SOU 2017:66

Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning

Till statsrådet och chefen för Socialdepartementet

Genom beslut den 16 juni 2016 bemyndigade regeringen statsrådet Annika Strandhäll att tillkalla en särskild utredare med uppdrag att analysera konsekvenserna av EU:s s.k. dataskyddsförordning för behandlingen av personuppgifter inom Socialdepartementets verksamhetsområde och föreslå författningsändringar till följd av dataskyddsförordningen. Från och med samma dag förordnade Annika Strandhäll ordföranden i Arbetsdomstolen Sören Öman som särskild utredare.

Som sakkunniga i utredningen förordnades den 19 september 2016 departementssekreteraren Niclas Fogelström (Socialdepartementet), ämnesrådet Jimmy Järvenpää (Socialdepartementet), kanslirådet tidigare departementssekreteraren Caroline Nilsson (Socialdepartementet) och departementssekreteraren Annika Remaeus (Socialdepartementet). Som experter förordnades samma dag chefen Peter Andrén (Försäkringskassan), chefsjuristen Catarina Eklundh Ahlgren (Inspektionen för socialförsäkringen), chefsjuristen Anette Enberg (Myndigheten för familjerätt och föräldraskapsstöd), biträdande chefsjuristen Bo Granath (Folkhälsomyndigheten), juristen Ulrika Holfelt (Inspektionen för vård och omsorg), avdelningsdirektören Suzanne Isberg (Datainspektionen), juristen Ulrika Marusarz (Socialstyrelsen), stabschefen och chefsjuristen Karin Nylén (Myndigheten för vård- och omsorgsanalys) och juristen Anne Vilval (Pensionsmyndigheten).

Som sekreterare i utredningen har arbetat verksjuristen Hélène Runsten från och med den 8 augusti 2016 och hovrättsassessorn Jonna Wiborn från och med den 1 september 2016. Jur. stud. Ebba Hagelroth har kontrollerat hänvisningarna i betänkandet.

Utredningen (S 2016:05) har antagit namnet Socialdataskyddsutredningen.

Härmed får utredningen överlämna betänkandet Dataskydd inom

Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning.

Utredningsarbetet fortsätter enligt tilläggsdirektiven dir. 2017:67.

Stockholm i augusti 2017

Sören Öman

/Hélène Runsten

Jonna Wiborn

Sammanfattning

EU:s dataskyddsförordning blir tillämplig i Sverige den 25 maj 2018 och ersätter då personuppgiftslagen. Utredningen har inför det sett över registerförfattningarna inom Socialdepartementets verksamhetsområde. Utredningens målsättning, eller utgångspunkt, har varit att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. Den målsättningen har uppnåtts efter en ingående analys av både dataskyddsförordningen och registerförfattningarna. Utredningens förslag, som i huvudsak är av författningsteknisk karaktär, inskränker alltså inte nuvarande möjligheter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Å andra sidan föreslås inte heller författningsstöd för sådan behandling som inte är laglig i dag.

Dataskyddsförordningen

EU har beslutat om en förordning – den s.k. dataskyddsförordningen – som utgör en ny generell reglering för behandling av personuppgifter inom EU. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vid samma tidpunkt kommer personuppgiftslagen att upphävas. Dataskyddsförordningen är direkt tillämplig och dess bestämmelser är tvingande. Nationell lagstiftning på området kommer därför endast att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen.

Dataskyddsutredningen har föreslagit en ny lag – dataskyddslagen – som, om förslaget leder till lagstiftning, kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå.

Det har sedan över ett år tillbaka dessutom pågått ett omfattande arbete med att anpassa befintliga registerförfattningar till dataskyddsförordningen. Registerförfattningarna kommer att komplettera dataskyddsförordningen på verksamhetsspecifik nivå. Den föreslagna dataskyddslagen kommer att vara subsidiär i förhållande till registerförfattningarna och är tillämplig i verksamheter som omfattas av en särskild registerförfattning endast om inget annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den.

Socialdataskyddsutredningen har haft i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.

I det följande sammanfattas de viktigaste bedömningarna och förslagen i betänkandet.

Utgångspunkter för översynen

En utgångspunkt för utredningen har varit att de personuppgiftsansvariga ska kunna fortsätta att behandla personuppgifter på samma sätt som de får i dag. Det innebär att översynen har inriktats på att undersöka om behandling som i dag är laglig kommer att kunna ske när dataskyddsförordningen ska tillämpas.

Konsekvenser för verksamheter som inte har en registerförfattning

När personuppgiftslagen upphävs försvinner möjligheten att behandla personuppgifter med stöd av den s.k. missbruksregeln (5 a § personuppgiftslagen). Någon motsvarande regel finns inte i dataskyddsförordningen.

Offentliga myndigheter får enligt dataskyddsförordningen inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina arbetsuppgifter, vilket lär innefatta de arbetsuppgifter de utför inom den myndighetsspecifika verksamheten. Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar därmed.

Det har inte framkommit att några myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Utredningen har dock genom tilläggsdirektiv fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys. Det uppdraget ska redovisas senast den 15 januari 2018.

Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen

Medlemsstaternas nationella lagstiftning får enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen för såväl myndigheter som enskilda när det gäller behandling av personuppgifter som är tillåten enligt artikel 6.1 c eller e. Det innebär att det är möjligt att i registerförfattningarna närmare reglera förutsättningarna för behandling när behandlingen är nödvändig

  • för att fullgöra en rättslig förpliktelse,
  • för att utföra en arbetsuppgift av allmänt intresse, eller
  • för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myndighetsutövning.

Därutöver hindrar dataskyddsförordningen inte att medlemsstaterna i nationell rätt inför mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter eller ålägger dem utökade skyldigheter.

Registerförfattningarnas tillämpningsområde

Nationell lagstiftning som kompletterar dataskyddsförordningen kan ha både ett vidare och ett snävare tillämpningsområde än dataskyddsförordningen. Bestämmelser om registerförfattningars tillämpningsområde behöver därför i regel inte ändras med anledning av dataskyddsförordningen. Patientdatalagen, lagen om behandling av per-

sonuppgifter inom socialtjänsten och den tillhörande förordningen om behandling av personuppgifter inom socialtjänsten omfattar dock viss behandling av personuppgifter som syftar till att verkställa straffrättsliga påföljder, såsom rättspsykiatrisk vård och ungdomsvård. Sådan behandling omfattas inte av dataskyddsförordningen utan av det nya dataskyddsdirektivet som i Sverige föreslås bli genomfört genom en ny brottsdatalag. Utredningen föreslår därför att lagen om behandling av personuppgifter inom socialtjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Patientdatalagen föreslås däremot gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård.

Rättslig grund för behandling av personuppgifter

Ändamål

Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt. Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i artikel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen.

I registerförfattningar anges ofta de ändamål för vilka personuppgifter får behandlas. Utredningen har konstaterat att de ändamål som anges i de registerförfattningar som setts över grundar sig på rättsliga förpliktelser eller arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning. Ändamålen har därmed stöd i dataskyddsförordningen och kan behållas.

Nya krav på den rättsliga grunden

Det har i och med dataskyddsförordningen tillkommit vissa nya krav på de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste grunden fastställas i nationell rätt eller

EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning gäller i stället att syftet med behandlingen ska vara nödvändigt för ändamålet. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste slutligen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Myndighetsutövning måste alltid ha stöd i författning och rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. Arbetsuppgifter av allmänt intresse härrör från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar eller regeringsbeslut. Är den rättsliga grunden inte fastställd i annan författning, är den dessutom i vart fall fastställd genom registerförfattningens ändamålsbestämmelser. Utredningen bedömer därför att kravet på att grunden ska vara fastställd genomgående är uppfyllt.

