillämpningen av bestämmelserna i förordningen och kan därför behållas.
I bestämmelsen bör även begreppet utplåna genomgående ersättas med begreppet radera, i enlighet med terminologin i dataskyddsförordningen.
Skadestånd
Utredningens förslag: Bestämmelsen om skadestånd i 17 § ska
upphävas.
I 17 § hänvisas till att bestämmelserna i 48 § personuppgiftslagen om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med denna lag.
Bestämmelser med hänvisningar till personuppgiftslagen kan inte vara kvar när personuppgiftslagen upphävs. Anledningen till att det i registerlagen finns en hänvisning till personuppgiftslagens bestämmelser om skadestånd är att bestämmelserna annars inte skulle vara tillämpliga. Enligt 48 § personuppgiftslagen är skadeståndsskyldigheten kopplad till en behandling av personuppgifter i strid med denna lag, dvs. personuppgiftslagen. För att bestämmelsen ska vara tillämplig även vid behandling i strid med registerlagen krävs att den anges gälla på motsvarande sätt i registerlagen. Till skillnad från vad som gäller enligt personuppgiftslagen är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det behövs därför ingen hänvisning. I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte heller av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd.
Dataskyddsutredningen föreslår att en bestämmelse införs i dataskyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestäm-
melser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
Bestämmelsen i 17 § registerlagen, med hänvisning till 48 § personuppgiftslagen, bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.
Förordning ( 2013:833 ) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Utredningens bedömning: Bestämmelserna i förordningen om
vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas.
I förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa finns bestämmelser som kompletterar registerlagen. I 2 § hänvisas till att det i bilagan till förordningen anges vilka statliga universitet eller högskolor som får behandla personuppgifter enligt registerlagen och vilka register enligt lagen som får föras. I 3 § föreskrivs att i ett register som förs enligt registerlagen får uppgifter avseende genetiska undersökningar registreras om de avser individuella variationer i arvsmassan.
Utredningen har i föregående avsnitt gjort bedömningen att de bestämmelser i registerlagen som föreskriftsrätten hänför sig till är förenliga med dataskyddsförordningen. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom dessa områden. Bestämmelserna kan därmed behållas.
Ikraftträdande- och övergångsbestämmelser
Utredningens förslag: Ändringarna i lagen ska träda i kraft den
25 maj 2018. Inga övergångsbestämmelser ska införas.
Av artikel 99 i dataskyddsförordningen framgår att förordningen ska tillämpas från och med den 25 maj 2018. De föreslagna ändringarna i registerlagen bör börja tillämpas samma dag som dataskyddsförordningen.
Dataskyddsförordningen innehåller inga övergångsbestämmelser som är relevanta för registerlagen. Det är utredningens bedömning att det saknas utrymme att införa övergångsbestämmelser avseende de föreslagna ändringarna. Se kapitel 16.
15.4. Lag (1999:353) om rättspsykiatriskt forskningsregister
15.4.1. Inledning
Lagen (1999:353) om rättspsykiatriskt forskningsregister (registerlagen) trädde i kraft den 1 juli 2000. Registerlagens syfte är att ge Rättsmedicinalverket (RMV) lagligt stöd för att föra ett rättspsykiatriskt forskningsregister för de ändamål som anges i 3 § registerlagen, dvs. forskning inom rättspsykiatrin samt RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin. RMV är personuppgiftsansvarigt för registret. Bakgrunden till registerlagen var ett behov av förbättrade möjligheter till forsknings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV hemställde till regeringen om under tidigt 1990tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betänkandet Rättspsykiatriskt forskningsregister (SOU 1996:72). Regeringen anpassade förslagen i utredningen till den, vid den här tiden, nya personuppgiftslagen, vilken baseras på det nuvarande dataskyddsdirektivet och trädde i kraft den 24 oktober 1998.9 Registerlagen är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet.
Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna den 25 maj 2018 måste all nationell reglering också vara anpassad till dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen har i uppdrag att föreslå. Eftersom det är kort tid tills dess att dataskyddsförordningen ska börja tillämpas är det utredningens uppdrag att i ett första skede analysera vilka anpassningar som behöver göras av registerlagen tills dess att dataskyddsförordningen ska börja tillämpas.
Från RMV har framhållits att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt
9 Se vidare prop. 1998/99:72 s. 12 f.
RMV bland annat att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade personuppgifter som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande omfattning.10 Utredningen har i ett andra skede i uppdrag att undersöka hur registerlagen används i dag samt analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering bör utformas. Utredningen ska lämna behövliga författningsförslag i alla delar.
Eftersom utredningen har i uppdrag att i ett andra skede utreda och föreslå en långsiktig reglering kommer denna första del av uppdraget i denna del att fokusera uteslutande på lagtekniska anpassningar av registerlagen i relation till dataskyddsförordningens bestämmelser. Detta innebär att utredningen i detta skede kommer att utgå ifrån att redan gjorda avvägningar och bedömningar i sak bör godtas, i den mån dessa inte är oförenliga med dataskyddsförordningen. Analysen är således inriktad på den typ av ändringar som är nödvändiga med anledning av dataskyddsförordningen. Syftet med uppdraget i denna del är sammantaget att registerlagen ska kunna tillämpas även efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018 och att de befintliga förutsättningarna för att behandla personuppgifter i enlighet med registerlagen i vart fall inte ska försämras.
15.4.2. Dataskyddsförordningens utrymme för nationell lagstiftning – övergripande överväganden
Utredningens bedömning: Lagen om rättspsykiatriskt forsk-
ningsregister utgör tillåten nationell kompletterande reglering till dataskyddsförordningen.
Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel 6.2 och 6.3, att behålla eller införa mer specifik nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling
10 Se vidare rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter m.m. (Ju2013/08833/Å).
som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning, vilka anges i artikel 6.1 c och e. Som tidigare nämnts är det tillåtet att i sådan nationell reglering ha bestämmelser om bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling m.m.
Som utredningen tidigare aviserat kommer vi att i detta skede utgå ifrån redan tidigare gjorda bedömningar, i den mån dessa inte står i strid med dataskyddsförordningen. De bedömningar som föregick införandet av registerlagen baseras på dataskyddsdirektivet, som införlivats i svensk rätt genom personuppgiftslagen.
I den proposition som ligger till grund för registerlagen uttalade regeringen att behovet av forsknings- och utvecklingsarbete inom rättspsykiatrin är stort. Regeringen konstaterade vidare att det behövs ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är outforskade och kräver grundläggande forskning. Sådan forskning kräver tillgång till stora databaser med insamlade och strukturerade personuppgifter av mycket integritetskänslig karaktär. Forskningsbehoven måste därför vägas mot respekten för den enskildes personliga integritet. Endast sådana uppgifter som är nödvändiga bör få förekomma i registret och behovet av olika uppgifter bör prövas noggrant. De uppgifter som får förekomma i registret bör vidare, enligt regeringens bedömning, endast få användas i ett sammanhang med ett verkligt samhällsintresse.11 Det var regeringens bedömning vid införandet av registerlagen att den behandling av personuppgifter som lagen omfattade var nödvändig för att utföra en uppgift av viktigt allmänt intresse.
Artikel 8.4 i dataskyddsdirektivet ger medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Det är
således regeringens och riksdagens redan gjorda bedömning att ändamålen med registerlagen är ett viktigt allmänt intresse i enlighet med dataskyddsdirektivet.12
Personuppgiftsbehandlingen enligt registerlagen är enligt utredningens bedömning att anse som nödvändig och proportionerlig för att uppfylla ändamålet, dvs. uppgiften som är av allmänt intresse, och därför laglig enligt artikel 6.1 e i dataskyddsförordningen. Detta innebär att utredningens övergripande bedömning är att registerlagen utgör en sådan tillåten specifik nationell reglering för att närmare fastställa hur förordningens bestämmelse ska tillämpas när det gäller utförande av uppgift av allmänt intresse (artikel 6.1 e) enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Den personuppgiftsbehandling som registerlagen omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande kommer utredningen att gå igenom registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.
15.4.3. Överväganden och förslag
Inledande bestämmelse
Utredningens bedömning: Den inledande bestämmelsen i 1 §
om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas.
I 1 § registerlagen anges att Rättsmedicinalverket får för de ändamål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsregister. Vidare anges i andra stycket att Rättsmedicinalverket är personuppgiftsansvarigt för registret.
Den inledande bestämmelsens första stycke anger lagens tillämpningsområde. Det är utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.
Av 1 § framgår vidare att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehålls-
12 A.a. s. 38.
mässigt artikel 2.1 i dataskyddsförordningen, vilken är direkt tillämplig. Av artikeln framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i dataskyddsförordningen definieras register som en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Av skäl 8 i dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel 2.1 i registerlagen. Det är utredningens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt.
I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten.
I 1 § andra stycket registerlagen anges att det är RMV som är personuppgiftsansvarig för registret som lagen reglerar. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i
registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig.
Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det utredningens bedömning att bestämmelsen både kan och bör kvarstå i sin helhet.
Förhållandet till personuppgiftslagen
Utredningens förslag: Hänvisningarna till personuppgiftslagen
ska tas bort.
I 2 § anges att personuppgiftslagen gäller vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret, om inget annat följer av denna lag. Med anledning av att personuppgiftslagen upphävs ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till personuppgiftslagen i 2 § ska tas bort.
Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i personuppgiftslagen. Detta gäller hänvisningen till personuppgiftslagen avseende information som ska lämnas till den registrerade (12 § denna lag), i fråga om rättelse och skadestånd (15 § denna lag) samt hänvisningen till 26 och 28 §§personuppgiftslagen i bestämmelsen om överklagande (16 § denna lag).
Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive den nya nationella dataskyddslagen, se respektive avsnitt nedan.
Förhållandet till dataskyddsförordningen och dataskyddslagen
Utredningens förslag: I registerlagen införs en upplysande be-
stämmelse där det tydliggörs att lagen kompletterar dataskyddsförordningen. I registerlagen införs även en upplysande bestämmelse som anger att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt denna lag om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller dataskyddslagen.
I syfte att förtydliga registerlagens förhållande till dataskyddsförordningen föreslår vi att det i registerlagen införs en upplysande bestämmelse som tydliggör att registerlagen innehåller kompletterande bestämmelser till dataskyddsförordningen. På så vis framgår normhierarkin direkt i lagen, och det blir tydligt att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar således till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar registerlagen och de registrerade.
Samma syfte har en upplysande bestämmelse om registerlagens förhållande till den nationella kompletterande dataskyddslag som Dataskyddsutredningen föreslår. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförordningen kommer det att i dataskyddslagen finnas generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen. Dataskyddslagen är subsidiär och dess bestämmelser kommer därmed att gälla i den mån inte registerlagen, eller annan författning, föreskriver annat. Det krävs således inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Därför föreslås att det också införs en upplysande bestämmelse i registerlagen som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats med stöd av densamma eller dataskyddslagen.
Ändamål
Utredningens bedömning: Ändamålsbestämmelsen i 3 § kan
och bör behållas.
I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forskningsregistret får enligt första punkten endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, eller enligt andra punkten för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete).
Ändamålen med personuppgiftsbehandlingen hör samman med registerlagens syfte, tillämpningsområde och den rättsliga grunden för behandlingen av personuppgifter. Genom ändamålsbestämmelsen fastställs ramarna för att personuppgifterna behandlas i enlighet med de allmänna principer för all personuppgiftsbehandling som framgår av 9 § personuppgiftslagen och artikel 5 i dataskyddsförordningen. Detta innefattar bland annat principerna att personuppgifter ska behandlas på ett korrekt, lagligt och öppet sätt i förhållande till de registrerade (artikel 5.1 a) och att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b).
Avgränsningen av ändamål för vilken personuppgiftsbehandlingen får ske är betydelsefull när det gäller skyddet för den personliga integriteten. Regeringen anförde i samband med förslaget till registerlagen att ändamålen bör preciseras så noga som möjligt av flera skäl. Först och främst för att värna om skyddet för den personliga integriteten. Den internationella utvecklingen uppgavs också gå mot höga krav på precisering av ändamålet, vilket innebär att endast personuppgifter som är direkt relevanta för ändamålet får samlas in eller på annat sätt behandlas.13 Mot bakgrund av detta formulerade regeringen ändamål som skulle uppfylla kraven enligt dataskyddsdirektivet och personuppgiftslagen.
Beträffande ändamålet forskning ansåg regeringen att det i samband med tidigare lagstiftningsarbete fanns viss vägledning för be-
dömningen att forskning i sig kan utgöra ett godtagbart ändamål och att det vid bedömningen av vad som är ett tillräckligt specificerat ändamål måste beaktas att den föreslagna avgränsningen omfattade endast forskning inom rättspsykiatrin. Eftersom registret innehåller mycket känsliga personuppgifter underströk regeringen att det är av största vikt att det används bara för sådan forskning som är seriös. Detta innebär att vissa krav avseende vetenskapligt värde och vetenskaplig metod måste uppfyllas av forskningen för att den ska anses vara förenlig med ändamålet. Den bedömningen ansågs behöva göras av en instans med god kompetens för sådana prövningar. Vid den här tiden prövades i princip alla forskningsprojekt på området av en forskningsetikkommitté. Ett förfarande som utan att vara författningsreglerat vunnit acceptans. Det var därför regeringens förslag att de forskningsprojekt som skulle använda uppgifterna i registret skulle ha godkänts i en sådan forskningsetisk prövning enligt det befintliga systemet.14
När etikprövningssystemet författningsreglerades genom lagen (2003:460) om etikprövning av forskning som avser människor infördes en hänvisning till den lagen i 3 § registerlagen. Kravet på etikgodkännande för all behandling av personuppgifter för forskning med användning av det rättspsykiatriska forskningsregistret avsågs alltså utgöra en skyddsåtgärd och ett lagenligt undantag från förbudet mot behandling av känsliga personuppgifter, enligt 13 och 19 §§personuppgiftslagen. När forskningen och personuppgiftsbehandlingen godkänts vid en etisk prövning är det RMV:s ansvar att göra en prövning av behandlingens förenlighet med ändamålet.
Beträffande ändamålet utvecklingsarbete anförde regeringen i propositionen som ligger till grund för registerlagen att det är av stor vikt att RMV har ett bra underlag för sitt arbete med uppföljning, utvärdering och kvalitetssäkring. Att RMV kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedömningar ansågs vara viktigt både för samhället och för de enskildas rättssäkerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt intresse att det motiverar ett undantag i enlighet med artikel 8.4 i dataskyddsdirektivet från förbudet mot behandling av känsliga personuppgifter. Regeringen gjorde även bedömningen att behandlingen av personuppgifter i enlighet med den föreslagna lagstiftningen i alla delar är
14 A.a. s. 37.
förenlig med artikel 8 i Europakonventionen.15 Regeringens slutsats var således att det rättspsykiatriska forskningsregistret borde få användas för RMV:s utvecklingsarbete inom rättspsykiatrin.16
Det är utredningens bedömning att kraven på tillräckligt preciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kraven i dataskyddsdirektivet. Regeringens och riksdagens redan gjorda bedömningar är därför fortsatt giltiga och förenliga med dataskyddsförordningen. Det är vidare utredningens bedömning att ändamålsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas.
Finalitetsprincipen
Av propositionen till registerlagen framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de föreslagna två ändamålen.17 De uppräknade ändamålen och tillåtna behandlingarna i lagen är således uttömmande. Detta innebär en begränsning av den finalitetsprincip som framgår av 9 § första stycket d samt 9 § andra stycket personuppgiftslagen, vilka baseras på artikel 6.1 b i dataskyddsdirektivet. Finalitetsprincipen anger att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Så länge ett nytt ändamål är förenligt med det ursprungliga kan alltså vidarebehandling vara tillåten. En behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in, enligt 9 § andra stycket personuppgiftslagen. I dessa fall föreligger således som huvudregel ett förenligt ändamål.
I dataskyddsförordningen finns motsvarande formulering i artikel 5.1 b, som anger att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behand-
15 Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, artikel 8 anger rätten till skydd för privat – och familjeliv. 16Prop. 1998/99:72 s. 38 f. 17 A.a. s. 33 f.
las på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenliga med de ursprungliga ändamålen. I artikel 6.4 i dataskyddsförordningen beskrivs vidare vad den personuppgiftsansvarige bör beakta för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är utredningens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med dataskyddsförordningen och därmed inte motiverar någon ändring i den delen heller.