Syftet med en behandling av personuppgifter med anledning av en rättslig förpliktelse kan enligt utredningens bedömning framgå av en registerförfattning eller av exempelvis den författning som reglerar själva verksamheten. För arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning får det förutsättas att tidigare bedömningar av lagligt stöd för behandling av personuppgifter även innefattat ett ställningstagande till att syftet med behandlingen för det aktuella ändamålet också är nödvändigt för ändamålet.

Även kravet på att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas får anses vara uppfyllt genom tidigare ställningstaganden.

Samtycke

Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter. Utredningen har funnit att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan behållas.

Finalitetsprincipen

Utredningens utgångspunkt är att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget. Det krävs därför att det är tydligt att de uppräknade ändamålen i registerförfattningarna inte är uttömmande när så har gällt tidigare. Utredningen behåller därför i sina förslag bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.

Känsliga personuppgifter och uppgifter om lagöverträdelser

Nya kategorier av känsliga personuppgifter

Det har i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Att nya kategorier lagts till de befintliga innebär att det kommer att vara fler uppgifter som kategoriseras som känsliga och som därmed omfattas av artikel 9 i dataskyddsförordningen. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.

Bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör där-

emot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Utredningen har dock i två fall, när det gäller patientdatalagen och läkemedelsförordningen, föreslagit förtydliganden som innebär att viss behandling av de nytillkomna kategorierna av känsliga personuppgifter ska vara tillåten även i fortsättningen. Detta eftersom det bedömts nödvändigt för en ändamålsenlig behandling av personuppgifter i de aktuella verksamheterna.

Tillåten behandling av känsliga personuppgifter

Utredningen bedömer att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i dataskyddsförordningen. I ett fall, när det gäller läkemedelsförordningen, har dock regleringen inte bedömts leva upp till det nya kravet på att det ska finnas bestämmelser om lämpliga skyddsåtgärder i den nationella lagstiftningen. Utredningen har därför föreslagit en begränsning som innebär att behandling av de där aktuella personuppgifterna endast får ske för angivna ändamål.

Viss behandling av känsliga personuppgifter – enligt lagen om blodsäkerhet, lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, lagen om skydd mot internationella hot mot människors hälsa samt lagen om register över nationella vaccinationsprogram – som tidigare tillåtits med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet har utredningen bedömt vara tillåten med stöd av det s.k. folkhälsoundantaget i artikel 9.2 i i dataskyddsförordningen.

Även bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvården samt inom social omsorg, såsom socialtjänst, är förenliga med dataskyddsförordningen. Sådana bestämmelser bör dock kompletteras med en bestämmelse som påminner om det nya kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Uppgifter om lagöverträdelser

Nuvarande bestämmelser i registerförfattningarna om uppgifter om lagöverträdelser omfattar, utöver vad som gäller enligt dataskyddsförordningen, även uppgifter om friande brottmålsdomar och administrativa frihetsberövanden och innebär oftast restriktioner för behandlingen. Att dessa uppgifter, som omfattas av motsvarande bestämmelse i dataskyddsdirektivet, inte omfattas av dataskyddsförordningens reglering gör det möjligt att ta bort sådana restriktioner. Det är dock enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter i större utsträckning än de hittills har bedömts ha behov av bara därför att dataskyddsförordningen gör det möjligt. Med stöd av möjligheten att införa nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bör även de begränsningar för uppgifter om lagöverträdelser som inte omfattas av artikel 10 i dataskyddsförordningen behållas.

Personnummer

Bestämmelser om att personnummer får registreras, t.ex. i en databas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor för behandlingen av personnummer enligt artikel 87 i dataskyddsförordningen. Det behöver därför inte iakttas några sådana lämpliga skyddsåtgärder som krävs enligt samma artikel. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor, är de bestämmelser som redan finns i registerförfattningarna att anse som lämpliga skyddsåtgärder.

Överföring till tredjeland

Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredjeland. En nationell bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild,

bestämmelse som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Bestämmelserna i registerförfattningarna som anger när överföring av personuppgifter till tredjeland är tillåten har bedömts förenliga med dataskyddsförordningen och behöver därför inte ändras.

Rättigheter och skyldigheter

Nya rättigheter och skyldigheter

Det är utredningens övergripande bedömning att de nya rättigheter för registrerade och de nya skyldigheter för personuppgiftsansvariga som dataskyddsförordningen medför normalt sett inte kan anses så betungande för de personuppgiftsansvariga att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen.

Rätt att göra invändningar

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på allmänt intresse, myndighetsutövning eller en intresseavvägning.

Flera registerförfattningar innehåller bestämmelser som begränsar rätten att göra invändningar. Utredningen har i fråga om sådana bestämmelser gjort en prövning av om begränsningen är tillåten enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsförordningen i förhållande till varje enskild registerförfattning. Prövningarna har lett till slutsatsen att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett.

Information till registrerade

Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Rättelse

Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna i personuppgiftslagen om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Automatiserade beslut

Utredningen bedömer att artikel 22.1 i dataskyddsförordningen omfattar enbart beslut som grundas på automatiserad behandling

och inkluderar profilering. I den mån det inom Socialdepartemen-

tets verksamhetsområde förekommer sådana beslut, krävs att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt utredningens tolkning inte av artikel 22 i dataskyddsförordningen, och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande ska regleras särskilt.

Säkerhetsåtgärder

Bestämmelser om säkerhetsåtgärder/skyddsåtgärder som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Myndigheter kan vidare genom nationell lag åläggas krav på säkerhetsåtgärder utan hinder av dataskyddsförordningen. Vid viss behandling av känsliga personuppgifter krävs det dessutom att skyddsåtgärder regleras i nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet.

Gallring

Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande kan behållas under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.

Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med formuleringen i dataskyddsförordningen. Enligt utredningens bedömning innebär omformuleringen inte någon skillnad i sak.

Tillsyn

Av Dataskyddsutredningens förslag till dataskyddslag framgår att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Det behövs därför inte några särskilda be-

stämmelser om tillsyn i de registerförfattningar som omfattas av översynen.

Sanktioner

Skadestånd

Bestämmelserna i dataskyddsförordningen om skadestånd är direkt tillämpliga även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde, under förutsättning att det rör sig om sådan behandling som också omfattas av dataskyddsförordningen. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna om skadestånd i personuppgiftslagen bör därför upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Sanktionsavgifter

I artikel 83 i dataskyddsförordningen finns en uttömmande uppräkning av när det är möjligt att utfärda sanktionsavgifter. Eftersom endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter påföras endast vid överträdelser av sådana nationella bestämmelser. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser, är det dock enligt utredningens bedömning möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen. Utredningen bedömer att det inte finns något behov av bestämmelser om administrativa sanktionsavgifter i registerförfattningarna.