Innehåll
Utredningens bedömning: Bestämmelserna i 4–9 §§ om inne-
håll kan och bör behållas.
I registerlagens 4 § anges att registret endast får innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande enligt lagen (1991:1137) om rättspsykiatrisk undersökning, ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lagstiftning har utfärdats. I andra stycket anges att uppgifterna inte får föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personuppgifter från det brottmålet föras in i registret. I 5–9 §§ anges vilka uppgifter för varje person som får registreras i registret.
Majoriteten av de slags uppgifter som anges i 5–9 §§ registerlagen utgör sådana uppgifter som kategoriseras som känsliga personuppgifter enligt 13 § personuppgiftslagen (artikel 8.1 i dataskyddsdirektivet) eller personuppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen. Motsvarande bestämmelser finns för sär-
skilda kategorier av personuppgifter (känsliga personuppgifter) i artikel 9.1 i dataskyddsförordningen och för personuppgifter om lagöverträdelser m.m. i artikel 10 i dataskyddsförordningen.
Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.
I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga undantag från förbudet i artikel 9.1, till exempel om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forskningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i artikel 9.2 g och 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Av skäl 10 i dataskyddsförordningen framgår att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 i dataskyddsförordningen anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är att allmänintresset motiverar det.
Av artikel 10 i dataskyddsförordningen framgår att behandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts.
Motsvarande förbud mot behandling av känsliga personuppgifter finns i dataskyddsdirektivets artikel 8.1, vilken införlivats i svensk
rätt genom 13 § personuppgiftslagen. Undantag från förbudet är bland annat möjligt av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirektivet).
I enlighet med vad som återgivits avseende regeringens bedömning i samband med fastställande av ändamålet med registerlagen är det regeringens redan gjorda bedömning att behandling av personuppgifter för forskningsändamål ur det rättspsykiatriska forskningsregistret är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt intresse som bör vara tillåten efter etikgodkännande. Det är vidare regeringens redan gjorda bedömning att behandling av personuppgifter ur registret för utvecklingsarbete inom RMV utgör ett sådant viktigt allmänt intresse som möjliggör undantag från förbudet att behandla känsliga personuppgifter enligt dataskyddsdirektivet. Det väl avgränsade ändamålet med behandlingen samt den strikta bedömningen av vilka uppgifter som får registreras för varje person bedömdes av regeringen utgöra ett fullgott skydd för de registrerades personliga integritet. Regeringen och riksdagen fann således vid införandet av registerlagen att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får behandlas.
I 5 § registerlagen anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § personuppgiftslagen anges att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen i 22 § personuppgiftslagen är införd med stöd av artikel 8.7 i dataskyddsdirektivet som anger att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Bestämmelsen i 5 § registerlagen är således införd efter en bedömning utifrån kraven i personuppgiftslagen.
Behandling av nationella identifikationsnummer regleras i artikel 87 i dataskyddsförordningen som anger att medlemsstaterna får närmare bestämma på vilka särskilda villkor sådana identifikationsnummer får behandlas. Sådan behandling får endast ske med iakttagande av lämpliga skyddsåtgärder. Dataskyddsutredningen föreslår att det i den nya dataskyddslagen införs en bestämmelse som säger att uppgifter om personnummer eller samordningsnummer
enbart ska få behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen eller, efter bemyndigande från regeringen, Datainspektionen ska få meddela föreskrifter om behandling av uppgifter om personnummer och samordningsnummer.18
Personnummer och samordningsnummer utgör således inte känsliga personuppgifter, men har ändå getts en särställning i såväl dataskyddsdirektivet och personuppgiftslagen som dataskyddsförordningen. Nationell kompletterande reglering är således tillåten enligt dataskyddsförordningen under förutsättning att kravet i artikel 87 i dataskyddsförordningen, avseende lämpliga skyddsåtgärder, anses uppfyllt. Enligt förslaget till dataskyddslag är det möjligt att behålla bestämmelsen i 5 § registerlagen under förutsättning att kraven i dataskyddslagen, dvs. att det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl, anses uppfyllda.
Eftersom motsvarande möjligheter till undantag från förbudet mot behandling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer finns i dataskyddsförordningen är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare utredningens bedömning att dataskyddsförordningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i registerlagen genom kravet på etikprövning samt regleringarna avseende direktåtkomst, sekretess och restriktionerna vid utlämnande av uppgifter. Myndigheters befintliga möjligheter att behandla uppgifter om lagöverträdelser m.m. påverkas inte av dataskyddsförordningen. Bestämmelserna i 4–9 §§ registerlagen är därmed förenliga med dataskyddsförordningen, enligt utredningens bedömning, och kan och bör därför behållas som tillåten specificerande nationell reglering enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
18SOU 2017:39 avsnitt 12.4.
Uppgiftsskyldighet
Utredningens bedömning: Bestämmelsen om uppgiftsskyldig-
het i 10 § kan och bör behållas.
Av 10 § registerlagen framgår att Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter enligt 6 § p. 7, 8 §, 9 § och 9 a § till det rättspsykiatriska forskningsregistret.
Ett skäl för att författningsreglera tillförande av uppgifter till registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet fungerade i praktiken. En sådan reglering är dock också nödvändig i vissa fall med anledning av sekretessregler.19 Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400) (OSL) får en uppgift för vilken sekretess gäller enligt denna lag inte röjas för enskilda eller för andra myndigheter om inte annat anges i denna lag eller i lag eller förordning som denna lag hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten följer av lag eller förordning. Bestämmelsen i 10 § registerlagen är således en sådan sekretessbrytande författningsreglering som gör det möjligt för de aktuella myndigheterna att lämna även sekretessbelagda uppgifter till registret.
Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt utredningens uppfattning en sådan tillåten specifik nationell bestämmelse som möjliggörs genom artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan därför behållas.
Direktåtkomst
Utredningens bedömning: Bestämmelsen om direktåtkomst i
11 § kan och bör behållas.
Endast RMV får enligt 11 § ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret.
Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, dataskyddsdirektivet eller i per-
sonuppgiftslagen finns det särskilda bestämmelser som direkt rör denna form av behandling. Detta innebär att det, liksom för all behandling av personuppgifter, krävs att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6 i dataskyddsförordningen. Säkerhetsåtgärder enligt artiklarna 24.1 och 32 i dataskyddsförordningen ska vara vidtagna och om utlämnandet avser särskilda kategorier av personuppgifter eller personuppgifter om lagöverträdelser m.m. krävs i tillämpliga fall stöd enligt artiklarna 9 och 10 i dataskyddsförordningen. Motsvarande gäller enligt dataskyddsdirektivet.
Begränsningen i 11 § registerlagen att enbart RMV får ha direktåtkomst till uppgifter i registret kan sägas utgöra en lämplig och särskild skyddsåtgärd enligt dataskyddsförordningen. RMV:s behandling av uppgifter enligt ändamålen i registerlagen är lagligt grundad i artikel 6.1 e, samt artikel 6.2 och 6.3, i dataskyddsförordningen. Behandling genom direktåtkomst kan därmed ske. Bestämmelsen om direktåtkomst kan således, enligt utredningens bedömning, behållas.
Information
Utredningens förslag: Bestämmelsen i 12 § om vilken informa-
tion som ska lämnas till den registrerade anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Hänvisningen till personuppgiftslagen i punkt 6 ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.
Av 12 § registerlagen framgår vilken information om behandlingen som RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret.
Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som finns i artikel 11 i dataskyddsdirektivet. Den registrerade har således rätt att få mer infor-
mation än vad som gäller enligt dataskyddsdirektivet. Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas saknar helt motsvarighet i dataskyddsdirektivet, vilket innebär att den registrerades rättigheter har utökats. Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant har genomförts genom 23–25 §§personuppgiftslagen.
Viss information som ska lämnas enligt 12 § registerlagen motsvaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i registerlagen inte har någon motsvarighet i dataskyddsförordningen.
Bestämmelser i nationell rätt som anger vilken information som självmant ska lämnas till den registrerade får enligt utredningens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen anges vilken information ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Enligt vår bedömning innebär detta att punkterna 1, 2, 3 och 4 bör utgå.
När det gäller 12 § p. 6 registerlagen återfinns motsvarande bestämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskyddsförordningen. Dessa delar bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att bestämmelserna finns i personuppgiftslagen måste slutligen ersättas med en hänvisning till bestämmelserna i dataskyddsförordningen och dataskyddslagen.
Registerlagens 12 § anger också att informationen alltid ska lämnas och enligt uttalanden i propositionen ska kravet på information vara undantagslöst.20 Artikel 14.5 i dataskyddsförordningen innehåller däremot undantag från kravet att lämna information. Genom att artikel 14 i dataskyddsförordningen blir direkt tillämplig då förordningen träder i kraft kommer även bestämmelserna om undantag då information inte behöver lämnas att bli tillämplig när förordningen träder i kraft.
Utlämnande av uppgifter
Utredningens bedömning: Bestämmelsen om utlämnande av
uppgifter i 13 § kan och bör behållas.
Enligt 13 § registerlagen ska RMV till Socialstyrelsen, Kriminalvården och Statens institutionsstyrelse, på medium för automatiserad behandling, lämna de uppgifter som är nödvändiga för att dessa myndigheter ska kunna lämna uppgifter enligt 10 § till det rättspsykiatriska forskningsregistret. Av 13 § andra stycket framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på medium för automatiserad behandling endast om uppgifterna ska användas för det ändamål som anges i 3 § p. 1.
Regeringen anförde i propositionen som föregick införandet av registerlagen att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på medium för automatiserad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikprövning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om användning i enlighet med registrets ändamål. Bestämmelsen i 13 § andra stycket registerlagen innebär därmed att sådant utlämnande ska få ske endast om mottagarens användning av uppgifterna är förenligt med registerlagens ändamål.21
Beträffande utlämnande för forskning i enlighet med registerlagens ändamål ansåg regeringen i stället att det inte fanns något behov av att inskränka möjligheten att lämna ut uppgifter på medium för automatiserad behandling, tvärtom var det regeringens bedömning att en sådan möjlighet borde finnas.
Den begränsning av möjligheterna att lämna ut uppgifter ur registret på medium för automatiserad behandling som finns i 13 § andra stycket registerlagen tar främst sikte på sådant utlämnande som sker efter en begäran om att få ta del av en allmän handling. En sådan begäran ska prövas enligt 2 kapitlet tryckfrihetsförordningen
21 A.a. s. 55.
och OSL. Det finns i dag inget krav på att utlämnande ska ske på medium för automatiserad behandling enligt det regelverket.
Utlämnande av personuppgifter är en behandling enligt såväl dataskyddsförordningen som dataskyddsdirektivet och personuppgiftslagen, så de krav som gäller för all personuppgiftsbehandling måste vara uppfyllda även i den här situationen.
Den del av bestämmelsen som framgår av 13 § första stycket syftar till att fastställa att RMV ska underlätta för de berörda myndigheterna att i sin tur lämna uppgifter till registret enligt 10 § registerlagen, genom att lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behandling. En sådan reglering påverkas inte av dataskyddsförordningen.
Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförordningen. En sådan skyddsåtgärd bör, enligt utredningens bedömning, rymmas inom den tillåtna specificeringen av nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
Det är utredningens sammantagna bedömning att bestämmelsen om utlämnande av uppgifter kan och bör behållas.
Sekretess
Utredningens bedömning: Bestämmelsen om sekretess i 14 §
kan och bör behållas.
I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL. Sekretess är en skyddsåtgärd enligt dataskyddsförordningen och dataskyddsdirektivet. Bestämmelsen i 14 § registerlagen bör enligt utredningens bedömning utgöra en sådan tillåten specificering i nationell rätt som möjliggörs genom artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.
Rättelse och skadestånd
Utredningens förslag: Bestämmelsen i 15 § som hänvisar till
personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas.
I 15 § registerlagen hänvisas till att bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska gälla vid behandling av personuppgifter enligt registerlagen.
Bestämmelserna om rättelse och skadestånd i personuppgiftslagen finns i 28 respektive 48 §§. Båda bestämmelserna gäller endast för behandling i strid med personuppgiftslagen om inte hänvisningar görs i annan lagstiftning. För att bestämmelserna skulle vara tillämpliga även vid behandling i strid med registerlagen krävdes således att de angavs gälla på motsvarande sätt för registerlagen. Det är med anledning av detta som hänvisningen i 15 § registerlagen har införts.
Bestämmelser som hänvisar till personuppgiftslagens regleringar om rättelse och skadestånd kan inte vara kvar när personuppgiftslagen upphävs. Till skillnad från vad som gäller enligt personuppgiftslagen är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det behövs därför ingen hänvisning av den anledningen.
Den registrerades rätt till rättelse behandlas i artikel 16 i dataskyddsförordningen. I den mån det kommer att finnas relevanta undantag från förordningens bestämmelser kommer dessa att regleras i dataskyddslagen och forskningsdatalagen. Någon specifik hänvisningsbestämmelse till dataskyddslagen och forskningsdatalagen är inte nödvändig i det här fallet.
I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte heller av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd.
Dataskyddsutredningen föreslår att en bestämmelse införs i dataskyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
Bestämmelsen i 15 § registerlagen, med hänvisning till personuppgiftslagen, bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.
Överklagande
Utredningens förslag: Bestämmelsen om överklagande i 16 §
ska upphävas.
Enligt 16 § registerlagen får beslut av RMV om information som ska lämnas efter ansökan enligt 26 § personuppgiftslagen och om rättelse enligt 28 § samma lag överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
Av propositionen som föregick införandet av registerlagen framgår att bestämmelsen om skadestånd ursprungligen infördes i registerlagen för att några bestämmelser om överklagande i de angivna situationerna inte fanns i personuppgiftslagen vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt berörde den enskilde skulle kunna överklagas.22 Sedan bestämmelsen i registerlagen infördes har dock en bestämmelse med motsvarande innehåll införts i personuppgiftslagen genom 52 §. Någon motsvarande reglering finns dock inte i dataskyddsdirektivet.
Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel. I artikel 79.2 i dataskyddsförordningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas. Någon närmare beskrivning av innebörden av begreppet effektivt rättsmedel finns inte i dataskyddsförordningen. Hur dessa processuella möjligheter ska komma till uttryck i nationell rätt är en del av Dataskyddsutredningens uppdrag, eftersom frågan är av generell karaktär snarare än sektorsspecifik.
I den dataskyddslag som Dataskyddsutredningen föreslår finns bestämmelser om överklagande som i sak motsvarar 52 och 53 §§personuppgiftslagen. Eftersom dataskyddslagen ska gälla i den mån inte annat föreskrivs i registerlagen är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Det är därför utredningens bedömning att bestämmelsen om överklagande i 16 § registerlagen bör upphävas.
Ikraftträdande- och övergångsbestämmelser
Utredningens förslag: Ändringarna i lagen ska träda i kraft den
25 maj 2018. Inga övergångsbestämmelser ska införas.
Av artikel 99 i dataskyddsförordningen framgår att förordningen ska tillämpas från och med den 25 maj 2018. De föreslagna ändringarna i registerlagen bör börja tillämpas samma dag som dataskyddsförordningen.
Dataskyddsförordningen innehåller inga övergångsbestämmelser som är relevanta för registerlagen. Det är utredningens bedömning att det saknas utrymme att införa övergångsbestämmelser avseende de föreslagna ändringarna. Se kapitel 16.
16. Ikraftträdande- och övergångsbestämmelser
16.1. Inledning
Dataskyddsförordningen (EU 2016/679) ska börja tillämpas från och med den 25 maj 2018. I kraft av EU-förordning blir dataskyddsförordningen direkt tillämplig i medlemsstaterna, vilket innebär att nationella författningar som inte är förenliga med förordningen antingen måste upphävas eller anpassas per detta datum. I detta kapitel kommer vi att analysera de artiklar som rör ikraftträdande- och övergångsbestämmelser i såväl dataskyddsförordningen som den dataskyddslag Dataskyddsutredningen föreslår som kompletterande nationell lagstiftning på generell nivå. Avslutningsvis redovisar vi våra egna överväganden och förslag avseende ikraftträdande- och övergångsbestämmelser för vår föreslagna forskningsdatalag och de anpassningar av andra författningar vi också föreslår med anledning av dataskyddsförordningen.