Överklagande

Dataskyddsutredningen har föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande av personuppgiftsansvariga myndigheters beslut. Den bestämmelsen kommer att vara tillämplig även inom registerförfattningarnas tillämpningsområde, på samma

sätt som personuppgiftslagens bestämmelser är det i dag. Något skäl att reglera överklagandemöjligheten på annat sätt än vad Dataskyddsutredningen föreslagit har inte framkommit. Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör därför upphävas. I de fall registerförfattningen även innehåller överklagandebestämmelser avseende andra beslut än sådana som berör behandling av personuppgifter bör det dock införas en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

Uppgiftsskyldigheter

För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen alternativt omfattas av ett tillåtet undantag från den principen. De bestämmelser om uppgiftsskyldighet som finns inom Socialdepartementets verksamhetsområde är därmed lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.

Barns personuppgifter

Utredningen har tänkt på barnens rättigheter enligt barnkonventionen när förslagen skrivits. Det behövs inte några nya bestämmelser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.

Författningar som bör upphävas

Utredningen har kommit fram till att två av de författningar som ingått i översynen, förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister, är obsoleta,

överspelade. De författningarna bör därför inte anpassas till dataskyddsförordningen utan i stället upphävas.

Ikraftträdande och övergångsbestämmelser

Författningsändringar till följd av dataskyddsförordningen bör träda i kraft den 25 maj 2018, medan författningsändringar till följd av den föreslagna brottsdatalagen bör träda i kraft den 1 maj 2018. Utredningen föreslår att övergångsbestämmelser införs avseende bestämmelser om överklagande och skadestånd.

Konsekvenser

Utredningens förslag leder inte till att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Skyddsåtgärden innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inga konsekvenser. Däremot får förstås den direkt tillämpliga dataskyddsförordningen konsekvenser, vilka är generella för alla verksamheter i Sverige och beskrivs översiktligt.

1. Författningsförslag

1.1. Förslag till lag om ändring i socialförsäkringsbalken

Härigenom föreskrivs i fråga om socialförsäkringsbalken

dels att 114 kap. 33 § ska upphöra att gälla,

dels att rubriken närmast före 114 kap. 33 § ska utgå,

dels att 114 kap. 1, 6, 10, 11, 12, 13, 15, 16, 27, 29, 30, 31 och 36 §§

och rubriken närmast före 114 kap. 6 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 a §, och närmast före

6 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

114 kap.

1 §1

I detta kapitel finns allmänna bestämmelser i 2–5 §§. Vidare finns bestämmelser om

personuppgiftslagen och personuppgiftsansvar i 6 §,

– förhållandet till annan dataskyddsreglering i 6 §,

– personuppgiftsansvar i 6 a §,

– ändamål för behandling av personuppgifter i 7–10 §§, – behandling av känsliga personuppgifter m.m. i 11–13 §§, – behandling av personuppgifter i socialförsäkringsdatabasen i 14–16 §§,

– tilldelning av behörighet i 17 §, – direktåtkomst i 18–23 §§, – utlämnande på medium för automatisk behandling i 24–26 a §§, – sökbegrepp i 27 och 28 §§,

1 Senaste lydelse 2012:935.

överföring av personupp-

gifter till tredje land i 29 §,

överföring av personupp-

gifter till tredjeland i 29 §,

– information i 30 §, – gallring i 31 §, – avgifter i 32 §,

– rättelse och skadestånd i 33 §,

– kontrollverksamhet i 34 §, – tystnadsplikt i 35 §, och – överklagande i 36 §.

Personuppgiftslagen och personuppgiftsansvar

Förhållandet till annan dataskyddsreglering

6 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av detta kapitel eller föreskrifter som meddelas med stöd av kapitlet eller av personuppgiftslagen . Med socialförsäkringens administration avses i detta kapitel Försäkringskassan och Pensionsmyndigheten.

En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt detta kapitel, om inte annat följer av detta kapitel eller föreskrifter som har meddelats med stöd av kapitlet.

Personuppgiftsansvar

6 a §

Med socialförsäkringens administration avses i detta kapitel administration hos Försäkringskassan och Pensionsmyndigheten.

En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

10 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 7–9 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Att personuppgifter som behandlas för ändamål som anges i 7 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

11 §

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga person-

uppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679

(känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som

behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

12 §

Uppgifter om lagöverträdelser m.m. som avses i 21 § person-

uppgiftslagen (1998:204)får be-

handlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser

m.m. som avses i 21 § personuppgiftslagen får behandlas för

något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

Uppgifter om lagöverträdelser som innefattar brott, domar i

brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) får behandlas om

uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser får behandlas för något av de ändamål som anges i 7 § första stycket 1 samt 8 och 9 §§ om det är nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses

i 21 § personuppgiftslagen be-

handlas som enligt 15 § får behandlas i socialförsäkringsdatabasen.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får uppgifter om lagöverträdelser behandlas som enligt 15 § får behandlas i socialförsäkringsdatabasen.

Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.

13 §

I 15 § finns särskilda bestämmelser om behandling i socialförsäkringsdatabasen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen

(1998:204).

I 15 § finns särskilda bestämmelser om behandling i socialförsäkringsdatabasen av sådana känsliga personuppgifter som

avses i 11 § första stycket och sådana uppgifter om lagöverträ-

delser som avses i 12 § första

stycket.

15 §

För de ändamål som anges i 7–10 §§ får, med beaktande av de begränsningar som följer av 7 och 14 §§, identifierings- och adressuppgifter behandlas i socialförsäkringsdatabasen.

Känsliga personuppgifter eller

uppgifter om lagöverträdelser

m.m. som avses i 21 § person-uppgiftslagen (1998:204)får ut-

över vad som anges i 16 § behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.

Sådana känsliga personupp-

gifter som avses i 11 § första

stycket eller sådana uppgifter om

lagöverträdelser som avses i 12 §

första stycket får, utöver vad som

anges i 16 §, behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 11 och 12 §§. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.

16 §

Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som

Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör sådana känsliga personuppgifter som

avses i 11 § första stycket eller

avses i 21 § personuppgiftslagen

(1998:204). Sådana uppgifter i

en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.

sådana uppgifter om lagöverträ-

delser som avses i 12 § första

stycket. Sådana uppgifter i en

handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.

27 §

Känsliga personuppgifter eller

uppgifter om lagöverträdelser

m.m. som avses i 21 § person-uppgiftslagen (1998:204) får inte

användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.

Sådana känsliga personupp-

gifter som avses i 11 § första

stycket eller sådana uppgifter om

lagöverträdelser som avses i 12 §

första stycket får inte användas

som sökbegrepp vid sökning i socialförsäkringsdatabasen.

Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.

29 §

Överföring av personuppgifter

till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 §

personuppgiftslagen (1998:204).

Personuppgifter får föras över

till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater.

30 §

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information

enligt 26 § personuppgiftslagen

Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i sådan information

som avses i artikel 15 i Europa-

(1998:204) om den registrerade

tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall ska

begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

parlamentets och rådets förordning (EU) 2016/679 om den

registrerade tagit del av handlingens innehåll. Av informationen ska det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess.

31 §

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för historiska,

statistiska eller vetenskapliga ändamål.

Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivända-

mål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

36 §

I fråga om överklagande av beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) tillämpas bestämmelserna i den lagen. Andra beslut enligt detta kapitel får inte överklagas.

Bestämmelser om överklagande finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Andra beslut enligt detta kapitel än sådana som får överklagas enligt de bestämmelser som avses i första stycket får inte överklagas.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

1.2. Förslag till ändringar i förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen

Härigenom föreslås i fråga om förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen

dels att 5 och 17 §§ ska tas bort,

dels att rubrikerna närmast före 5 och 17 §§ ska tas bort,

dels att 2, 3, 7, 8, 15 och 16 §§ och rubriken närmast före 3 § ska

ha följande lydelse.