16.2. Ikraftträdande- och övergångsbestämmelser i dataskyddsförordningen
I dataskyddsförordningen regleras ikraftträdande och tillämpning i förordningens avslutande artikel 99. Av artikel 99.1 följer att dataskyddsförordningen träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. Detta skedde den 4 maj 2016. Av artikel 99.2 följer att dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Avslutningsvis konstateras att dataskyddsförordningen är till alla delar bindande och direkt tillämplig i alla medlemsstater.
I artikel 94 anges att det nuvarande dataskyddsdirektivet (95/46/EG) ska upphöra att gälla med verkan från och med den
25 maj 2018. Hänvisningar till det upphävda direktivet ska anses som hänvisningar till dataskyddsförordningen.
Av skäl 171 i dataskyddsförordningen framgår att behandling som redan pågår den dag när dataskyddsförordningen börjar tillämpas bör bringas i överensstämmelse med förordningen inom en period av två år från det att förordningen träder i kraft. Om behandlingen grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att förordningen börjar tillämpas. En förutsättning för detta är dock att det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av dataskyddsdirektivet ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.
I artiklarna 95 och 96 finns vissa övergångsbestämmelser avseende förhållandet till direktiv 2002/58/EG om integritet och elektronisk kommunikation samt internationella avtal.
16.3. Ikraftträdande- och övergångsbestämmelser i dataskyddslagen
Dataskyddsutredningen föreslår att dataskyddslagen ska träda i kraft den 25 maj 2018, samtidigt som personuppgiftslagen ska upphöra att gälla. Personuppgiftslagen föreslås dock fortsatt gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den.
Dataskyddsutredningen föreslår vidare att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen och föreskrifter som har meddelats med stöd av dessa, ska fortsatt gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter föreslås också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter liksom för överträdelser som har ägt rum vid behandling som har skett före ikraftträdandet. Bestämmelserna om skadestånd i 48 § personuppgiftslagen föreslås gälla för skada som har orsakats före upphävandet.1
1SOU 2017:39 avsnitt 20.3.
16.4. Överväganden och förslag
Utredningens förslag: Forskningsdatalagen ska träda i kraft den
25 maj 2018.
De ändringar som utredningen föreslår med anledning av dataskyddsförordningen i lagen om etikprövning av forskning som avser människor, lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister ska träda i kraft den 25 maj 2018.
Utredningens bedömning: Dataskyddsförordningen ger inte
utrymme för några övergångsbestämmelser.
16.4.1. Ikraftträdande
Enligt artikel 99 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Dataskyddsutredningen föreslår att dataskyddslagen, vilken utgör kompletterande nationell lagstiftning på generell nivå, ska träda i kraft samma dag och att personuppgiftslagen samtidigt ska upphöra att gälla. Eftersom forskningsdatalagen utgör kompletterande nationell lagstiftning till dataskyddsförordningen inom forskningssektorn föreslår vi att även den ska träda i kraft samma dag.
16.4.2. Övergångsbestämmelser
Dataskyddsförordningen trädde i kraft den 24 maj 2016 och ska börja tillämpas i medlemsstaterna den 25 maj 2018. Av förordningen framgår att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen i samband med att denna börjar tillämpas och direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår vidare att nationella anpassningar i medlemsstaterna bör finnas på plats när förordningen börjar tillämpas. Det är utredningens uppfattning att det därmed inte finns utrymme för några övergångsbestämmelser. Från och med den 25 maj 2018 ska således all personuppgiftsbehandling för forskningsändamål tillämpa dataskyddsförordningen och, i de delar denna kom-
pletteras, forskningsdatalagen samt på generell nivå även dataskyddslagen.
Det är vidare utredningens bedömning, mot bakgrund av denna slutsats, att det inte heller finns något utrymme för övergångsbestämmelser avseende de anpassningar som utredningen föreslår med anledning av dataskyddsförordningen i lagen (2003:460) om etikprövning av forskning som avser människor, lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister. De ändringar som utredningen föreslår i respektive författning ska träda i kraft den 25 maj 2018.
17. Konsekvenser
17.1. Inledning
I detta kapitel redovisar vi konsekvenserna av utredningens förslag i enlighet med 14–15 a §§kommittéförordningen (1998:1474) och 6–7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning. Enligt direktiven ska utredningen utöver detta även redovisa förslagens konsekvenser för den personliga integriteten.
Det är i sammanhanget viktigt att tydliggöra att utredningens uppdrag är att analysera vilken reglering som är möjlig och kan behövas för personuppgiftsbehandling för forskningsändamål, utöver vad som redan framgår av dataskyddsförordningen (EU 2016/679) eller den generella kompletterande reglering som Dataskyddsutredningen (Ju 2016:04) föreslår. De konsekvenser som följer av förordningens direkt tillämpliga bestämmelser eller Dataskyddsutredningens förslag analyseras därför inte nedan.
Utöver analysen i förevarande kapitel har utredningens förslag analyserats med avseende på proportionalitetsaspekten i kapitel 13.
17.1.1. Förändringar som följer av våra förslag
Utredningen föreslår i avsnitt 4.2 att en ny forskningsdatalag ska införas som möjliggör behandling av personuppgifter för forskningsändamål på så lika villkor som möjligt för såväl offentliga som privata forskningsaktörer och där de närmare villkoren för behandling av personuppgifter för detta ändamål specificeras. De förslag till bestämmelser i forskningsdatalagen som utredningen sedan lämnar i de olika delarna av betänkandet utgör de nödvändiga kompletterande nationella bestämmelserna för att den samlade regleringen, enligt utredningens bedömning, ska möjliggöra en ändamålsenlig
behandling samtidigt som den skyddar den enskildes fri och rättigheter.
En allmän utgångspunkt för utredningen har varit att bibehålla de rättigheter och skyldigheter i samband med personuppgiftsbehandling för forskningsändamål som finns i dag, inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. I vart fall ska inte möjligheterna till sådan personuppgiftsbehandling, eller den enskildes integritetsskydd, försämras jämfört med dagens situation. De flesta bestämmelser som utredningen föreslår i forskningsdatalagen, och de ändringar vi föreslår i de övriga författningarna, motsvarar därför i stort sett de nuvarande bestämmelserna i personuppgiftslagen och de övriga aktuella författningarna. Vissa förslag till bestämmelser i forskningsdatalagen innebär dock förändringar i relation till nuvarande rättsläge som medför att en konsekvensanalys måste göras, nämligen att det direkt i lagen föreslås två nya lämpliga skyddsåtgärder utöver den hänvisning till etikprövning som görs för känsliga personuppgifter och personuppgifter om lagöverträdelser m.m.
Den ena av dessa skyddsåtgärder, pseudonymisering eller skydd på likvärdigt sätt, föreslås även i förordningens artikel 89.1, men har i forskningsdatalagen fått en något förstärkt ställning. Den andra skyddsåtgärden, rätten att motsätta sig behandling, har införts som konsekvens av den begränsning av möjligheten att använda samtycke som föreligger i vissa situationer enligt skäl 43 i dataskyddsförordningen. Rätten att motsätta sig behandling är enligt utredningens bedömning ett alternativt sätt att säkerställa den registrerades möjlighet till inflytande över personuppgiftsbehandlingen, och är därmed förenligt med förordningens mål att förstärka den registrerades rättigheter som uttrycks bland annat i skäl 11. Utredningen föreslår även att den skyddsåtgärd som framgår av 9 § fjärde stycket personuppgiftslagen, som innebär att uppgifter inte får användas för att vidta åtgärder i fråga om den registrerade såvida det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen, överförs till forskningsdatalagen.
Utöver dessa föreslagna skyddsåtgärder föreslår utredningen vissa begränsningar av de registrerades rättigheter som anges i artikel 16 (rättelse) och artikel 18 (begränsning av behandling). Det är fråga om rättigheter som är mer detaljerat reglerade i dataskyddsförordningen, men som ändå har en viss motsvarighet i det nuvar-
ande dataskyddsdirektivet och personuppgiftslagen. Begränsningarna av rättigheterna saknar däremot motsvarighet i nuvarande reglering. Förslaget medför i denna del vissa konsekvenser för de registrerades personliga integritet i syfte att möjliggöra ändamålsenlig behandling för forskning.
Utredningens förslag till ändringar i lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), lagen (2003:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt lagen (1999:353) om rättspsykiatriskt forskningsregister utgör sådana anpassningar som är nödvändiga för att bestämmelserna ska vara förenliga med dataskyddsförordningen. Någon ändring i sak är i dessa fall inte avsedd.
I det följande kommer utredningen sammanfattningsvis att analysera konsekvenserna av förslaget att genom forskningsdatalagen likställa olika forskningsaktörer med avseende på deras ställning i förhållande till allmänt intresse som rättslig grund för personuppgiftsbehandling, förslaget att i forskningsdatalagen införa två nya lagstadgade skyddsåtgärder, utöver den hänvisning till etikprövning som överförs till den nya lagen, samt förslaget att införa två nya begränsningar av registrerades rättigheter.
17.2. Utredningens förslag
Av 6 § förordningen (2007:1244) om konsekvensutredning vid regelgivning följer att en sådan ska innehålla vissa beskrivningar, uppgifter och bedömningar. Dessa redovisas i nedanstående underavsnitt (med undantag för kostnadsmässiga konsekvenser, vilka behandlas i efterföljande avsnitt).
17.2.1. Problem- och målbeskrivning
I april 2016 beslutade EU en förordning som utgör ny generell reglering för personuppgiftsbehandling inom unionen. Denna dataskyddsförordning ska börja tillämpas som lag i Sverige från och med den 25 maj 2018. I och med det upphävs nuvarande personuppgiftslag med tillhörande personuppgiftsförordning och övriga författningar som reglerar personuppgiftsbehandling inom sektorsvisa områden måste anpassas. Dataskyddsutredningen har i uppdrag att föreslå
anpassningar och kompletterande författningsbestämmelser på generell svensk nivå.
Personuppgiftsbehandling för forskningsändamål kommer i flera fall att behöva kompletterande reglering i nationell lagstiftning för att sådan behandling ska vara tillåten. Problemet som utredningen är satt att lösa är alltså hur forskning i Sverige ska kunna möjliggöras när dataskyddsförordningen börjar tillämpas. Forskningsdatautredningen har därför i uppdrag att föreslå en kompletterande nationell reglering av personuppgiftsbehandling för forskningsändamål, utöver den reglering som Dataskyddsutredningen föreslår. Målet med utredningens arbete är således att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.
För de förslag utredningen lämnar, och som motiverar en konsekvensanalys, innebär det mer konkret att olika forskningsaktörer likställs med avseende på deras ställning i förhållande till allmänt intresse som rättslig grund för personuppgiftsbehandling. Det innebär vidare att forskningsdatalagen kommer att reglera två nya skyddsåtgärder, utöver de krav på etikprövning som överförs från personuppgiftslagen. Detta utgör en vägledning avseende vilka skyddsåtgärder som bör övervägas och kan föreslås av etikprövningsnämnderna samt en vägledning om vilka hänsynstaganden som bör styra de personuppgiftsansvarigas agerande i hanteringen av personuppgifter för forskningsändamål.
17.2.2. Alternativa lösningar
I dag regleras personuppgiftsbehandling för forskningsändamål framför allt i personuppgiftslagen. Särskilda registerförfattningar kompletterar denna lag för specifika områden. Det nuvarande regelverket bygger på dataskyddsdirektivet från år 1995, vilket upphör att gälla i och med dataskyddsförordningen. Den redan beslutade dataskyddsförordningen ska börja tillämpas från och med 25 maj 2018 och är genom sin status som EU-förordning direkt tillämplig i medlemsstaterna. Detta innebär att personuppgiftslagen kommer att upphöra att gälla per detta datum och att alla författningar som kompletterar, eller har företräde framför, personuppgiftslagen måste anpassas till dataskyddsförordningen.
Dataskyddsförordningen lämnar vissa möjligheter till nationella kompletterande och specificerande bestämmelser. Om nationella anpassningar till dataskyddsförordningen inte utförs kommer möjligheterna att behandla personuppgifter generellt att försämras p.g.a. vad som kan beskrivas som luckor i regelverket. Beträffande personuppgiftsbehandling för just forskningsändamål ger dataskyddsförordningen i flera fall utrymme för kompletterande nationell lagstiftning. Om dessa möjligheter inte tas om hand kommer dagens möjligheter att behandla personuppgifter för forskningsändamål att kraftigt försämras. Eftersom utredningens övergripande mål är att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål, samtidigt som den skyddar den enskildes fri- och rättigheter, är det inte ett rimligt alternativ att någon reglering inte kommer till stånd. Utredningens överväganden i de olika delarna visar vilka alternativa lösningar som kan finnas.
17.2.3. Vem berörs av våra förslag?
Forskning bedrivs av såväl offentliga som privata aktörer och inom många samhällssektorer. Dataskyddsförordningen får genomgripande konsekvenser för alla forskningsaktörer som använder sig av personuppgifter. Kompletteringslagstiftningen riktar sig till samma aktörer. Indirekt berörs också de registrerade genom att erbjudas möjligheten att motsätta sig behandling av personuppgifter för forskningsändamål.
17.2.4. Förslagens förenlighet med EU-rätten
Utredningens förslag är föranledda av den förändring i EU-rätten som dataskyddsförordningens ikraftträdande medför. Dataskyddsförordningen är direkt tillämplig, men lämnar visst utrymme för nationell lagstiftning att bl.a. fastställa rättslig grund för personuppgiftsbehandling, reglera skyddsåtgärder, begränsa registrerades rättigheter m.m.
Utredningens förslag syftar till att utgöra en kompletterande nationell reglering för personuppgiftsbehandling för forskningsändamål som är förenlig med dataskyddsförordningen. Vi bedömer därmed att förslaget är förenligt med EU-rätten.
17.2.5. Tidpunkt och information inför ikraftträdande
Dataskyddsförordningen ska börja tillämpas från och med den 25 maj 2018 som direkt tillämplig lag i Sverige, vilket innebär att nationella kompletterande författningar måste träda i kraft samma datum.
Införandet av Dataskyddsförordningen kräver redan i dag omfattade informationsinsatser eftersom reformen berör så många aktörer. Det är utredningens bedömning att förslaget att införa en forskningsdatalag kommer att medföra ett behov av information och utbildning hos dem som är berörda, men att detta bör kunna utföras inom ramen för respektive verksamhet.
17.3. Ekonomiska konsekvenser
I 14 § kommittéförordningen anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner och landsting ska kommittén föreslå en finansiering.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet, enligt 15 a § kommittéförordningen.
17.3.1. Vår bedömning av förslagen
Utredningen bedömer att vare sig införandet av forskningsdatalagens bestämmelse om att forskning av allmänt intresse får utföras av forskningsaktörer oavsett civilrättslig ställning, eller införandet av två nya skyddsåtgärder i den nya lagen, medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen. Förslagen har snarare konsekvensen att behålla kostnaderna på de nivåer som för närvarande gäller, och har inte heller i övrigt några samhällsekonomiska konsekvenser. Förslagen kan därför betraktas som kostnadsneutrala i förhållande till dagens situation. Konsekvensen av att avstå från regleringen kunde ha blivit en kostnads-
ökning, särskilt för företag och enskilda forskningsaktörer som inte längre skulle kunnat utnyttja möjligheten att hänvisa till allmänt intresse som rättslig grund för forskningen utan hade varit hänvisade till samtycke eller intresseavvägning som laglig grund för personuppgiftsbehandlingen i varje enskilt fall.
Vad gäller de föreslagna begränsningarna av de registrerades rättigheter medför de främst att forskningsaktörer i vissa avgränsade situationer inte behöver beakta en del rättigheter som tillkommer de registrerade. Begränsningarna bör därför inte medföra ökade ekonomiska kostnader för de uppräknade parterna.
I denna bedömning har vi särskilt beaktat villkoren för de företag som utför forskning.
17.3.2. Ekonomiska konsekvenser av alternativa lösningar
Det alternativ som kan och har övervägts är att avstå från nationell reglering utöver vad som föreslås av Dataskyddsutredningen. Vi finner att en sådan strategi är svår att bedöma kostnadsmässigt. I allmänhet skulle det innebära att delar av nuvarande forskningsverksamhet, som använder personuppgifter, skulle stå utan den reglering som efterfrågas eller föreskrivs i dataskyddsförordningens artiklar 6 och 9. Forskningen skulle därmed tvingas upphöra.
Konsekvensen av att avstå från att introducera ytterligare skyddsåtgärder i forskningsdatalagen skulle kunna vara att den svenska regleringen av forskning med känsliga personuppgifter skulle komma att stå i strid med dataskyddsförordningens artikel 1.3 som anger att det fria flödet av personuppgifter inte får begränsas eller förbjudas av skäl som rör skyddet av personuppgifter.
17.4. Andra konsekvenser enligt kommittéförordningen
Av 15 § kommittéförordningen framgår att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för
jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Utredningen bedömer att de förslag som lämnas inte får några konsekvenser i dessa avseenden.
17.5. Konsekvenser för den personliga integriteten
Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i betänkandet. Av våra direktiv framgår att utredningen, utöver vad som följer av 14–15 a §§kommittéförordningen, ska redovisa förslagens konsekvenser för den personliga integriteten.
Utredningens bedömning är att de föreslagna ändringarna innebär en förstärkning av den personliga integriteten i och med införandet av nya skyddsåtgärder som ökar integritetsskyddet och en förstärkt ställning för skyddsåtgärden pseudonymisering, som enligt förslaget ska användas om det är möjligt att genomföra forskningen med pseudonymiserade uppgifter.
De föreslagna begränsningarna i de registrerades rättigheter medför, sett isolerat, en viss försämring av skyddet för den personliga integriteten. Begränsningarna har dock utformats så att det vi bedömer vara nödvändiga inskränkningar endast föreslås i fråga om sådant där den ökande möjligheten för reproducerbar forskning av hög kvalitet uppväger intrånget i den enskildes integritet. Det är vår bedömning att begränsningarna är väl motiverade även ur integritetssynvinkel.
17.6. Sammanfattning
Utredningen har i uppdrag att analysera konsekvenserna av våra förslag ur vissa särskilt angivna aspekter. Våra förslag är samtidigt primärt föranledda av andra förändringar, främst personuppgiftslagens upphävande och dataskyddsförordningens ikraftträdande, men även de förslag som Dataskyddsutredningen lämnar. Vi har därför begränsat konsekvensanalysen till sådana konsekvenser som vi i någon reell mening haft möjlighet att påverka, och utifrån målsättningen att bibehålla de möjligheter till forskning samt skydd för den personliga integriteten som följer av dagens reglering. Vi analyse-
rar därför inte de konsekvenser som följer av att dataskyddsförordningen börjar tillämpas.
Utredningen bedömer att förslagen inte medför några kostnadsförändringar för de aktörer som omnämns i kommittéförordningen. Utredningens bedömning är vidare att förslagen överlag innebär en förstärkning av den personliga integriteten.
18. Författningskommentar
18.1. Förslaget till forskningsdatalag
1 § Syftet med denna lag är att möjliggöra personuppgiftsbehandling
för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas.
Paragrafen utgör en s.k. portalparagraf som anger syftet med lagen.
Syftet med lagen har behandlats i avsnitt 4.2.
2 § Denna lag kompletterar Europaparlamentet och rådets förord-
ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
I paragrafen anges att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller som undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål.
Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Bestämmelsen har behandlats i avsnitt 4.3.
3 § Om inte annat följer av denna lag gäller lagen (2018:XX) med
kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från denna lag, ska de bestämmelserna gälla.
Paragrafen anger i första stycket lagens relation till den generella dataskyddslag som Dataskyddsutredningen föreslår i sitt betänkande SOU 2017:39. Dataskyddslagen avser att komplettera dataskyddsförordningen på nationell generell nivå. Forskningsdatalagen har företräde framför dataskyddslagen. Om inte annat följer av denna lag gäller således dataskyddslagen.
Det andra stycket utgör en subsidiaritetsbestämmelse med avgränsningen att lagen är subsidiär gentemot andra lagar och förordningar som reglerar personuppgiftsbehandling för forskningsändamål.
Bestämmelsen har behandlats i avsnitt 4.3.
Lagens tillämpningsområde
4 § Denna lag tillämpas vid behandling av personuppgifter för forsk-
ningsändamål.
Paragrafen anger lagens materiella tillämpningsområde och tydliggör vilken behandling som omfattas av lagen.
Det materiella tillämpningsområdet har behandlats i avsnitt 4.2.
Behandling av personuppgifter för forskningsändamål
Rättslig grund
5 § Av dataskyddsförordningen framgår att personuppgifter får be-
handlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
Paragrafen upplyser om att villkoren för laglig personuppgiftsbehandling finns i artikel 6.1 i dataskyddsförordningen.
Uppräkningen av vad som kan utgöra rättslig grund för behandling av personuppgifter i artikel 6.1 är uttömmande. Behandling av
personuppgifter får inte utföras om inte minst ett av dessa villkor är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för forskningsändamål kan i teorin grundas på vilken som helst av punkterna i artikel 6.1, men framför allt torde punkterna a och e bli tillämpliga. Punkt f är, som framgår av artikel 6.1 andra stycket, inte möjlig att åberopa för myndigheter när de fullgör sina uppgifter. Utöver att behandlingen är rättsligt grundad enligt artikel 6.1 krävs att övriga krav enligt förordningen är uppfyllda.
Forskningsdatalagen är tillämplig på personuppgiftsbehandling för forskningsändamål oavsett rättslig grund för behandlingen enligt artikel 6.1.
Bestämmelsen har behandlats i avsnitt 5.5.3.
6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförord-
ningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.
Paragrafen har införts för att uppfylla dataskyddsförordningens krav på att rättslig grund för behandling som är nödvändig för att utföra en uppgift av allmänt intresse ska fastställas i unionsrätt eller nationell rätt, i enlighet med artikel 6.2 och 6.3.
Bestämmelsen möjliggör tillämpning av artikel 6.1 e som rättslig grund för behandling av personuppgifter för forskningsändamål omfattande samtliga angivna forskningsaktörer, oavsett om de är offentliga eller privata, genom att fastställa dels att personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen får behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse, dels att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.
Termen nödvändig behandling har behandlats i avsnitt 5.2.2 och proportionalitet behandlas i kapitel 13.
Bestämmelsen har behandlats i avsnitt 5.5.2.
Generella skyddsåtgärder
7 § Vid personuppgiftsbehandling för forskningsändamål med stöd
av något av villkoren i artikel 6.1 i dataskyddsförordningen gäller bestämmelserna i 8–10 §§ denna lag.
Paragrafen upplyser om att all personuppgiftsbehandling för forskningsändamål ska omfattas av de generella skyddsåtgärder som framgår av denna lag.
I enlighet med artikel 89.1 i dataskyddsförordningen ska behandling för forskningsändamål omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. De generella skyddsåtgärder som anges i 8–10 §§ denna lag utgör grundläggande krav vid all personuppgiftsbehandling för forskningsändamål. Det är den personuppgiftsansvariges ansvar att uppfylla dataskyddsförordningens krav på lämpliga skyddsåtgärder för varje enskild personuppgiftsbehandling.
Bestämmelsen har behandlats i avsnitt 12.2.
8 § Vid personuppgiftsbehandling för forskningsändamål ska person-
uppgifterna pseudonymiseras eller vara skyddade på likvärdigt sätt, om ändamålet kan uppfyllas på det viset.
Paragrafen anger pseudonymisering, eller skydd på likvärdigt sätt, som en skyddsåtgärd vilken den personuppgiftsansvarige alltid ska tillämpa om det är praktiskt möjligt, i syfte att uppfylla dataskyddsförordningens krav på lämpliga skyddsåtgärder i artikel 89.1.
Bestämmelsen har behandlats i avsnitt 12.4.2.
9 § Personuppgifter får inte behandlas för forskningsändamål om
den enskilde motsätter sig sådan behandling.
Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den enskilde möjligheten att motsätta sig behandlingen, eller om ändamålet annars inte kan uppfyllas får dock personuppgiftsbehandling ändå utföras.
Paragrafen anger en skyddsåtgärd som huvudsakligen fyller samma funktion som artikel 21 i dataskyddsförordningen, rätt att göra invändningar, men utan samma undantagsmöjligheter. Den ger därför ett starkare skydd för den enskildes viljeyttring, när den är tillämplig.
Bestämmelsen har behandlats i avsnitt 12.4.2.
10 § Personuppgifter som behandlas för forskningsändamål får an-
vändas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.
Paragrafen motsvarar den skyddsåtgärd som i dag återfinns i 9 § fjärde stycket personuppgiftslagen (1998:204) vad gäller forskningsändamål. Dataskyddsutredningen har föreslagit motsvarande bestämmelser för arkivändamål och statistiska ändamål i 4 kap. 1–2 §§ dataskyddslagen.1
Bestämmelsen har behandlats i avsnitt 12.4.2.
Känsliga personuppgifter
11 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data-
skyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen ( 2003:460 ) om etikprövning av forskning som avser människor (etikprövningslagen).
Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål.
Paragrafens första stycke utgör nödvändig nationell reglering enligt artikel 9.2 j i dataskyddsförordningen för att behandling av känsliga personuppgifter ska vara tillåten för forskningsändamål. Huvudregeln i artikel 9.1 i dataskyddsförordningen är annars att behandling av sådana särskilda kategorier av personuppgifter som anges i artikeln (känsliga personuppgifter) ska vara förbjuden. Etikprövning enligt etikprövningslagen är den skyddsåtgärd som enligt ut-
1SOU 2017:39 avsnitt 22.1.
redningens bedömning uppfyller kraven på lämplig och särskild skyddsåtgärd enligt artikel 9.2 j i dataskyddsförordningen. Bestämmelsen har behandlats i avsnitt 7.4.1. Etikprövning som skyddsåtgärd har behandlats i avsnitt 14.3.
Andra stycket upplyser om att det finns andra krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål i etikprövningslagen. Genom utredningens förslag till ändring av 3 § etikprövningslagen framgår att etikprövningslagen ska tillämpas på all forskning som innefattar behandling av sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter). Detta innebär att all behandling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund, ska etikprövas enligt etikprövningslagen. Etikprövningslagens tillämpningsområde har behandlats i avsnitt 14.4.
Personuppgifter om lagöverträdelser m.m.
12 § Personuppgifter som rör fällande domar i brottmål, lagöverträ-
delser som innefattar brott eller straffprocessuella tvångsmedel får med stöd av artikel 10 i dataskyddsförordningen behandlas för forskningsändamål av andra än myndigheter om behandlingen är nödvändig för forskningsändamål och har godkänts enligt lagen ( 2003:460 ) om etikprövning av forskning som avser människor (etikprövningslagen).
Av etikprövningslagen framgår övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål.
Paragrafens första stycke utgör nödvändig nationell reglering enligt artikel 10 i dataskyddsförordningen för att andra än myndigheter ska få behandla personuppgifter om lagöverträdelser m.m. för forskningsändamål. Etikprövning är den skyddsåtgärd som enligt utredningens bedömning uppfyller kravet på lämplig skyddsåtgärd enligt artikel 10 i dataskyddsförordningen. Bestämmelsen har behandlats i avsnitt 8.4. Etikprövning som skyddsåtgärd har behandlats i avsnitt 14.3.
Andra stycket upplyser om att det finns flera krav på etikprövning av personuppgiftsbehandling avseende lagöverträdelser m.m. för forskningsändamål i etikprövningslagen. Genom utredningens
förslag till ändring av 3 § etikprövningslagen framgår att etikprövningslagen ska tillämpas på sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta innebär att etikprövningslagens tillämpningsområde omfattar även sådana personuppgifter om lagöverträdelser som enligt nuvarande lagstiftning ska etikprövas enligt etikprövningslagen, men som inte omfattas av artikel 10 i dataskyddsförordningen. Enligt 3 § etikprövningslagen ska också myndigheters behandling av personuppgifter om lagöverträdelser m.m. för forskningsändamål omfattas av etikprövningslagens tillämpningsområde. Etikprövningslagens tillämpningsområde har behandlats i avsnitt 14.4.
Undantag från registrerades rättigheter
13 § Den registrerades rätt till rättelse enligt artikel 16 i dataskydds-
förordningen gäller inte för sådana personuppgifter som behandlats för forskningsändamål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.
Paragrafen utgör en begränsning, med stöd av artikel 89.2 i dataskyddsförordningen, av den registrerades rätt till rättelse enligt artikel 16 i dataskyddsförordningen.
Utredningen har identifierat ett behov av en begränsning av rätten till rättelse vad gäller sådana personuppgifter som bevaras under längre perioder än vad som är nödvändigt för de primära forskningsändamål för vilka personuppgifterna behandlats, när detta bevarande sker i syfte att dokumentera den utförda forskningen, för att exempelvis verifiering av forskningsresultat ska vara möjlig.
Denna begränsning ska enbart vara tillämplig när forskningen i någon mening är utförd så att den nått den nivå av färdigställande att det skulle strida mot god forskningssed att ändra forskningsmaterialet. Det kan exempelvis vara fråga om resultat som lämnats för publicering i en vetenskaplig tidskrift. Bevarandet får då anses ske för forskningsändamål, oavsett om personuppgifterna anses vara arkiverade eller ej.
Bestämmelsen har behandlats i avsnitt 10.3.2.
14 § Den registrerades rätt till begränsning av behandling enligt
artikel 18.1 a och d i dataskyddsförordningen gäller inte när uppgifter behandlas för forskningsändamål om utövandet av rätten medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.
Paragrafen utgör en begränsning, med stöd av artikel 89.2 i dataskyddsförordningen, av den registrerades rätt till begränsning av behandling enligt artikel 18.1 a och d.
Rättigheten att begränsa behandling av personuppgifter under tiden den personuppgiftsansvarige kontrollerar om det i det konkreta fallet föreligger en rätt till rättelse eller till invändning (artikel 18.1 a) medför i praktiken att uppgifterna är undantagna från vidare behandling under denna utredningsperiod. Samma sak gäller under väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d).
Effekten av att enskilda personers uppgifter är undantagna från behandling i forskningen under en period kan medföra skevhet (bias) i materialet som forskningen utförs med användning av under samma period, eller, om forskningen inriktas på att undersöka material som kan hänföras till en eller ett fåtal enskilda personer, att forskningen omöjliggörs. Beroende på vilket stadium som forskningen befinner sig i kan detta i undantagsfall göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, särskilt om det tar lång tid att utreda personuppgifternas korrekthet.
Bestämmelsen innebär ett begränsat undantag från denna rättighet, som dock endast är tillämplig om en sådan blockering skulle medföra att ett pågående forskningsprojekt inte kan utföras eller på ett avgörande sätt försenas eller försvåras. Det är den personuppgiftsansvarige som har att visa att sådana förutsättningar föreligger.
Bestämmelsen har behandlats i avsnitt 10.3.3.
Utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut för att behandlas för forsknings-
ändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 § lagen ( 2003:460 ) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.
Paragrafen motsvarar i huvudsak nuvarande 12 § etikprövningslagen. Bakgrunden till bestämmelsen och motiveringen till att flytta den till forskningsdatalagen, samt införa ett förtydligande avseende 6 § etikprövningslagen, har behandlats i avsnitt 14.6.2.
18.2. Förslaget till lag om ändring av lagen (2003:460) om etikprövning av forskning som avser människor
I denna lag avses med
2 §
forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,
forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,
forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Paragrafen anger vad som i denna lag ska avses med behandling av personuppgifter. Hänvisningen till personuppgiftslagens definition av behandling av personuppgifter ersätts med en hänvisning till definitionen i artikel 4.2 i dataskyddsförordningen.
Bestämmelsen har behandlats i avsnitt 14.6.2.
Denna lag ska tillämpas på forskning som innefattar behandling av
3 §
1. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), eller
2. sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Paragrafen anger tillämpningsområdet för lagen avseende personuppgiftsbehandling för forskningsändamål.