Tidigare föreslagen lydelse Utredningens förslag till lydelse

2 §

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.

Första stycket gäller inte om personuppgifter samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen. Bestämmel-

serna i 12 § personuppgiftslagen (1998:204) om återkallelse av lämnat samtycke tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag.

Första stycket gäller inte om personuppgifter samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen.

Förhållandet till

personuppgiftslagen

Förhållandet till

annan dataskyddsreglering

3 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom verksamheten vid inspektionen om inte annat följer

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska perso-

av denna lag eller föreskrifter som har meddelats med stöd av denna lag.

ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

7 §

Personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Att personuppgifter

som behandlas för ändamål som anges i 6 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

8 §

Känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) och personuppgifter som avses i 21 § samma lag får

behandlas om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.

Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas om

uppgifterna har lämnats i ett

tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende.

15 §

Information som ska lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta

en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.

Sådan information som avses i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 behöver inte omfatta

en uppgift som har försetts med en beteckning så att den inte är direkt hänförlig till en enskild.

16 §

Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för

historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för

arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

1.3. Förslag till lag om ändring i lagen (1996:1156) om receptregister

Härigenom föreskrivs i fråga om lagen (1996:1156) om receptregister2

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 3, 7 och 20 §§ och rubriken närmast före 3 § ska ha följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till

personuppgiftslagen 3

Förhållandet till

annan dataskyddsreglering

3 §4

Personuppgiftslagen (1998:204) gäller för behandling av personuppgifter i receptregistret, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

2 Senaste lydelse av 24 § 2009:370. 3 Senaste lydelse 2009:370. 4 Senaste lydelse 2009:370.

7 §5

I fråga om behandling av personuppgifter i receptregistret för annat ändamål än vad som anges i 6 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Att personuppgifter som behandlas för ändamål som anges i 6 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

20 §6

E-hälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålen med registret,

3. vilka uppgifter registret får

innehålla,

4. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för registret,

5. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten till rättelse av oriktiga eller missvisande uppgifter enligt 24 §,

7. rätten till skadestånd enligt 24 §,

8. de begränsningar i fråga

om sökbegrepp och bevarande av

uppgifter som gäller för registret,

och

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om

1. vilka uppgifter registret får

innehålla,

2. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för registret,

3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

4. de begränsningar i fråga

om sökbegrepp som gäller för registret, och

5 Senaste lydelse 2009:370. 6 Senaste lydelse 2013:1021.

9. att registreringen inte är

frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

5. att registreringen inte är

frivillig med undantag för ändamål enligt 6 § första stycket 2 och 8.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.4. Förslag till lag om ändring i lagen (1998:543) om hälsodataregister

Härigenom föreskrivs i fråga om lagen (1998:543) om hälsodataregister

dels att 11 § ska upphöra att gälla,

dels att rubriken närmast före 11 § ska utgå,

dels att 2 § och rubriken närmast före 2 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till

personuppgiftslagen

Förhållandet till

annan dataskyddsreglering

2 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för hälsodataregister.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.5. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

dels att 9 och 10 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 9 och 10 §§ ska utgå,

dels att 1, 3, 4, 7 och 7 a §§ och rubriken närmast före 4 § ska ha

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §7

Denna lag tillämpas vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.

Denna lag tillämpas, om inte

annat anges i 3 §, vid behandling

av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier.

3 §

Lagen tillämpas inte vid behandling av personuppgifter hos domstolar. Den tillämpas inte

heller vid behandling av personuppgifter för forsknings- och

statistikändamål.

Lagen tillämpas inte vid behandling av personuppgifter

1. hos domstolar,

2. för forsknings- och stati-

stikändamål, eller

3. som utförs av behöriga myndigheter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).

7 Senaste lydelse 2003:136.

Förhållandet till

personuppgiftslagen m.m.

Förhållandet till

annan dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialtjänsten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

7 §

Socialtjänsten får behandla

1. person- och samordningsnummer,

2. känsliga personuppgifter som

avses i 13 § personuppgiftslagen (1998:204), samt

2. sådana särskilda kategorier

av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter), samt

3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får känsliga

personuppgifter endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

7 a §

I sammanställningar av personuppgifter får det inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden.

I sammanställningar av personuppgifter får det inte tas in

sådana känsliga personuppgifter som avses i 7 § första stycket 2

eller uppgifter i övrigt om ömtåliga personliga förhållanden.

Undantag från första stycket gäller för

1. uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,

2. uppföljning, utvärdering och kvalitetssäkring,

3. tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,

4. administration som bedrivs av Statens institutionsstyrelse centralt, och

5. verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall.

Uppgift som avslöjar medlemskap i fackförening får aldrig tas in.

1. Denna lag träder i kraft den 1 maj 2018 i fråga om 1 och 3 §§ och i övrigt den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

3. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.6. Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 4 kap. 4 a § och 6 kap. 2, 3 och 7 §§ och rubriken närmast

före 6 kap. 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 6 kap. 7 a § av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

4 a §8

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i

personuppgiftslagen (1998:204) .

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och forskningsdatalagen (2018:xx).

8 Senaste lydelse 2008:358.

Skadestånd m.m. Skadestånd

6 kap.

2 §9

Huvudmannen för biobanken

skall ersätta en enskild provgivare

för den skada eller kränkning av den personliga integriteten som ett förfarande med vävnadsprover i strid med denna lag har orsakat honom eller henne.

Huvudmannen för biobanken

ska ersätta en enskild provgivare

för den skada eller kränkning av den personliga integriteten som ett förfarande med vävnadsprover i strid med denna lag har orsakat honom eller henne.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om huvudmannen för banken visar att felet inte berodde på honom eller henne.

Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

3 §10

Inspektionen för vård och omsorg utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Den myndighet som är tillsynsmyndighet enligt per-

sonuppgiftslagen (1998:204) ut-

övar dock tillsyn över den behandling som sker av personuppgifter.

Inspektionen för vård och omsorg utövar tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs. Den myndighet som är tillsynsmyndighet enligt lagen

(2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning utövar dock tillsyn

över den behandling som sker av personuppgifter.

Den som bedriver verksamhet som står under tillsyn är skyldig att på Inspektionen för vård och omsorgs begäran lämna ut handlingar, prover och annat material som rör verksamheten samt att

9 Ändringen innebär bl.a. att tredje stycket tas bort. 10 Senaste lydelse 2012:947.

lämna de upplysningar om verksamheten som inspektionen behöver för sin tillsyn.

Inspektionen för vård och omsorg får förelägga den som bedriver verksamheten att lämna ut vad som begärs. Ett beslut om föreläggande får förenas med vite.

7 §11

Beslut enligt 4 kap. 6 § första stycket får överklagas till Inspektionen för vård och omsorg. Inspektionens beslut enligt 4 kap. 6 § får inte överklagas.

Inspektionen för vård och omsorgs övriga beslut får överklagas till allmän förvaltningsdomstol.

En annan myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Beslut som Inspektionen för vård och omsorg eller allmän förvaltningsdomstol meddelar enligt denna lag gäller omedelbart, om inte annat anges i beslutet.

7 a §

Bestämmelser om överklagande av myndigheters beslut om sådan behandling av personuppgifter som avses i artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2016/679 finns i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.