Punkten 1, som i dag hänvisar till känsliga personuppgifter enligt 13 § personuppgiftslagen, ändras till en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter). Detta innebär att all behandling för forskningsändamål av sådana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskyddsförordningen.
Punkten 2, som i dag hänvisar till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen, ändras genom att det specifika lagrummet i personuppgiftslagen tas bort. Detta innebär att kravet på etikprövning enligt denna lag omfattar all personuppgiftsbehandling för forskningsändamål av de angivna kategorierna av personuppgifter. Tilllämpningsområdet är således i detta fall mer omfattande än vad som framgår av de angivna kategorierna av personuppgifter om lagöverträdelser m.m. i artikel 10 i dataskyddsförordningen och omfattar även personuppgiftsbehandling som utförs av myndigheter.
Bestämmelsen har behandlats i avsnitt 14.4.5.
18.3. Förslaget till lag om ändring av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa
2 §
Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med en enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.
Paragrafen anger lagens tillämpningsområde.
Andra stycket i paragrafen, som innehållsmässigt motsvarar artikel 2.1 i dataskyddsförordningen, har strukits för att undvika dubbelreglering.
Bestämmelsen har behandlats i avsnitt 15.3.3.
Förhållandet till annan dataskyddsreglering
3 §
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
I paragrafen anges att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behandling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av den föreslagna dataskyddslagen kompletterande bestämmelser för behandling av personuppgifter i vissa register för forskning om vad arv och miljö betyder för människors hälsa.
Rubriken före denna paragraf ändras även så att hänvisningen till personuppgiftslagen byts ut mot den bredare beteckningen ”annan dataskyddsreglering”.
Bestämmelsen har behandlats i avsnitt 15.3.3.
3 a §
Lagen (2018:XX) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Paragrafen, som är ny, anger lagens förhållande till dataskyddslagen. Dataskyddslagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan. Bestämmelsen innebär att om denna lag innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.
Bestämmelsen har behandlats i avsnitt 15.3.3.
12 §
Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Paragrafen innehåller bestämmelser om gallring. Terminologin har anpassats till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” bytts ut mot ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Bestämmelsen har behandlats i avsnitt 15.3.3.
14 §
Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen ska en person innan han eller hon lämnar sitt samtycke enligt första stycket ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
4. rätten till information enligt 15 § denna lag och artikel 15 i dataskyddsförordningen,
5. vilken myndighet som har tillsyn över att denna lag följs, och
6. rätten till skadestånd.
Bestämmelsen om samtycke och information har anpassats så att de punkter som har sin motsvarighet i dataskyddsförordningen tagits bort och det i bestämmelsen enbart anges vilken information vad som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Hänvisningen till 26 § personuppgiftslagen har ersatts med en hänvisning till artikel 15 i dataskyddsförordningen.
Bestämmelsen har behandlats i avsnitt 15.3.3.
Radering av uppgifter
16 §
I artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. En begäran om radering ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar radering av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes radera uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärd radering även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem raderade.
Bestämmelsen om utplåning av uppgifter har anpassats till dataskyddsförordningen på så sätt att första meningen i paragrafen ersatts med en inledande upplysning om att det i artikel 17 i dataskyddsförordningen finns bestämmelser om rätt till radering. En språklig anpassning har också skett genom att begreppet utplåna genomgående ersatts med begreppet radera. I övrigt har bestämmelsen innehållsmässigt behållits. Rubriken före denna paragraf ändras även så att begreppet utplåning ersätts med radering.
Bestämmelsen har behandlats i avsnitt 15.3.3.
18.4. Förslaget till lag om ändring av lagen (1999:353) om rättspsykiatriskt forskningsregister
Förhållandet till annan dataskyddsreglering
2 §
Vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
I paragrafen anges att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid behand-
ling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av den föreslagna dataskyddslagen kompletterande bestämmelser för behandling av personuppgifter för det rättspsykiatriska forskningsregistret.
Bestämmelsen har behandlats i avsnitt 15.4.3.
2 a §
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter för det rättspsykiatriska forskningsregistret, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Paragrafen, som är ny, anger lagens förhållande till dataskyddslagen. Dataskyddslagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan. Bestämmelsen innebär att om denna lag innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskyddslagen.
Bestämmelsen har behandlats i avsnitt 15.4.3
12 §
När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna den registrerade information om behandlingen.
Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informationen innehålla upplysningar om
1. de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,
2. bestämmelserna i dataskyddsförordningen och dataskyddslagen om den registrerades rätt till skadestånd, samt
3. de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.
Bestämmelsen som reglerar vilken information som ska lämnas till den registrerade har anpassats till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen har tagits bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen, som blir direkt tillämplig när dataskyddsförordningen träder i kraft. Hänvisningen till personuppgiftslagen har ersatts med en hänvisning till dataskyddsförordningen och dataskyddslagen.
Bestämmelsen har behandlats i avsnitt 15.4.3.
Kommittédirektiv 2016:65
Personuppgiftsbehandling för forskningsändamål
Beslut vid regeringssammanträde den 7 juli 2016
Sammanfattning
Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå anpassningar och kompletterande författningsbestämmelser på generell svensk nivå. En särskild utredare får nu i uppdrag att föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter.
Utredaren ska bl.a.
- analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå,
- analysera vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras,
- i ett första skede analysera vilka anpassningar som behöver göras av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen (1999:353) om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas och i ett andra skede föreslå långsiktiga regleringar av forskningsdatabaser, och
- lämna de författningsförslag som behövs.
Uppdragen i de två första punkterna och uppdraget att analysera vilka anpassningar som behöver göras av de i tredje punkten nämnda lagarna inför att dataskyddsförordningen ska börja tillämpas och förslag till behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.
Nuvarande regleringar av betydelse för behandling av personuppgifter för forskningsändamål
EU:s dataskyddsdirektiv och personuppgiftslagen
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
PUL följer i princip dataskyddsdirektivets struktur och innehåller i likhet med direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Ett av de grundläggande kraven för behandling av personuppgifter är enligt 10 § d PUL att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En viktig princip som framgår av andra stycket i denna paragraf är emellertid att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in.
PUL är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska
tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning.
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
Enligt regeringsformen (RF) är var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.
Etikprövningslagen och dess förhållande till personuppgiftslagen
För forskning som utförs i Sverige och som avser människor krävs normalt etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor och om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 §). Etikprövningslagen ska tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL (3 §). Lagen ska därutöver tillämpas bl.a. på forskning som avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa och forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 §). Den forskning som lagen omfattar får utföras bara om den har godkänts vid en etikprövning. Forskning får godkännas bara om de risker som den kan medföra för försökspersonernas hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 §). Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.
I samband med att etikprövningslagen trädde i kraft 1 januari 2004 anpassades regleringen av behandling av känsliga personuppgifter för forskningsändamål i PUL till regleringen i etikprövningslagen. Enligt 19 § PUL får känsliga personuppgifter, t.ex. uppgifter som rör hälsa, behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. Detsamma gäller enligt 21 § uppgifter om lagöverträdelser och liknande uppgifter. En behandling av personuppgifter som inte omfattas av nämnda bestämmelser kräver således inte något godkännande enligt etikprövningslagen, men bestämmelserna i PUL gäller för behandlingen.
EU:s dataskyddsförordning
Europaparlamentet och rådet har under våren 2016 antagit en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen, nedan kallad dataskyddsförordningen, ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Den både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.
Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Genom förordningen upphävs det nu gällande dataskyddsdirektivet med verkan från den 25 maj 2018, vilket innebär bl.a. att PUL måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens (Justitiedepartementets) uppdrag att bl.a. föreslå de anpassningar och kompletterande författningsbestämmelser på generell svensk nivå som
dataskyddsförordningen ger anledning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utredningens uppdrag att analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen samt analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.
Uppdraget att undersöka vilken nationell kompletterande reglering av behandling av personuppgifter för forskningsändamål som kan behövas
Vissa bestämmelser i dataskyddsförordningen berör särskilt förutsättningarna för att behandla personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål. Artikel 5 med principer för behandling av personuppgifter, artikel 6 om när behandling av personuppgifter är laglig, artikel 9 med reglering av behandling av särskilda kategorier av personuppgifter, artikel 12–20 om den registrerades rättigheter och artikel 89 med särskilda bestämmelser för behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål är särskilt viktiga.
Med behandling av personuppgifter för forskningsändamål avses nedan behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål, vilka är de begrepp som används i dataskyddsförordningen.
Vilken särskild rättslig reglering behövs för personuppgiftsbehandling för forskningsändamål?
När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter för forskningsändamål huvudsakligen att vara antingen att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål enligt artikel 6.1(a) eller att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1(e).
När det gäller samtycke kan det behöva analyseras vilka slutsatser som bör dras av det som anges i beaktandesats 43 i dataskyddsförordningen. Där anges att för att säkerställa att ett samtycke lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Artikel 6.2 ger medlemsländerna rätt att i nationell rätt behålla eller införa specifika bestämmelser för att anpassa tillämpningen av bestämmelserna för att efterleva bl.a. artikel 6.1(e), dvs. den bestämmelse som anger att personuppgifter får behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Medlemsländerna får närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, bl.a. för behandling av personuppgifter för forskningsändamål.
Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i bl.a. artikel 6.1 (e) fastställas i unionsrätten eller en medlemsstats nationella rätt. Denna rättsliga grund kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling av uppgifter, vilken typ av uppgifter som ska behandlas, berörda registrerade, till vilka uppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i
andra särskilda situationer vid behandling enligt kapitel IX (bl.a. forskningsändamål). Den nationella lagstiftningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
I dag sker behandling av personuppgifter för forskningsändamål med stöd av bestämmelser i PUL. När personuppgifter behandlas för forskningsändamål sker det normalt med stöd av samtycke av den registrerade eller, när det sker utan samtycke, med stöd av att forskningen anses vara en arbetsuppgift av allmänt intresse och att behandlingen är nödvändig för att denna arbetsuppgift ska kunna utföras enligt 10 § d i PUL. Denna paragraf i PUL motsvaras av artikel 6.1(e) i dataskyddsförordningen. Artikel 6.3 anger att grunden för behandling av personuppgifter enligt bl.a. 6.1(e) ska fastställs i unionsrätten eller en medlemsstats nationella rätt. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och lämna behövliga och lämpliga författningsförslag. När det gäller behandling av personuppgifter för forskningsändamål behövs det en analys av vilken reglering på nationell nivå som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå för att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som den registrerades fri- och rättigheter skyddas.
Utredaren ska därför
- undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, och
- lämna de författningsförslag som behövs.
Vilket behov av skyddsåtgärder finns vid personbehandling för forskningsändamål?
I och med att dataskyddsförordningen träder i kraft kommer ett krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter att gälla enligt artikel 89.1. Skyddsåtgär-
derna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, dvs. behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ändamålen med behandlingen kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Det krävs därför en analys av vilka skyddsåtgärder som bör gälla vid behandling av personuppgifter för forskningsändamål och hur åtgärderna bör vara utformade för att ge ändamålsenliga möjligheter att använda personuppgifter för forskning. Tänkbara skyddsåtgärder kan exempelvis vara etikprövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.
Det finns anledning att i detta sammanhang överväga om etikprövning av forskning liksom i dag enbart ska tillämpas på forskning som innefattar behandling av sådana personuppgifter som omfattas av ett särskilt skydd i 19 och 21 §§ PUL eller om ordningen med etikprövning bör utvidgas till att gälla all behandling av personuppgifter för forskningsändamål. Om etikprövning även fortsättningsvis ska göras enbart när forskningen innefattar sådana personuppgifter som omfattas av ett särskilda skyddsregler i förhållande till andra personuppgifter i dataskyddsregleringen, behöver det övervägas om andra lämpliga skyddsåtgärder ska tillämpas när det är fråga om behandling av andra personuppgifter för forskningsändamål. Utredarens ställningstagande i dessa frågor kan medföra behov av ändringar i etikprövningslagen. Ett alternativ är att reglera frågorna i en annan författning som kompletterar bestämmelserna i dataskyddsförordningen och den nationella reglering på nationell nivå som Dataskyddsutredningen ska föreslå.
Det behöver också analyseras vilka andra ändringar som behöver göras i etikprövningslagen med anledning av dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.
Utredaren ska därför
- lämna förslag på sådana lämpliga skyddsåtgärder för den registrerades fri- och rättigheter som behandling av personuppgifter för forskningsändamål ska omfattas av,
- överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål och vilka skyddsåtgärder som annars bör gälla vid behandling för forskningsändamål av sådana personuppgifter som inte omfattas av etikprövningslagen,
- se över vilka anpassningar av etikprövningslagen i övrigt som behövs med anledning av dataskyddsförordningen och den generella reglering Dataskyddsutredningen ska föreslå, och
- lämna behövliga författningsförslag.
Närmare om känsliga personuppgifter och uppgifter om lagöverträdelser
Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används begreppet känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Förbudet är förenat med en rad viktiga undantag som fastställs i artikel 9.2–9.5. Enligt artikel 9.2 (j) i dataskyddsförordningen gäller inte förbudet mot behandling av dessa särskilda kategorier av personuppgifter om behandlingen är nödvändig för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 på grundval av unionslagstiftning eller en medlemsstats lagstiftning. Denna lagstiftning ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda
åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Som nämnts tidigare finns det i PUL vissa undantagsbestämmelser från förbudet mot att behandla känsliga personuppgifter. Enligt 13 § PUL får känsliga personuppgifter behandlas om den registrerade har lämnat sitt samtycke och enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. I direktiven för Dataskyddsutredningen konstateras att den möjlighet som finns enligt dataskyddsförordningen att göra undantag för förbudet i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser i den generella regleringen om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i PUL. Dataskyddsutredningen ska därför överväga vilka undantag från förbudet som bör finnas i den generella regleringen.
Även behandling av personuppgifter om lagöverträdelser och liknande uppgifter, som idag regleras i 21 § PUL, kommer enligt art. 10 i dataskyddsförordningen att vara föremål för särskilda begränsningar. Enligt den artikeln får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Dataskyddsutredningen har i uppdrag att anlysera i vilken utsträckning det bör införas regler i den kompletterande generella regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet.
Det behöver analyseras om det utöver dataskyddsförordningen och de bestämmelser Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla. Tänkbara sådana skyddsåtgärder kan exempelvis vara etik-
prövning eller organisatoriska eller tekniska åtgärder såsom pseudonymisering eller användning av kodnycklar.
Utredaren ska därför
- analysera om det, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå och de förslag som utredaren i övrigt kan komma att lämna, finns ett behov av bestämmelser som reglerar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och liknande uppgifter för forskningsändamål och vilka bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen en sådan reglering bör innehålla, och
- lämna de författningsförslag som behövs.
Bör det göras undantag från huvudreglerna om den registrerades rättigheter för personuppgiftsbehandling för forskningsändamål?
Om personuppgifter behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i dataskyddsförordningen i unionslagstiftningen eller medlemsstaternas lagstiftning föreskrivas om undantag från den registrerades rättigheter i artiklarna 15, 16, 18 och 21 med förbehåll för att sådana lämpliga skyddsåtgärder tillämpas som behandling av personuppgifter för dessa ändamål ska omfattas av enligt första punkten i artikeln. De nämnda artiklarna handlar om den registrerades rätt till tillgång till uppgift om personuppgifter som rör honom eller henne och som behandlas, rätt till rättelse av personuppgifter, rätt till begränsning av behandling av personuppgifter och rätt att göra invändning mot behandling av personuppgifter. Undantag får bara göras i den utsträckning det är sannolikt att de aktuella rättigheterna skulle göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.
I direktiven till Dataskyddsutredningen konstateras att behovet av undantag med stöd av artikel 89.2 (vilken i ett utkast till dataskyddsförordningen och i direktiven till Dataskyddsutredningen numrerades 83.2) i stor utsträckning aktualiseras i sektorsspecifik lagstiftning. Samtidigt framhålls att en ändamålsenlig behandling av personuppgifter för bl.a. vetenskapliga och historiska forsknings-
ändamål behöver garanteras, samtidigt som skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten bör enligt direktiven vara att vissa grundläggande bestämmelser, liknande de som finns i personuppgiftslagen, behöver tas in i den generella regleringen som ska komplettera dataskyddsförordningen. Dataskyddsutredningen ska därför analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för bl.a. vetenskapliga eller historiska forskningsändamål som bör finnas i den generella regleringen och lämna lämpliga författningsförslag.