11 Senaste lydelse 2012:947. Ändringen innebär att tredje stycket tas bort.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut om behandling av personuppgifter som har meddelats före ikraftträdandet.

3. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.7. Förslag till lag om ändring i lagen (2005:258) om läkemedelsförteckning

Härigenom föreskrivs i fråga om lagen (2005:258) om läkemedelsförteckning

dels att 8 och 13 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 8 och 13 §§ ska utgå,

dels att 2, 10 och 11 §§ och rubrikerna närmast före 2, 10 och

11 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, och närmast före

4 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållande till personuppgiftslagen

Förhållandet till annan dataskyddsreglering

2 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter för läkemedelsförteckningen, om inget annat följer av denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

En registrerad har inte, utom i de fall som avses i 3 § andra stycket, rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Behandling av känsliga personuppgifter

4 a §

Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Information som skall lämnas självmant

Information som ska lämnas självmant

10 §12

E-hälsomyndigheten ska se till att den registrerade får information om läkemedelsförteckningen. Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med förteckningen,

3. vilken typ av uppgifter som

ingår i förteckningen,

4. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för förteckningen,

5. rätten att ta del av uppgif-

ter enligt 11 §,

6. rätten till rättelse av oriktiga eller missvisande uppgifter,

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om

1. vilken typ av uppgifter som

ingår i förteckningen,

2. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för förteckningen,

3. rätten att ta del av uppgif-

ter enligt 11 §,

12 Senaste lydelse 2013:621 (jfr 2013:1023).

7. rätten till skadestånd vid

behandling av personuppgifter i strid med denna lag,

8. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

9. vad som gäller i fråga om bevarande och gallring, samt

10. att registreringen inte är

frivillig.

4. rätten till skadestånd vid

behandling av personuppgifter i strid med denna lag,

5. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, samt

6. att registreringen inte är

frivillig.

Information som skall lämnas efter ansökan

Information som ska lämnas efter ansökan

11 §

Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i 26 § personuppgifts-

lagen (1998:204).

Den registrerade har rätt att när som helst och så fort som möjligt få sådan information som avses i artikel 15 i Europa-

parlamentets och rådets förordning (EU) 2016/679.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.8. Förslag till lag om ändring i lagen (2006:351) om genetisk integritet m.m.

Härigenom föreskrivs i fråga om lagen (2006:351) om genetisk integritet m.m. att 1 kap. 4 § och rubriken närmast före 1 kap. 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till

personuppgiftslagen

Förhållandet till annan

dataskyddsreglering

1 kap.

4 §

Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av denna, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Denna lag träder i kraft den 25 maj 2018.

1.9. Förslag till lag om ändring i lagen (2006:496) om blodsäkerhet

Härigenom föreskrivs i fråga om lagen (2006:496) om blodsäkerhet

dels att 21 § ska upphöra att gälla,

dels att 5 § ska ha följande lydelse,

dels att rubriken närmast före 4 § ska lyda ”Förhållandet till be-

stämmelser i annan lagstiftning”.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till bestämmelser i annan lag

Förhållandet till bestämmelser i annan lagstiftning

5 §

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.10. Förslag till lag om ändring i lagen (2006:1570) om skydd mot internationella hot mot människors hälsa

Härigenom föreskrivs i fråga om lagen (2006:1570) om skydd mot internationella hot mot människors hälsa att 12 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §13

Om det bedöms nödvändigt för att skydda mot ett internationellt hot mot människors hälsa ska Folkhälsomyndigheten och andra berörda myndigheter, kommuner och landsting lämna uppgifter till Världshälsoorganisationen och till berörda utländska myndigheter även om de är sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av en enskilds personliga integritet genom behandling av personuppgifter finns i person-

uppgiftslagen (1998:204). Folk-

hälsomyndigheten och andra berörda myndigheter, kommuner och landsting får oavsett bestäm-

melserna i 33 § personuppgiftslagenöverföra personuppgifter till

Världshälsoorganisationen och

tredje land för att fullgöra sin

uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Bestämmelser om skydd mot kränkning av en enskilds personliga integritet genom behandling av personuppgifter finns i Europa-

parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning. Folkhälsomyn-

digheten och andra berörda myndigheter, kommuner och landsting får överföra personuppgifter till Världshälsoorganisationen och

tredjeland för att fullgöra sin

13 Senaste lydelse 2014:1550.

uppgiftsskyldighet enligt denna lag. Uppgifter som rör någons hälsa får behandlas helt eller delvis automatiserat, om det är nödvändigt för att en myndighet, en kommun eller ett landsting ska kunna fullgöra sin uppgiftsskyldighet enligt denna lag.

Denna lag träder i kraft den 25 maj 2018.

1.11. Förslag till lag om ändring i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

Härigenom föreskrivs i fråga om lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler

dels att 26 § ska upphöra att gälla,

dels att 8 § ska ha följande lydelse,

dels att rubriken närmast före 6 § ska lyda ”Förhållandet till be-

stämmelser i annan lagstiftning”.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till bestämmelser i annan lag

Förhållandet till bestämmelser i annan lagstiftning

8 §

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.12. Förslag till lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355)

dels att 8 kap. 3 § och 10 kap. 1 § ska upphöra att gälla,

dels att rubrikerna närmast före 8 kap. 3 §, 10 kap. 1 § och

10 kap. 2 § ska utgå,

dels att 1 kap. 1 och 4 §§, 2 kap. 5, 7 och 8 §§, 7 kap. 3, 8 och

10 §§, 8 kap. 6 och 7 §§, 10 kap. 2 § och rubrikerna närmast före 1 kap. 4 § och 8 kap. 7 § ska ha följande lydelse,

dels att rubriken till 10 kap. ska lyda ”Överklagande”,

dels att det ska införas två nya paragrafer, 1 kap. 5 § och 2 kap.

7 a § av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Vid behandling av per-

sonuppgifter inom rättspsykiatrisk vård enligt lagen (1991:1129) om rättspsykiatrisk vård tillämpas dock inte […]. I lagen finns också

bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Förhållandet till

personuppgiftslagen

Förhållandet till

annan dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller vid sådan behandling av

personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria

att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av

denna lag eller föreskrifter som meddelats med stöd av denna lag.

flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid

sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personuppgifter som avses i första stycket, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

5 §

Inom rättspsykiatrisk vård gäller, i stället för vad som anges i 1 kap. 4 §, brottsdatalagen (2018:xx) om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

2 kap.

5 §

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Att personuppgifter

som behandlas för ändamål som anges i 4 § även får behandlas för

andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

7 §

En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 §

personuppgiftslagen (1998:204)får

endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser

m.m. som avses i 21 § personuppgiftslagen .

En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser som innefattar brott,

domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) får endast

behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser.

7 a §

Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

8 §

Känsliga personuppgifter som

avses i13 § personuppgiftslagen

(1998:204) eller uppgifter om

lagöverträdelser m.m. som avses i 21 § samma lag får inte använ-

Sådana känsliga personupp-

gifter som avses i 7 a § eller så-

dana uppgifter om lagöverträ-

delser som avses i 7 § får inte användas som sökbegrepp. Inte

das som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om

1. hälsa, eller 1. hälsa, inklusive genetiska och

biometriska uppgifter och uppgifter om sexuell läggning, eller

2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

7 kap.