Det är av stor vikt att bestämmelserna som reglerar behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål ger goda förutsättningar för behandling av personuppgifter för dessa ändamål, samtidigt som behovet av skydd för den registrerades fri- och rättigheter beaktas för att upprätthålla förtroendet för integritetsskyddet i samband med forskning bland dem som ställer upp och deltar i forskningsprojekt. Det behöver mot denna bakgrund analyseras om det utöver den generella reglering på nationell nivå som Dataskyddsutredningen ska föreslå finns ett behov av undantag från de bestämmelser i dataskyddsförordningen som reglerar den registrerades rättigheter vid behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål och hur sådana undantag i så fall bör utformas.
Utredaren ska därför
- analysera om det utöver den generella reglering som Dataskyddsutredningen ska föreslå finns ett behov av undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för vetenskapliga och historiska forskningsändamål och lämna förslag till hur sådana undantag i så fall bör utformas, och
- lämna de författningsförslag som behövs.
Uppdraget att föreslå regleringar för forskningsdatabaser
Det behövs bättre förutsättningar för registerbaserad forskning
En särskild utredare fick i januari 2013 i uppdrag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert
sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Vid utformningen av förslagen skulle utredaren göra en avvägning mellan forskningens behov av tillgång till uppgifter och den enskildes rätt till personlig integritet. Utredningen tog sig namnet Registerforskningsutredningen (U 2013:01).
I betänkandet Unik kunskap genom registerforskning (SOU 2014:45) konstaterar utredaren att regering och riksdag i några fall har stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Bland dessa kan nämnas lagen (1999:353) om rättspsykiatriskt forskningsregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Dessutom finns det inom vissa myndigheter, t.ex. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och Statistiska Centralbyrån, några databaser som helt eller delvis används för forskning. Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige.
I betänkandet lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen ska ge stöd för statliga universitet eller högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forskningsdatabaser. Med forskningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser och för varje databas ska det finnas en särskild förordning som reglerar t.ex. ändamål och innehåll. Utredningens betänkande har remitterats.
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagens giltighet tidsbegränsades i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen. Efter förlängning gäller lagen till och med den 31 december
2017. I och med att ny lagreglering med anledning av förevarande utredningsarbete inte kommer att kunna vara på plats till nämnda datum har regeringen för avsikt att lämna förslag om ytterligare förlängning av lagens giltighetstid. En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av om förslaget till lag om forskningsdatabaser är förenligt med dataskyddsförordningen och vilka anpassningar av förslaget som kan krävas till förordningen och den generella reglering som Dataskyddsutredningen ska föreslå. När det gäller registerforskning är beaktandesats 33 i dataskyddsförordningen av intresse. I denna beaktandesats, som infördes med svenskt stöd, konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Den registrerade bör därför kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas, behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till dess att dataskyddsförordningen ska börja tillämpas. Utredaren ska därför
- föreslå behövliga anpassningar i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen ska börja tillämpas, och
- föreslå långsiktiga regleringar av forskningsdatabaser.
Lagen om rättspsykiatriskt forskningsregister
Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en särskild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en uppräkning av vilka uppgifter om personerna som får registreras.
Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna uppgifter till registret. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap. 2 §). I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/08833/Å) redovisar RMV en översyn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifrågasatts om lagen bör vara kvar i sin nuvarande utformning.
I den proposition som ligger till grund för lagen om rättspsykiatriskt forskningsregister uttalade regeringen att behovet av forsknings- och utvecklingsarbete inom rättspsykiatrin är stort. Regeringen konstaterade att det behövs ökade kunskaper om bl.a. effekterna av vård och behandling av psykiskt störda lagöverträdare. Många problemställningar är outforskade och kräver grundläggande forskning (prop. 1998/99:72 s. 26 f.).
För att genomföra sådan angelägen forskning på området krävs tillgång till databaser med systematiserade personuppgifter om många individer. Samtidigt innehåller rättspsykiatriskt forsknings-
register uppgifter av mycket integritetskänslig natur och forskningsbehoven måste hela tiden vägas mot respekten för den enskildes personliga integritet. En utgångspunkt måste vara att endast de uppgifter som är nödvändiga bör få förekomma i ett sådant register och att de endast bör få användas i ett sammanhang som har ett verkligt samhällsintresse.
Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna måste en sådan reglering som det bedöms finnas behov av också vara anpassad till dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå. Då det är kort tid till dess att dataskyddsförordningen ska börja tillämpas och någon generell reglering av forskningsdatabaser inte kommer att kunna vara på plats då dataskyddsförordningen börjar tillämpas behöver det i ett första skede analyseras vilka anpassningar till dataskyddsförordningen och den generella reglering Dataskyddsutredningen kommer att föreslå, som behöver göras av lagen om rättspsykiatriskt forskningsregister till dess att dataskyddsförordningen ska börja tillämpas.
Utredaren ska därför
- undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,
- föreslå behövliga anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas,
- analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och
- lämna behövliga författningsförslag.
En lag om Nationella biobanksregistret
Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) trädde i kraft 2003. Lagen tillkom för att, med respekt för den enskilda människans integritet, reglera hanteringen av humanbiologiskt material som tagits från framför allt patienter inom hälso- och sjukvården. Socialstyrelsen har påpekat att biobankslagen är svår att tillämpa och att lagen har lett till ökad administration i den
kliniska hälso- och sjukvården. Regeringen har beslutat att biobankslagen ska bli föremål för en genomgripande översyn. Utredningen En ändamålsenlig reglering för biobanker (S 2016:04) har bl.a. i uppdrag att se över biobankslagen och andra angränsande författningar som har betydelse på området. Syftet med utredningen är att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov.
Enligt biobankslagen är en biobank biologiskt material (s.k. vävnadsprover) från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör. De personuppgifter som är kopplade till vävnadsproverna i en biobank ingår inte i begreppet biobank och omfattas som huvudregel inte av lagen. Regleringen i denna del finns främst i PUL och i patientdatalagen (2008:355).
Svenska biobanksregistret är landstingens gemensamma register över sparade vävnadsprover tagna inom vården. Registret som sedan 2009 förvaltas av ett landstingsägt bolag är fortfarande i en uppbyggnadsfas. Syftet med registret är att underlätta administration såsom hantering av provgivares samtycken och spårbarhet av prover. För att skapa ett nationellt register som kan nyttjas för de tänkta syftena krävs särskild rättslig reglering.
I Registerforskningsutredningens betänkande föreslogs att Socialstyrelsen ska vara personuppgiftsansvarig för Svenska biobanksregistret och att det ska regleras i en särskild lag, lagen om Nationella biobanksregistret. Lagförslaget innehåller bl.a. bestämmelser om förhållandet till PUL, den registrerades inställning till personuppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den registrerade. Enligt förslaget ska det vara frivilligt för vårdgivare att lämna uppgifter till registret, men ett krav på registrering bör införas på sikt. Vidare föreslog utredaren att det bör finnas en möjlighet för andra huvudmän än vårdgivare att registrera sina uppgifter i det nationella registret.
Utredningen bedömde dock att frågan om hur ett krav på uppgiftslämnande för vårdgivare och frågan om de närmare förutsättningarna för att andra biobanker ska kunna registrera uppgifter i
registret behöver utredas närmare. Dessa frågor ingår i uppdraget för utredningen En ändamålsenlig reglering för biobanker (S 2016:04).
En vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter. Med anledning av att dataskyddsförordningen blir direkt tillämplig i medlemsstaterna krävs också en analys av vilka anpassningar av förslaget som kan krävas till dataskyddsförordningen och den kompletterande generella reglering som Dataskyddsutredningen ska föreslå.
Utredaren ska därför
- lämna förslag till en reglering av Nationella biobanksregistret.
Uppdraget att analysera om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning
Etikprövningslagen blir i vissa fall tillämplig när forskningen rör avlidna personer. Lagen är bl.a. tillämplig på forskning som innebär ett fysiskt ingrepp på en avliden människa, eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa. Då uppgifter om avlidna personer behandlas för forskningsändamål kan forskningen i vissa fall behöva prövas enligt etikprövningslagen. Enligt 3 § PUL avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om en avliden är alltså inte personuppgifter enligt PUL. Om sådana uppgifter direkt eller indirekt kan hänföras till levande personer är dock PUL tillämplig. Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer.
I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna, exempelvis patientdatalagen (2008:355) och lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. I den tidigare nämnda rapporten från RMV anser myndigheten att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Det kan därför vara lämpligt att närmare undersöka om vissa uppgifter om avlidna behöver
ett särskilt skydd när uppgifterna behandlas inom ramen för forensisk forskning.
Utredaren ska
- kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,
- analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och
- vid behov föreslå de författningsändringar som behövs.
Uppdraget att se över förfarandereglerna i etikprövningslagen
I Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45) föreslogs en möjlighet till enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndighetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. Dessa skulle enligt förslaget kunna behandlas betydligt enklare eftersom risken för intrång i den enskildes integritet vid denna typ av personuppgiftsbehandling är liten. Det föreslogs att sådana ärendena skulle kunna avgöras av ordföranden ensam utan att behandlas av hela avdelningen. En variant av förslaget skulle kunna vara att ordföranden skulle kunna avgöra sådana ärendena med s.k. pseudonymiserade personuppgifter i samråd med vetenskaplig ledamot.
Som tidigare nämnts ska utredaren överväga om etikprövning av forskning bör utvidgas till att gälla all forskning som innefattar behandling av personuppgifter. Om utredaren föreslår en utvidgning av etikprövningslagen ska det också beaktas att en sådan utvidgning ökar antalet ärenden hos etikprövningsnämnderna. Det behöver då övervägas hur ärendehanteringen kan ske på ett effektivt sätt och om samma krav på prövningen behöver gälla i alla ärenden. I samband med ställningstagande till frågan om utökning av kravet på etikprövning behöver det därför också analyseras om ändringar behöver göras i bestämmelserna i etikprövningslagen som reglerar handläggningen av ärendena.
Utredaren ska därför
- analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena,
- överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om en behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och
- lämna de författningsförslag som behövs.
Konsekvensbeskrivningar
Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer av 14–15 a §§kommittéförordningen (1998:1474) ska utredaren redovisa förslagens konsekvenser för den personliga integriteten.
Genomförandet av uppdraget
Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Utredaren ska därför hålla sig informerad om och beakta arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, främst Dataskyddsutredningen (Ju 2016:04) och Utredningen om personuppgiftsbehandling inom utbildningsområdet (U 2016:03).
Utredaren ska vidare hålla sig informerad om utredningen En ändamålsenlig reglering för biobanker (S 2016:04), Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och Utredningen om en översyn av regelverken för forskningsetik och gränsområdet mellan klinisk forskning och hälso- och sjukvård (U 2016:45).
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, inhämta upplysningar från Vetenskapsrådet, ett urval av universitet och högskolor, representanter för etikprövningsorganisationerna, RMV, Datainspektionen, SCB och andra relevanta myndigheter och organisationer som kan vara berörda av aktuella frågor.
Redovisning av uppdraget
Uppdraget att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, att analysera vilka anpassningar av etikprövningslagen som behöver göras och att lämna behövliga författningsförslag i dessa delar ska delredovisas senast den 1 juni 2017. Detsamma gäller för uppdraget att föreslå behövliga anpassningar av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas. Uppdraget i övrigt ska slutredovisas senast den 8 december 2017.
(Utbildningsdepartementet)
Kommittédirektiv 2017:29
Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04)
Beslut vid regeringssammanträde den 16 mars 2017
Utvidgning av och förlängd tid för uppdraget
Regeringen beslutade den 7 juli 2016 kommittédirektiv om uppdrag att bl.a. analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen kommer att föreslå med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).
Utredaren får nu dessutom i uppdrag att
- analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, och
- analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kommer att lämnas av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och
- lämna de författningsförslag som behövs.
Uppdraget ska i den del som avser behandling av personuppgifter i Kungl. bibliotekets verksamhet redovisas i en promemoria senast den 13 oktober 2017. Uppdraget i den del som ska redovisas senast den 8 december 2017 förlängs och ska i stället redovisas senast den 27 april 2018.
Rättsliga förutsättningar för Kungl. bibliotekets behandling av personuppgifter
Kungl. biblioteket är nationalbibliotek och arkiv för ljud och bilddokument och rörliga bilder. Myndigheten ska enligt förordningen (2008:1421) med instruktion för Kungl. biblioteket bl.a. förvara, beskriva och tillhandahålla den svenska tryckproduktionen i dess helhet och dokument för elektronisk återgivning enligt 10 § första stycket i lagen (1993:1392) om pliktexemplar av dokument. I den lagen finns bestämmelser om skyldighet att lämna exemplar av dokument (pliktexemplar) till Kungl. biblioteket och vissa universitetsbibliotek. Med dokument för elektronisk återgivning avses enligt lagen dokument som i fixerad form lagrar text, ljud eller bild och vars innehåll kan återges enbart med hjälp av elektroniskt hjälpmedel. I förordningen (2008:1420) om pliktexemplar av dokument finns närmare bestämmelser om bevarande och tillhandahållande av dokumenten och där framgår att dokumenten ska bevaras för framtiden.
Kungl. biblioteket ska även fullgöra de uppgifter som följer av lagen (2012:492) om pliktexemplar av elektroniskt material och förordningen (2012:866) om pliktexemplar av elektroniskt material. I lagen ges föreskrifter om skyldighet att lämna exemplar av elektroniskt material som har gjorts tillgängligt för allmänheten här i landet genom överföring via nätverk (pliktexemplar) till Kungl. biblioteket. Med elektroniskt material förstås enligt lagen en avgränsad enhet av en elektronisk upptagning med text, ljud eller bild som har ett på förhand bestämt innehåll som är avsett att presenteras vid varje användning. Av förordningen med kompletterande bestämmelser till lagen framgår att det elektroniska materialet ska bevaras för framtiden. Biblioteket ska inom sitt verksamhetsområde vara en resurs för forskning i rollen som främst humanistiskt och samhällsvetenskapligt forskningsbibliotek och främja den svenska forskningens kvalitet genom att tillhandahålla en effektiv forskningsinfrastruktur.
Det material som Kungl. bibilioteket har i uppgift att hantera innehåller en stor mängd personuppgifter. Myndigheten stöder i dag till stor del sin behandling av personuppgifter på undantaget för behandling av personuppgifter i ostrukturerat material enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen (1998:204),
förkortad PUL. Genom PUL har Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet) genomförts i svensk rätt. Under våren 2016 beslutades inom EU en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nya dataskyddsförordningen börjar gälla den 25 maj 2018 och kommer då att vara direkt tillämplig i medlemsstaterna. Genom förordningen upphävs dataskyddsdirektivet, vilket bl.a. innebär att PUL kommer att upphävas. Någon bestämmelse motsvarande missbruksregeln finns inte i dataskyddsförordningen. I många fall är dessutom de personuppgifter som finns i bibliotekets samlingar av sådan art att de omfattas av artikel 9 i dataskyddsförordningen, dvs. det är fråga om känsliga personuppgifter där särskilda förutsättningar gäller enligt dataskyddsförordningen för att det ska vara lagligt att behandla uppgifterna. Kungl. bibliotekets verksamhet är av stort allmänt intresse och det är av vikt att en ändamålsenlig personuppgiftsbehandling kan ske i verksamheten även fortsättningsvis när dataskyddsförordningen börjar gälla samtidigt som den enskildes fri- och rättigheter skyddas.
Kungl. biblioteket har även en uppgift att med hjälp av automatiserad robotteknik samla in, bevara och tillhandahålla det nationella digitala kulturarvet i form av det svenska material som publiceras på internet. Detta regleras i förordningen (2002:287) om behandling av personuppgifter i Kungl. bibliotekets digitala kulturarvsprojekt. Enligt 3 § i förordningen gäller PUL vid behandling av personuppgifter i projektet om inte något annat följer av förordningen eller annars av 2 § PUL. Bestämmelserna om rättelse och skadestånd i PUL gäller vid behandling av personuppgifter enligt förordningen. Enligt förordningen får personuppgifter behandlas i projektet för att tillgodose behovet av forskning och information (5 §). Sådana känsliga personuppgifter som anges i 13 § PUL får behandlas i projektet bara om det är nödvändigt för att tillgodose ändamålen som anges i 5 § (6 §). När dataskyddsförordningen träder i kraft kommer som nämnts PUL att upphävas.
Utredaren ska därför
- analysera vilka rättsliga förutsättningar som finns i dataskyddsförordningen för behandling av personuppgifter i Kungl. bibliotekets verksamhet, och
- analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av de förslag som kommer att lämnas av Dataskyddsutredningen, för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i myndighetens verksamhet samtidigt som den enskildes fri- och rättigheter skyddas, och
- lämna de författningsförslag som behövs.
Uppdraget ska i denna del redovisas i en promemoria senast den 13 oktober 2017.
Redovisning uppdraget
Utredningstiden förlängs när det gäller den del av uppdraget som ska redovisas senast den 8 december 2017. Uppdraget i denna del ska i stället redovisas senast den 27 april 2018.
(Utbildningsdepartementet)
Strukturerad begreppsgenomgång av Europaparlamentets och rådets förordning (EU) 2016/679 (allmän dataskyddsförordning)
Denna bilaga innehåller en genomgång av samtliga skäl och artiklar i dataskyddsförordningen (EU 2016/679) som har haft relevans för Forskningsdatautredningens arbete. Bilagan är uppdelad i tre delar:
- ”Ämnesindelning av bestämmelser”, där skäl och artiklar som nämner forskning eller annars är relevanta för vår utredning har inordnats i en hierarkisk sammanställning.
- ”Terminologi”, som går igenom några centrala termer (och variationer på dessa) och hur de används genomgående i förordningen, i syfte att ringa in de begrepp som termerna används för.
- ”Relevanta skäl och artiklar”, som går igenom skäl och artiklar som nämner forskning eller annars är relevanta för utredningen, med kommentarer.
Ämnesindelning av bestämmelser
Observera att bilagans indelning i denna del – som i viss utsträckning men inte helt, följer förordningens struktur – endast tar upp skäl och artiklar med särskild relevans för utredningen. Det innebär att grundregeln på ett visst område ofta inte berörs, utan endast det undantag som finns för forskningsändamål eller liknande. Den här gjorda indelningen har sju huvudkategorier: tillämpningsområde, ändamål, principer, rättslig grund, registrerades rättigheter, särskilda kategorier av personuppgifter, skyddsåtgärder samt överföringar till tredje land.
Förordningens tillämpningsområde
Ej tillämplig på grund av anonym information
Skäl 26 Ej tillämplig på grund av aggregerade personuppgifter
Skäl 162 Definition av personuppgift
Artikel 4.1
Ändamål
Vetenskapliga forskningsändamål
Skäl 157 (får behandlas för forskningsändamål) Skäl 159 (forskningsändamål bör ges en vid tolkning) Historiska forskningsändamål
Skäl 160 Statistiska ändamål
Skäl 162 (statistiska resultat för forskningsändamål)
Principer
Ändamålsbegränsning
Forskningsundantaget från denna
Skäl 33 Skäl 50 Artikel 5.1 b
Lagringsminimering
Längre lagning för forskningsändamål
Artikel 5.1 e
Rättslig grund för personuppgiftsbehandling
Samtycke
Som rättslig grund
Skäl 33 Artikel 6.1 a Ej rättslig grund vid betydande ojämlikhet
Skäl 43 Samtycke till deltagande i kliniska prövningar
Skäl 161
Allmänt intresse
Artikel 6.1 e
Ändamålsavvägning
Artikel 6.1 f (ej längre tillämpligt på myndigheter)
Registrerades rättigheter
Undantag från registrerades rättigheter
Artikel 89.2 (För vetenskapliga/historiska forskningsändamål) Information till den registrerade
Artikel 14.5 b (Undantag för forskningsändamål) Rätt till radering
Artikel 17.3 d (Undantag för forskningsändamål) Rätt till information
Skäl 62 (Undantag för forskningsändamål) Rätten att bli glömd
Skäl 65 (Undantag för forskningsändamål)
Särskilda kategorier av personuppgifter (Känsliga personuppgifter)
Nationella undantag från förbudet att behandla
Skäl 52 Skäl 53
Skyddsåtgärder
Allmänt för vetenskapliga eller historiska forskningsändamål
Skäl 156 Artikel 89.1 Tekniska
Pseudonymisering
Skäl 26 Artikel 4.5
Överföringar till tredje land
Vetenskapliga eller historiska forskningsändamål
Skäl 113
Terminologi
Allmänt intresse i förhållande till viktigt allmänt intresse
”Allmänt intresse” definieras inte i dataskyddsförordningen eller det nuvarande dataskyddsdirektivet (95/46/EG) och har inte heller preciserats av EU-domstolen.
”Viktigt allmänt intresse” används endast i artikel 9.2 g, tillåtlighetsgrund för särskilda kategorier av personuppgifter, och artikel 17.3 c rätt till radering (”rätten att bli bortglömd”), undantag från plikten att den personuppgiftsansvarige ska underrätta andra personuppgiftsansvariga om begäran av radering. Begreppet definieras inte närmare.
Ett antal skäl och artiklar använder dock snarlika formuleringar: – Skäl 19 använder ” särskilda viktiga intressen, däribland allmän
säkerhet samt …” vilket ger medlemsstaterna möjlighet att i lag begränsa skyldigheter och rättigheter vid privata organs behandling av personuppgifter. – Skäl 46 använder ”viktiga allmänintressen och intressen som är
av grundläggande betydelse för den registrerade” som i samband med behandling av personuppgifter som är av avgörande betydelse för liv. – Skäl 50 använder ”i synnerhet viktiga mål av allmänt intresse”
som skäl för att, med grund i unionsrätten eller nationell rätt, avvika från finalitetsprincipen. – Skäl 73 använder ”unionens eller en medlemsstats övriga viktiga
mål av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse” som grund för bestämmelser om att begränsa rätten till information, tillgång till och rättelse eller radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut samt information till den registrerade om personuppgiftsincidenter m.m. – Artikel 23.1 e använder ”unionens eller en medlemsstats viktiga
mål av generellt allmänt intresse” som möjligt skäl att begränsa tillämpningsområdet för skyldigheter och rättigheter. – Artikel 49.5 använder ”hänsyn till viktiga allmänintressen” som
skäl för att uttryckligen fastställa gränser för överföringen av
specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation (jfr även skäl 111, 112).
Jämför även skäl 34 till det nuvarande dataskyddsdirektivet som säger att, när det av hänsyn till viktiga allmänna intressen är nödvändigt, medlemsstaterna måste kunna avvika från förbudet att behandla känsliga kategorier av uppgifter ”på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik” (vår kursivering).
Forskningsändamål och närliggande ändamål
Förordningens användning av forskningsbegreppet sker ofta i form av fasta (och ganska otympliga) uttryck i stil med ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. De flesta av dessa uttryck kan enkelt ordnas i en ”del av”-relation, dvs. att begreppet ”vetenskapliga forskningsändamål” utgör en delmängd av ”vetenskapliga eller historiska forskningsändamål”. I sammanhanget bör nämnas att språktolkningen spelar in – såväl ”research” som ”scientific” kan ha annan innebörd än sina svenska översättningar. I engelskan har man bibehållet distinktionen mellan konst och vetenskap (”arts and science”) på sådant sätt att båda betraktas som delar av vetenskapen, ”scientific” skulle då möjligen kunna hänföras enbart till ”science” (naturvetenskap och medicin). I vart fall bör den uppdelning som finns i uttrycket ”vetenskapliga eller historiska forskningsändamål” inte tolkas så att historisk forskning inte skulle vara vetenskaplig. Se vidare avsnitt 3.4.4.
Ordnat från minst specifik till mest kan förordningens begreppsanvändning ställas upp enligt följande:
Arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
- Skäl 50: Behandling bör anses förenlig med det ursprungliga ändamålet.
- Skäl 52 och 53: Föreskrivna undantag från förbudet att behandla särskilda kategorier av personuppgifter.
- Skäl 62: Undantag från skyldighet att tillhandahålla information om det krävs orimliga ansträngningar.
- Skäl 65: Möjlighet att lagra personuppgifter i strid med rätten att bli bortglömd.
- Skäl 156: Krav på lämpliga skyddsåtgärder.
- Artikel 5.1 b: ”Forskningsundantaget” till ändamålsbegränsningen.
- Artikel 5.1 e: Undantag från principen om lagringsminimering.
Arkivändamål av allmänt intresse, vetenskapliga eller historiska forsknings-
ändamål eller statistiska ändamål
Skäl 50, 52, 53, 62, 65, 156
Art 5.1 b, 5.1 e, 9.2 j, 14.5 b, 17.3 d, 89.1
Vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
Skäl 26, 113
Art 21.6, 89.2
Vetenskapliga eller historiska forskningsändamål
Statistiska ändamål: Skäl 162
Historiska forskningsändamål: Skäl 160
Vetenskapliga forskningsändamål
Skäl 33, 157, 159, 161, 162
- Artikel 9.2 j: Undantag från förbudet att behandla särskilda kategorier av personuppgifter.
- Artikel 14.5 b: Undantag från informationsplikten.
- Artikel 17.3 d: Undantag från rätten att bli bortglömd.
- Artikel 89.1: Behandling ska omfattas av lämpliga skyddsåtgärder.
Vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
- Skäl 26: Behandling av anonym information – observera: använder varianten ”statistiska ändamål eller forskningsändamål”.
- Skäl 113: Överföringar, med hänsyn till samhällets legitima förväntningar i fråga om ökad kunskap.
- Artikel 21.6: Rätt att göra invändningar föreligger om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse.
- Artikel 89.2: Får föreskrivas undantag från rättigheter i artikel 15, 16, 18 och 21 med förbehåll för villkor och skyddsåtgärder enligt artikel 89.1.
Statistiska ändamål
- Skäl 162: Unionsrätten eller nationell rätt bör fastställa statistiskt innehåll m.m. samt lämpliga åtgärder till skydd för den registrerades rättigheter.
Historiska forskningsändamål
- Skäl 160: Förordningen bör gälla behandling för detta ändamål, med beaktande av att den inte gäller avlidna.
Vetenskapliga forskningsändamål
- Skäl 33: ”Forskningsundantaget” till ändamålsbegränsningen (jfr artikel 5.1, som utvidgar detta undantag till att gälla arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål).
- Skäl 157: Tillåten behandling för att underlätta vetenskaplig forskning).
- Skäl 159: Behandling av personuppgifter för vetenskapliga forskningsändamål ska ges en vid tolkning.
- Skäl 161: Samtycke till deltagande i inom ramen för kliniska prövningar – observera: använder varianten ”vetenskaplig forskning”.
Skyddsåtgärder samt tekniska och organisatoriska åtgärder till skydd för den registrerade
Det förekommer ett antal olika termer i förordningen som alla på ett eller annat sätt syftar till skydd för den registrerade enligt förordningens principer. Vanligast är ”skyddsåtgärd” samt ”teknisk eller organisatorisk åtgärd”. Ibland finns varianter, som ”teknisk skyddsåtgärd”. Ibland framgår det att med ”skyddsåtgärd” kan avses exempelvis kryptering eller pseudonymisering, begrepp som på andra ställen benämns ”teknisk eller organisatorisk skyddsåtgärd”.
I nedanstående går vi igenom förekomster av dessa termer i syfte att ge en översikt över begreppsanvändningen i skälen samt artiklarna. För varje term anges även inom parantes den vanligaste motsvarigheten i den engelska översättningen. Här kan särskilt uppmärksammas att termen ”skyddsåtgärd”, när den används fristående, vanligen översätts med ”safeguard”, medan ”åtgärd” översätts med ”measure”. När ”skyddsåtgärd” används som en del av en större term (såsom ”tekniska och organisatoriska skyddsåtgärder”) översätts den dock med ”protection measure”.
Skyddsåtgärd (”safeguard”)
- Skäl 38: Barns personuppgifter förtjänar extra skydd eftersom barn kan vara mindre medvetna om bl.a. skyddsåtgärder.
- Skäl 39: Personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter.
- Skäl 42: Skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges.
- Skäl 50: För att fastställa om ytterligare behandling är förenlig bör bl.a. förekomsten av lämpliga skyddsåtgärder beaktas.
- Skäl 52: Undantag från förbudet om känsliga personuppgifter kräver bl.a. lämpliga skyddsåtgärder för personuppgifter och övriga grundläggande rättigheter.
- Skäl 56: Politiska partier får samla in uppgifter om politisk uppfattning i samband med val om nödvändigt och lämpligas skyddsåtgärder fastställts.
- Skäl 62: Det är inte nödvändigt att informera den registrerade om det skulle medföra orimliga ansträngningar, i detta avseende bör bl.a. lämpliga skyddsåtgärder beaktas.
- Skäl 71: Automatiserat beslutsfattande bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.
- Skäl 90: Inför högriskbehandlingar bör konsekvensbedömning göras, innefattande skyddsåtgärder för att minska risk, säkerställa personuppgiftsskyddet samt visa att förordningen efterlevs.
- Skäl 94: Om det vid konsekvensbedömning framgår att en behandling utan skyddsåtgärder innebär hög risk, men risken inte kan begränsas med rimliga åtgärder (”cannot be mitigated by reasonable means”) bör samråd med tillsynsmyndighet ske.
- Skäl 102: Förordningen påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade.
- Skäl 107: Lämpliga skyddsåtgärder, inbegripet bindande företagsbestämmelser och undantag för särskilda situationer, kan göra tredjelandsöverföringar tillåtna även om landet inte längre säkerställer adekvat dataskyddsnivå.
- Skäl 108: Saknas beslut om adekvat dataskyddsnivå i tredjeland kan lämpliga skyddsåtgärder kompensera, dessa kan bestå i kan bestå i tillämpning av bindande företagsbestämmelser, standardbestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet.
- Skäl 109: Ytterligare bestämmelser eller skyddsåtgärder kan användas av personuppgiftsansvariga i avtal, så länge som de inte är i strid med antagna standardavtalsklausuler.
- Skäl 110: En koncern bör kunna använda sig av godkända bindande företagsbestämmelser för sina internationella överföringar om företagsbestämmelserna bl.a. säkerställer lämpliga skyddsåtgärder för överföringar.
- Skäl 114: Om det saknas beslut om adekvat dataskyddsnivå i ett tredjeland bör de registrerade ändå ges rättigheter så att bl.a. skyddsåtgärder gäller i förhållande till dem.
- Skäl 112: Tillsynsmyndigheten bör bl.a. främja allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av personuppgifter.
- Skäl 156: Behandling för bl.a. forskningsändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, som bör säkerställa att tekniska och organisatoriska åtgärder har införts.
- Skäl 157: För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder.
- Artikel 6.4 e: För att fastställa om behandling för andra ändamål är förenlig med ursprungsändamålet ska bl.a. beaktas förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
- Artikel 9.2 Flertal omnämnanden rörande rätt att behandla känsliga uppgifter, bl.a. (b) nödvändig behandling inom arbetsrätt m.m. i omfattning som är tillåten enligt bl.a. nationell rätt som fastställer lämpliga skyddsåtgärder, (d) lämpliga skyddsåtgärder för behandlingar inom icke vinstdrivande organ, (h) behandling inom förebyggande hälso- och sjukvård m.m. på grundval av bl.a. nationell rätt under förutsättning att skyddsåtgärder enligt 9.3 är uppfyllda.
- Artikel 10: Behandling av uppgifter om lagöverträdelser under kontroll av annan än myndighet tillåten enligt bl.a. nationell rätt som fastställer lämpliga skyddsåtgärder för de registrerades rättigheter.
- Artikel 13.1 f: Om personuppgifter samlas in från den registrerade ska information lämnas om bl.a. när uppgifter avses överföras till tredjeland och om hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas.
- Artikel 14: Om personuppgifter inte har erhållits från den registrerade ska information lämnas om bl.a., när uppgifter avses överföras till tredjeland, ska informeras om bl.a. hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas.
- Artikel 15: Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.