3 §

Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om

1. rätten att när som helst få

uppgifter om sig själv utplånade ur registret,

2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

8 §

Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra sådana känsliga personuppgifter som avses i 2 kap. 7 a § patientdatalagen får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Sådana uppgifter om lagöverträdelser som avses i 2 kap. 7 § får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana känsliga personuppgifter som avses i 2 kap. 7 a § endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

10 §

Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statis-

tiska eller vetenskapliga ändamål.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för historiska, statistiska

eller vetenskapliga ändamål.

Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för arkivändamål av all-

mänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

8 kap.

6 §

Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med behandlingen,

3. vilka kategorier av uppgifter som behandlas,

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om

4. den uppgiftsskyldighet som

kan följa av lag eller förordning,

5. de sekretess- och säkerhets-

bestämmelser som gäller för uppgifterna och behandlingen,

6. rätten enligt 4 kap. 4 § att i

vissa fall begära att uppgifter spärras,

7. rätten enligt 5 § att få infor-

mation om den direktåtkomst och elektroniska åtkomst som förekommit,

8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) ,

9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen ,

10. rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,

11. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

12. vad som gäller i fråga om bevarande och gallring, samt

13. huruvida personuppgiftsbehandlingen är frivillig eller inte.

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

2. de sekretess- och säkerhets-

bestämmelser som gäller för uppgifterna och behandlingen,

3. rätten enligt 4 kap. 4 § att i

vissa fall begära att uppgifter spärras,

4. rätten enligt 5 § att få infor-

mation om den direktåtkomst och elektroniska åtkomst som förekommit,

5. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, samt

6. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

Andra rättigheter

enligt denna lag

Andra rättigheter

för den enskilde

7 §

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

Ytterligare föreskrifter om rättigheter för den enskilde finns i Europaparlamentets och rådets förordning (EU) 2016/679.

10 kap.

Skadestånd och överklagande

Överklagande

2 §14

Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap.711 §§offentlighets- och sekretesslagen (2009:400).

Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 51–53 §§

personuppgiftslagen (1998:204).

Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande av myndigheters

beslut i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Övriga beslut enligt denna lag får inte överklagas.

14 Senaste lydelse 2012:954.

1. Denna lag träder i kraft den 1 maj 2018 i fråga om 1 kap. 1 och 5 §§ och rubriken närmast före 1 kap. 4 §, och i övrigt den 25 maj 2018.

2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

3. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.13. Förslag till lag om ändring i apoteksdatalagen (2009:367)

Härigenom föreskrivs i fråga om apoteksdatalagen (2009:367)

dels att 15 § ska upphöra att gälla,

dels att rubrikerna närmast före 2 och 15 §§ ska utgå,

dels att 5, 9 och 16 §§ och rubriken närmast före 5 § ska ha följande

lydelse,

dels att rubriken närmast före 3 § ska sättas närmast före 2 §,

dels att det ska införas en ny paragraf, 9 a §, och närmast före

9 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållande till personuppgiftslagen

Förhållandet till annan dataskyddsreglering

5 §

Personuppgiftslagen (1998:204) gäller för öppenvårdsapotekens behandling av personuppgifter, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

9 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Att personuppgifter som behandlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

Behandling av känsliga personuppgifter

9 a §

Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

16 §

Tillståndshavaren ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålen med behandlingen,

3. den uppgiftsskyldighet som

kan följa av lag eller förordning,

4. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för uppgifterna och behandlingen,

5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

2. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för uppgifterna och behandlingen,

3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap.

6. rätten enligt 15 § till rättelse av oriktiga eller missvisande uppgifter,

7. rätten enligt 15 § till skadestånd vid behandling av personuppgifter i strid med denna lag,

8. vad som gäller i fråga om

sökbegrepp,

9. vad som gäller i fråga om bevarande, samt

10. huruvida personuppgiftsbehandlingen är frivillig eller inte.

1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

4. vad som gäller i fråga om

sökbegrepp.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.14. Förslag till lag om ändring i lagen (2010:111) om införande av socialförsäkringsbalken

Härigenom föreskrivs i fråga om lagen (2010:111) om införande av socialförsäkringsbalken att 9 kap. 22 och 23 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

22 §

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna. Bestämmelserna i 114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.

Bestämmelserna i 114 kap. socialförsäkringsbalken tillämpas även i fråga om förmåner som avser tid före ikraftträdandet. Det som föreskrivs i 114 kap. 2 § balken om förmåner enligt denna ska då avse förmåner enligt de upphävda författningarna.

De upphävda bestämmelserna i

114 kap. 33 § balken om skadestånd på grund av behandling enligt det kapitlet eller föreskrifter som har meddelats i anslutning till det kapitlet ska även avse behandling enligt den upphävda lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration eller föreskrifter som har meddelats i anslutning till den lagen.

23 §

Bestämmelserna om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd grundas

De upphävda bestämmelserna

om skadestånd i 114 kap. 33 § socialförsäkringsbalken tillämpas endast om den omständighet som ett yrkande om skadestånd

på har inträffat efter utgången av november 2003. I annat fall tillämpas de dessförinnan gällande bestämmelserna.

grundas på har inträffat efter utgången av november 2003, men

före den 25 maj 2018. Har omständigheten inträffat före utgången av november 2003, tillämpas de gällande bestämmelserna.

Denna lag träder i kraft den 25 maj 2018.

1.15. Förslag till lag om ändring i alkohollagen (2010:1622)

Härigenom föreskrivs i fråga om alkohollagen (2010:1622) att 13 kap. 5 § ska upphöra att gälla.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.16. Förslag till lag om ändring i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

Härigenom föreskrivs i fråga om lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ

dels att 8 § ska upphöra att gälla,

dels att 4 § och rubriken närmast före 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till annan lag Förhållandet till annan

dataskyddsreglering

4 §

Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, gäller personuppgiftslagen (1998:204) vid behandling av personuppgifter.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) vid behandling av personuppgifter.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.17. Förslag till lag om ändring i lagen (2012:453) om register över nationella vaccinationsprogram

Härigenom föreskrivs i fråga om lagen (2012:453) om register över nationella vaccinationsprogram

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå,

dels att 3, 6 och 13 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §15

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Folkhälsomyndighetens verksamhet när det gäller nationella vaccinationsprogram, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

6 §

Personuppgifter får behandlas för

1. framställning av statistik,

2. uppföljning, utvärdering och kvalitetssäkring av nationella vaccinationsprogram, samt

3. forskning och epidemiologiska undersökningar.

15 Senaste lydelse 2013:637.

Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första

stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Att personuppgifter som

behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

13 §16

Folkhälsomyndigheten ska se till att den enskilde får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålen med behandlingen,

3. den uppgiftsskyldighet som

kan följa av lag eller förordning,

4. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för uppgifterna och behandlingen,

5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten enligt 12 § till rättelse av oriktiga eller missvisande uppgifter,

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

2. de tystnadsplikts- och säker-

hetsbestämmelser som gäller för uppgifterna och behandlingen,

3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag,

16 Senaste lydelse 2013:637.

7. rätten enligt 12 § till skadestånd vid behandling av personuppgifter i strid med denna lag,

8. vad som gäller i fråga om

sökbegrepp,

9. vad som gäller i fråga om bevarande, samt

10. att registreringen inte är

frivillig.

4. vad som gäller i fråga om

sökbegrepp, samt

5. att registreringen inte är

frivillig.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.18. Förslag till lag om ändring i lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

Härigenom föreskrivs i fråga om lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel

dels att 20 § ska upphöra att gälla,

dels att rubrikerna närmast före 3 och 20 §§ ska utgå,

dels att 4, 9 och 21 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 9 a §, och närmast före

4 och 9 a §§ nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till annan dataskyddsreglering

4 §

Personuppgiftslagen (1998:204) gäller för Läkemedelsverkets och E-hälsomyndighetens behandling av personuppgifter i verksamhet som rör ärenden om ansökan om licens för läkemedel, om inte annat följer av denna lag eller föreskrifter som meddelas i anslutning till denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

9 §

I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 8 § gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Att personuppgifter som behandlas för ändamål som anges i 8 § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

Behandling av känsliga personuppgifter

9 a §

Enligt artikel 9.3 i Europaparlamentets och rådets förordning (EU) 2016/679 får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i samma förordning (känsliga personuppgifter) endast behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

21 §

Den personuppgiftsansvarige ska se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålen med behandlingen,

3. den uppgiftsskyldighet som

kan följa av lag eller förordning,

4. de sekretess- och säkerhets-

bestämmelser som gäller för uppgifterna och behandlingen,

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna lag till den registrerade lämna information om

1. den uppgiftsskyldighet som

kan följa av lag eller förordning,

2. de sekretess- och säkerhets-

bestämmelser som gäller för uppgifterna och behandlingen,

5. rätten att ta del av uppgifterna enligt 26 § personuppgiftslagen (1998:204) ,

6. rätten enligt 20 § till rättelse av oriktiga eller missvisande uppgifter och till skadestånd vid behandling av personuppgifter i strid med denna lag,

7. vad som gäller i fråga om

sökbegränsningar, och

8. vad som gäller i fråga om gallring.

3. rätten enligt artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 och 8 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

4. vad som gäller i fråga om

sökbegränsningar.

1. Denna lag träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.19. Förslag till förordning om ändring i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter

Härigenom föreskrivs i fråga om förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter att 1 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §17

I denna förordning meddelas föreskrifter om att socialnämnderna skall lämna ut sådana personuppgifter som avses i person-

uppgiftslagen (1998:204) för sta-

tistiska ändamål.

I denna förordning meddelas föreskrifter om att socialnämnderna ska lämna ut sådana personuppgifter som avses i Europa-

parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

för statistiska ändamål.

Denna förordning träder i kraft den 25 maj 2018.

17 Senaste lydelse 2001:942.

1.20. Förslag till förordning om ändring i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten

dels att 4 § ska upphöra att gälla,

dels att 1, 2 och 12 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §18

Denna förordning reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och omsorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Denna förordning reglerar,

om inte annat anges i 1 a §, be-

handlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndigheter, privat verksamhet, Inspektionen för vård och omsorg och Socialstyrelsen enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

1 a §

Denna förordning gäller inte vid behandling av personuppgifter som utförs av behöriga myndigheter för syften som anges i 1 kap. 2 § brottsdatalagen (2018:xx).

18 Senaste lydelse 2013:183.

2 §19

Grundläggande bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (1998:204) .

Särskilda bestämmelser om behandling av personuppgifter inom socialtjänsten finns i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, i 12 kap. socialtjänstlagen (2001:453) och i lagen (1993:387) om stöd och service till vissa funktionshindrade.

12 §20

En kommunal myndighet får behandla personuppgifter för

1. handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen (2001:453) och 2 kap. 7 § lagen (2009:47) om vissa kommunala befogenheter,

2. faderskapsutredningar, utredning om vårdnad av barn, adoptionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken,

3. handläggning av ärenden och annan verksamhet som följer av bestämmelserna i lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall,

4. handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i lagen (1993:387) om stöd och service till vissa funktionshindrade,

5. handläggning av ärenden om tillstånd till parkering för rörelsehindrade,

6. handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,

7. handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

8. handläggning av ärenden och annan verksamhet inom socialtjänsten som utförs vid kommunal invandrarbyrå,

19 Senaste lydelse 2005:129. 20 Senaste lydelse 2010:42.

9. handläggning av ärenden som följer av bestämmelserna i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare och körkortsförordningen (1998:980), samt

10. tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen får en kommunal myndighet inte behandla andra känsliga personuppgifter än uppgifter som rör hälsa.

Vid handläggning av ärenden om tillstånd till parkering för rörelsehindrade och som följer av bestämmelserna i körkortsförordningen får en kommunal myndighet inte behandla andra

sådana känsliga personuppgifter som avses i 7 § första stycket 2 lagen (2001:454) om behandling av personuppgifter inom socialtjänsten än uppgifter som rör

hälsa.

Denna förordning träder i kraft den 1 maj 2018 i fråga om 1 och 1 a §§ och i övrigt den 25 maj 2018.

1.21. Förslag till förordning om ändring i förordningen (2001:707) om patientregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2001:707) om patientregister hos Socialstyrelsen att 7 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 §

Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av oriktiga eller missvisande uppgifter,

5. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller ifråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,

7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt

8. vad som gäller om bevarande och gallring av registret.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret, och

2. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.

Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

1.22. Förslag till förordning om ändring i förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen att 7 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 §

Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av oriktiga eller missvisande uppgifter,

5. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller ifråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,

7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt

8. vad som gäller om bevarande och gallring av registret.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret, och

2. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.

Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

1.23. Förslag till förordning om ändring i förordningen (2001:709) om cancerregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2001:709) om cancerregister hos Socialstyrelsen att 7 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 §

Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c) personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av oriktiga eller missvisande uppgifter,

5. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller ifråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,

7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt

8. vad som gäller om bevarande och gallring av registret.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret, och

2. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.

Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

1.24. Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration

Härigenom föreslås i fråga om förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration21

dels att 3 c § ska upphöra att gälla,

dels att 8 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

8 §22

Försäkringskassan får meddela föreskrifter i fråga om

1. formerna för tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen genom en särskild handling,

2. vilka uppgifter i socialförsäkringsdatabasen Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till och formerna för direktåtkomsten,

4. vilka uppgifter i socialförsäkringsdatabasen Statens tjänstepensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till,

5. vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation,

6. vilka uppgifter i socialförsäkringsdatabasen som får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse,

7. begränsningar av de sökbegrepp som får användas vid sökning i socialförsäkringsdatabasen,

8. fastställande av avgifter för utlämnade av uppgifter och handlingar från socialförsäkringsdatabasen, om inte utlämnandet är avgiftsfritt till följd av att det sker till en annan myndighet på grund av att det föreligger en sådan skyldighet i lag eller förordning, och

21 Senaste lydelse av 3 c § 2010:1723. 22 Senaste lydelse 2010:1723.

9. vilka särskilda åtgärder som Försäkringskassan och Pensionsmyndigheten ska vidta för att kontrollera efterlevnaden av bestämmelserna i 114 kap. socialförsäkringsbalken.

Om föreskrifterna enligt första stycket avser uppgifter som faller under Pensionsmyndighetens personuppgiftsansvar enligt 114 kap.

6 § andra stycket socialförsäk-

ringsbalken ska föreskrifterna beslutas i samråd med Pensionsmyndigheten.

Om föreskrifterna enligt första stycket avser uppgifter som faller under Pensionsmyndighetens personuppgiftsansvar enligt 114 kap.

6 a §socialförsäkringsbalken ska

föreskrifterna beslutas i samråd med Pensionsmyndigheten.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Bestämmelsen i 3 c § gäller fortfarande när kommunalt vårdnadsbidrag har lämnats enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.