- Artikel 23: Lagstiftningsåtgärder som begränsar tillämpningsområdet för artikel 12–22 och 34 ska innehålla bl.a. bestämmelser om skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring samt bestämmelser om lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling.
- Artikel 25: Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder vilka är utformade för bl.a. integrering av de nödvändiga skyddsåtgärderna i behandlingen.
- Artikel 30.1 e och 30.2 c: Register över personuppgiftsbehandling ska innehålla dokumentation av lämpliga skyddsåtgärder vid tredjelandsöverföring enligt artikel 49.1 andra stycket.
- Artikel 35.7 d: Vid högriskbehandlingar ska en konsekvensbedömning innehålla bl.a. de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna.
- Artikel 41.4: Ett organ som är ackrediterat för att övervaka efterlevnaden av en uppförandekod ska, med förbehåll för tillräckliga skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse av uppförandekoden.
- Artikel 46: I avsaknad av ett beslut från kommissionen om adekvat skyddsnivå i ett tredjeland, får en personuppgiftsansvarig endast överföra personuppgifter dit efter att ha vidtagit lämpliga skyddsåtgärder (exempel på sådana anges i punkt 2 och 3), och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.
- Artikel 49: Om villkor för överföring i avsaknad av ett beslut från kommissionen om adekvat skyddsnivå i ett tredjeland, eller av lämpliga skyddsåtgärder enligt artikel 46 inte är uppfyllda, kan enligt andra stycket under vissa specifika omständigheter, bl.a. personuppgiftsansvariges tvingande berättigade intressen och vidtagna lämpliga skyddsåtgärder, en överföring ändå ske.
- Artikel 50: Kommissionen och tillsynsmyndigheterna ska vidta lämpliga åtgärder för att bl.a. erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen, bland annat med iakttagande av lämpliga skyddsåtgärder.
- Artikel 57: Varje tillsynsmyndighet ska öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling.
- Artikel 58.4: Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.
- Artikel 87: Ett nationellt identifikationsnummer ska endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning.
- Artikel 89.1: Behandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, som ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
- Artikel 89.2: Föreskrivna undantag från rättigheter i artiklarna 15, 16, 18 och 21 är med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1.
Lämpliga och särskilda åtgärder för att säkerställa (”suitable and specific measures to safeguard”)
Med uttrycket ”åtgärder för att säkerställa” torde inte något annat avses än vad som på andra ställen i förordningen avses med uttrycket ”åtgärder för att skydda” eller ”skyddsåtgärder”. Särskilt den engelska översättningen, som använder ”measures to safeguard” genomgående, talar för detta.
- Artikel 9.2 g: Nödvändig behandling för ett viktigt allmänt intresse på grundval av bl.a. nationell rätt som innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter.
- Artikel 9.2 j: Nödvändig behandling för bl.a. forskningsändamål på grundval av bl.a. nationell rätt som innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter.
Tekniska och organisatoriska åtgärder (”technical and organisational measures”)
- Skäl 29: För att skapa incitament för tillämpning av pseudonymisering bör åtgärder för pseudonymisering som samtidigt medger en allmän analys vara möjliga när nödvändiga tekniska och organisatoriska åtgärder genonförts.
- Skäl 71: Den personuppgiftsansvarige bör bl.a. använda adekvata matematiska eller statistiska förfaranden för profilering och genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras.
- Skäl 78: Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls.
- Skäl 81: Den personuppgiftsansvarige ska endast använda personuppgiftsbiträden som ger tillräckliga garantier för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning.
- Skäl 156: Behandling för bl.a. forskningsändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, som bör säkerställa att tekniska och organisatoriska åtgärder har införts.
- Artikel 4.5: Vid pseudonymisering ska de kompletterande uppgifterna förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
- Artikel 5.1 e: Personuppgifter får lagras under längre perioder om de enbart behandlas för bl.a. forskningsändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs.
- Artikel 5.1 f: Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder.
- Artikel 24: Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning.
- Artikel 25: Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder vilka är utformade för bl.a. integrering av de nödvändiga skyddsåtgärderna i behandlingen.
- Artikel 28.1, 28.3 e, 28.4: Endast personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder ska anlitas, och personuppgiftsbiträdesavtalet ska föreskriva att biträdet ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt.
- Artikel 32: Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
- Artikel 83.2 d: Vid beslut om huruvida administrativa sanktionsavgifter ska påföras m.m. ska vederbörlig hänsyn tas till bl.a. graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.
- Artikel 89.1: Behandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, som ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
Tekniska skyddsåtgärder och organisatoriska åtgärder (”technological protection and organisational measures”)
- Skäl 87: Alla lämpliga tekniska skyddsåtgärder och organisatoriska åtgärder ska vidtas för att fastställa om en personuppgiftsincident ägt rum.
Tekniska skyddsåtgärder (”technical protection measures”)
- Skäl 88: Vid anmälan av personuppgiftsincident bör vederbörlig hänsyn tas till bl.a. om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder som begränsar sannolikheten för missbruk.
Tekniska och organisatoriska skyddsåtgärder (”technical and organisational protection measures”)
- Artikel 34.3 a: Information till den registrerade vid en personuppgiftsincident krävs inte om lämpliga tekniska och organisatoriska skyddsåtgärder tillämpats på de påverkade personuppgifterna, i synnerhet sådana som ska göra uppgifterna oläsbara för obehöriga personer, såsom kryptering.
Tekniska och organisatoriska säkerhetsåtgärder: (”technical and organisational security measures”)
- Artikel 30.1 g: Varje personuppgiftsansvarige ska föra ett register över behandling som utförts under dess ansvar. Vid sådana tredjelandsöverföringar som avses i artikel 49.1 andra stycket ska detta register innehålla dokumentation av lämpliga skyddsåtgärder.
- Artikel 30.2 d: Varje personuppgiftsbiträde ska föra register över bl.a., om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
Relevanta skäl och artiklar
Dataskyddsförordningen är likt andra unionsrättsliga rättsakter uppdelad i en ingress (”preamble”) och en artikeldel (”enacting terms”).1Ingressen är i sin del uppdelad i beaktandeled, som innehåller hänvisningar till rättsaktens rättsliga grund och de förslag och yttranden som inhämtats enligt bestämmelserna i fördragen, respektive skäl. I skälen motiveras de viktigaste bestämmelserna i artiklarna. Endast artikeldelen utgör bindande text.
I det nedanstående återges de skäl och artiklar, eller delar därav, som antingen uttryckligen berör forskning eller av andra anledningar är centrala för utredningens arbete. Ordningen är bestämd av förordningens ordning, dvs. att framställningen inleds med de icke-bindande, förklarande skälen, för att sedan gå över till de bindande artiklarna.
Kursiveringarna är våra och markerar de delar av texten som särskilt knyter an till forskning.
Skäl
(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.
1 Jfr generellt SB PM 2014:3 s. 22 ff.
Skälet erinrar om att information för forskningsändamål kan vara anonymiserad, och att förordningen då inte längre är tillämplig.
I sammanhanget är det viktigt att skilja på anonymisering och pseudonymisering. Det är först när den registrerade verkligen inte är identifierbar som det är fråga om sådan anonymisering som gör att förordningen inte längre är tillämplig. Se vidare om dessa begrepp kapitel 12.
(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.
Skälet avser den mindre strikta tillämpningen av ändamålsbegränsningen (jfr artikel 5.1 b) som gäller för vetenskapliga (men inte historiska) forskningsändamål som gör det möjligt att samtycka till personuppgiftsbehandling för vissa områden för vetenskaplig forskning. Vad gäller ”vedertagna etiska standarder” finns förstås anledning för utredningen att uppmärksamma den svenska regleringen med etikprövning samt dess motsvarigheter i andra medlemsstater.
(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.
Skälet nämns särskilt i utredningens direktiv (dir. 2016:65 s. 6) som något som bör analyseras. För att utreda fortsatta möjligheter att samla in forskningsdata är det av stor vikt för forskningens del att analysera samtycke som rättslig grund för personuppgiftsbehandling i olika forskningssammanhang.
(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.
Jämför skäl 33.
(52) Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.
En uppräkning av situationer när bl.a. nationell rätt kan få göra undantag från förbudet att behandla särskilda kategorier av (”känsliga”) personuppgifter.
(53) Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.
(62) Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.
Undantag från informationsplikten (jfr artikel 14, särskilt 14.5 b).
(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.
Skälets sista mening väcker frågan om det finns ett undantag från rätten till radering (den s.k. ”rätten att bli bortglömd”) om ett sådant undantag krävs för att uppfylla forskningsändamålet. Notera att rätten till radering (artikel 17) inte är bland de rättigheter för vilka det får föreskrivas undantag från för forskningsändamål enligt artikel 89.2, men att artikel 17.3 d däremot innehåller ett undantag från samma rättighet för bl.a. vetenskapliga eller historiska ändamål.
(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgiftsansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den person-
uppgiftsansvarige bör informera tillsynsmyndigheten och den registrerade om överföringen.
(156) Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t.ex. pseudonymisering av personuppgifter). Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd, rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet. Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning, exempelvis om kliniska prövningar.
(157) Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression.
På grundval av registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig forskning får personuppgifter
behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.
Skälet beskriver värdet av register för forskningen och klargör att forskning utifrån sådana register är tillåtet inom förordningens ram. Det medför dock inte något generellt undantag för personuppgiftsbehandling för forskningsändamål, utan sådan behandling måste alltjämt beakta de villkor som framgår av förordningen och övrig reglering.
(159) Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i denna förordning tillämpas på dessa åtgärder.
Detta ger viss vägledning till begreppet ”vetenskapliga forskningsändamål”, men saknar samma sorts fokuserade beskrivning av vad forskning är som finns i exempelvis etikprövningslagen. Se vidare avsnitt 3.4.4.
(160) Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att denna förordning inte bör gälla för avlidna personer.
Att historiska och genealogiska ändamål nämns är troligen i syfte att skilja detta från privat släktforskning. Se vidare avsnitt 3.4.2.
(161) När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 tillämpas.
(162) Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling. Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysiskperson.
Detta skäl framstår främst som en definition av ”statistiska ändamål”. Betydelsen för utredningen blir främst att ett resultat av en behandling för statistiska ändamål enligt definitionen inte består av personuppgifter.
Artiklar
Nedanstående bestämmelser är, till skillnad från skälen, normativa, dvs. bindande.
Artikel 4 Definitioner
I denna förordning avses med
1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, […]
5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person, […] 13. genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga,
Artikel 4.1 och 4.5 i kombination är viktiga för gränsdragningen av dataskyddsförordningens tillämpningsområde och innebär att personuppgifter är pseudonymiserade om de är återidentifierbara. Pseudonymiserad innebär, enligt förordningens definition, att den information som krävs för återidentifiering förvaras på annan plats.
Artikel 5 Principer för behandling av personuppgifter
1. Vid behandling av personuppgifter ska följande gälla: […]
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). […]
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
Denna ändamålsbegränsning med ”forskningsundantag” är central för utredningen. Motsvarande bestämmelse finns även i det nuvarande dataskyddsdirektivet.
Artikel 6 Laglig behandling av personuppgifter
1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
För forskning är framför allt punkt a och e i ovanstående aktuella. För privaträttsliga forskningsaktörer kan även punkt f (nedan) vara aktuell. Vad gäller punkt a framgår utifrån såväl skäl 33 som skäl 43 samt även artikel 5.1 b att samtycke som rättslig grund för personuppgiftsbehandling i forskningssammanhang kräver en djupare analys. Punkt e behöver analyseras utifrån artikel 6.3 i relation till artikel 6.2.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
Att myndigheter, när de fullgör sina uppgifter, inte längre kan tillämpa intresseavvägning som rättslig grund ens i de fall där en sådan avvägning uppenbart väger över för den personuppgiftsansvarige eller tredje parts intresse skulle kunna leda till ökade önskemål om författningsreglering (för att omfattas av 6.1 e) eller inhämtande av samtycken (för att omfattas av 6.1 a). Vad gäller möjligheten att inhämta giltiga samtycken bör dock skäl 43, rörande situationer med betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, beaktas.
2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.
3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som
ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Särskilt 6.1(a), 6.1(e), 6.2 och 6.3 framhålls i våra utredningsdirektiv (s. 6 f.).
Artikel 9 Behandling av särskilda kategorier av personuppgifter
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
2. Punkt 1 ska inte tillämpas om något av följande gäller: […]
a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade. […]
g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt,
vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. […]
i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.
j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. […]
4. Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Artikel 9.2 (i) handlar om ett område som ibland överlappar med forskning (folkhälsa). Vad gäller artikel 9.4 kan uttrycket ”biometriska” ge upphov till särskilda tolkningsproblem. En vid tolkning av begreppet skulle kunna innebära att en stor mängd uppgifter som inte uppfattas som känsliga i det allmänna rättsmedvetandet skulle kunna inkluderas. Ett försök till avgränsning har gjorts i artikeln genom det fortsatta uttrycket ”för att ensidigt identifiera en fysisk person”.
Artikel 14 Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade
1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information […]
5. Punkterna 1–4 ska inte tillämpas i följande fall och i den mån […]
b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades
rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,
Det är en viktig uppgift att skilja dels mellan forskningsdatabaser, dels grundregister samt att skilja mellan primärt insamlade forskningsdata och sekundärt inhämtade data från andra källor. Lagstiftaren förefaller ha tänkt på att uppgifter som inte insamlats primärt utan kommer från andra verksamheter (t ex biologisk prover som tas i hälso- och sjukvårdsverksamhet) ofta kan lämnas ut pseudonymiserade, och att en återidentifiering för att uppfylla denna informationsplikt skulle innebära stora svårigheter och i sig innebära integritetsrisker.
Det stadgas på annat ställe (artikel 11.1) att den personuppgiftsansvarige inte ska vara tvungen att återidentifieras den registrerade enbart för att tillfredsställa regler i förordningen. Detta är en tydlig hänvisning till att pseudonymiserade data inte behöver återidentifieras av t.ex. forskare enbart för att tillfredsställa de regler som finns i artiklarna 14–21.
Artikel 15 Den registrerades rätt till tillgång
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
a) Ändamålen med behandlingen.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.
d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
f) Rätten att inge klagomål till en tillsynsmyndighet.
g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.
h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
2. Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om
de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.
3. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.
4. Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.
Artikel 16 Rätt till rättelse
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
Artikel 17 Rätt till radering (”rätten att bli bortglömd”)
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller […]
3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:[…] d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
Artikel 17.3 (d) undantar data som behöver sparas för forskningsändamål.
Artikel 18 Rätt till begränsning av behandling
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:
a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.
b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
2. Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.
Notera att förordningen i artikel 89 ger utrymme för att göra undantag från rätten till begränsning av behandling samt anmälan om att några av de nämnda åtgärderna har vidtagits (jfr artikel 19, som dock i sig inte har särskild anknytning till forskningsändamål och därför inte är medtagen här).
Artikel 21 Rätt att göra invändningar
1. Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. [...]
6. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.
Punkt 6 ska läsas i samband med artikel 89.2, som möjliggör undantag från denna rättighet
Artikel 32 Säkerhet i samband med behandlingen
1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
3. Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.
4. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Denna artikel, som tillhör den generella regleringen i förordningen, och inte är begränsad till forskningsändamål, utgör en utgångspunkt för lämplighetsbedömning av tekniska och organisatoriska skyddsåtgärder. Den kan jämföras med artikel 17.1 i nuvarande dataskyddsdirektivet.
Artikel 89 Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
1. Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
2. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt
eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. […]
4. Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på behandling för de ändamål som avses i dessa punkter.
Dessa artiklar är centrala för utredningens uppdrag eftersom de dels anger att hantering för bl.a. vetenskapliga eller historiska forskningsändamål måste kombineras med lämpliga skyddsåtgärder, dels anger att om så är fallet finns utrymme för att i bl.a. nationell rätt föreskriva undantag från vissa av de rättigheter som tillkommer registrerade (rätt till tillgång till den registrerades personuppgifter och information om behandling, rätt till rättelse, rätt till begränsning av behandling, samt rätt att göra invändningar). Notera även att undantag från andra rättigheter finns angivna direkt i förordningen och alltså inte kräver reglering i nationell rätt (artikel 17.3 d samt artikel 20.3).