1.25. Förslag till förordning om ändring i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen att 6 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §

Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av oriktiga eller missvisande uppgifter,

5. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,

7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen , samt

8. vad som gäller om bevarande och gallring av registret.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret, och

2. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.

Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

1.26. Förslag till förordning om ändring i förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården

Härigenom föreskrivs i fråga om förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården att 6 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §

Den information som Socialstyrelsen skall lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) skall omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av oriktiga eller missvisande uppgifter,

5. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,

7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204) , samt

8. vad som gäller om bevarande och gallring av registret.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret, och

2. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.

Socialstyrelsen skall på lämpligt sätt informera allmänheten om registret.

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

1.27. Förslag till förordning om ändring i förordningen (2006:196) om register över hälso- och sjukvårdspersonal

Härigenom föreskrivs i fråga om förordningen (2006:196) om register över hälso- och sjukvårdspersonal

dels att 9 § ska upphöra att gälla,

dels att rubriken närmast före 9 § ska utgå,

dels att 2 och 8 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse

2 §

Personuppgiftslagen (1998:204) gäller utöver denna förordning vid behandlingen av personuppgifter i registret.

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning.

8 §

Socialstyrelsen skall på lämpligt sätt informera den registrerade om registret. Informationen skall ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som

registret får innehålla samt ge

upplysning om

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. de sekretess- och säker-

hetsbestämmelser som gäller för registret,

2. rätten att få information och rättelse enligt personuppgiftslagen (1998:204) ,

1. vilken typ av uppgifter

som registret får innehålla,

2. de sekretess- och säker-

hetsbestämmelser som gäller för registret,

3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning,

4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, samt

5. om registreringen är frivillig eller inte.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.28. Förslag till förordning om ändring i förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen att 6 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §

Den information som Socialstyrelsen ska lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) ska omfatta

1. vilka kategorier av uppgifter som ingår i registret,

2. varifrån uppgifter hämtas in,

3. hur länge registret kommer att föras,

4. rätten till rättelse av oriktiga eller missvisande uppgifter,

5. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret,

6. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,

7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen , samt

8. vad som gäller om bevarande och gallring av registret.

Utöver vad som framgår av artikel 13.1, 13.2, 13.3, 14.1, 14.2 och 14.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska den personuppgiftsansvarige enligt denna förordning till den registrerade lämna information om

1. innebörden och omfatt-

ningen av det sekretess- och säkerhetsskydd som gäller för registret, samt

2. vad som gäller i fråga om

sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling.

Socialstyrelsen ska på lämpligt sätt informera allmänheten om registret.

Denna förordning träder i kraft den 25 maj 2018.

1.29. Förslag till förordning om ändring i förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag

Härigenom föreskrivs i fråga om förordningen (2009:1422) om behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag

dels att 7 § ska upphöra att gälla,

dels att rubriken närmast före 7 § ska utgå,

dels att 1, 3, 4 och 5 §§ och rubriken närmast före 3 § ska ha

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över vårdnadsbidrag enligt lagen (2008:307) om kommunalt vårdnadsbidrag.

Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter i Statistiska centralbyråns verksamhet med framställning av statistik över vårdnadsbidrag enligt den

upphävda lagen (2008:307) om

kommunalt vårdnadsbidrag.

Förhållandet till lagen om

den officiella statistiken och personuppgiftslagen

Förhållandet till annan

lagstiftning

3 §

Bestämmelserna i 14 , 15 och 19 §§ lagen ( 2001:99 ) om den officiella statistiken gäller när Statistiska centralbyrån behandlar personuppgifter för att framställa statistik över kommunalt vårdnadsbidrag. Om inte annat följer

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp-

av angivna bestämmelser eller denna förordning gäller personuppgiftslagen (1998:204) vid Statistiska centralbyråns behandling av personuppgifterna.

gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Bestämmelserna i 14 , 15 och 19 §§ lagen ( 2001:99 ) om den officiella statistiken gäller när Statistiska centralbyrån behandlar personuppgifter för att framställa statistik över kommunalt vårdnadsbidrag.

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av angivna bestämmelser eller denna förordning.

4 §

Behandling av personuppgifter får ske inom ramen för ett uppdrag från regeringen som gäller framställning av statistik över det kommunala vårdnadsbidraget.

Personuppgifter som behandlas för det ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Att personuppgifter som behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

5 §

Utöver vad som följer av 14 § lagen (2001:99) om den officiella statistiken får Statistiska centralbyrån behandla sådana personuppgifter som anges i 2 § förordningen (2009:1421) om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag.

Utöver vad som följer av 14 § lagen (2001:99) om den officiella statistiken får Statistiska centralbyrån behandla sådana personuppgifter som anges i den

upphävda 2 § förordningen

(2009:1421) om skyldighet för kommuner att lämna statistiska uppgifter om kommunalt vårdnadsbidrag.

Endast sådana uppgifter får behandlas som behövs för de ändamål som anges i 4 §.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.30. Förslag till förordning om ändring i förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län

Härigenom föreskrivs i fråga om förordningen (2011:116) om register hos Socialstyrelsen över läkemedel som lämnats ut från apotek i Jämtlands län

dels att 6 § ska upphöra att gälla,

dels att rubriken närmast före 6 § ska utgå.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.31. Förslag till förordning om ändring i förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

Härigenom föreskrivs i fråga om förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

dels att 9 § ska upphöra att gälla,

dels att rubriken närmast före 9 § ska utgå,

dels att 3 och 4 §§ och rubriken närmast före 3 § ska ha följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

Förhållandet till

personuppgiftslagen

Förhållandet till

annan dataskyddsreglering

3 §

Om inte annat följer av denna förordning, gäller personuppgiftslagen (1998:204) vid Tandvårds- och läkemedelsförmånsverkets behandling av personuppgifter.

Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning.

4 §

Tandvårds- och läkemedelsförmånsverket får behandla personuppgifter om det behövs för att:

1. fatta beslut om utformningen av det statliga tandvårdsstödet i fråga om ersättningsberättigande tandvårdsåtgärder, referenspriser för de ersättningsberättigande åtgärderna samt beloppsgränser och ersättningsgrader inom skyddet mot höga kostnader, och

2. genomföra uppföljning av utvecklingen på tandvårdsområdet. Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas för de ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Att personuppgifter som behandlas för ändamål som anges i första stycket även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Äldre föreskrifter om skadestånd gäller fortfarande om den omständighet som yrkandet hänför sig till har inträffat före ikraftträdandet.

1.32. Förslag till förordning om ändring i förordningen (2013:413) om kosmetiska produkter

Härigenom föreskrivs i fråga om förordningen (2013:413) om kosmetiska produkter att 1 och 5 §§ och rubriken närmast före 5 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Denna förordning är meddelad

1. med stöd av 14 kap. 19 § 1 miljöbalken i fråga om 4 och 6 §§,

2. med stöd av 20 § person-

uppgiftslagen (1998:204) i fråga

om 5 §,

2. med stöd av 3 kap. 8 § lagen

(2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning i fråga om 5 §,

3. med stöd av 8 kap. 7 § regeringsformen i fråga om 8 §,

4. med stöd av 26 kap. 6 § miljöbalken i fråga om 13 och 15 §§,

5. i övrigt med stöd av 14 kap. 8 § miljöbalken.

Undantag från personuppgiftslagen

Behandling av personuppgifter

5 §

Läkemedelsverket får trots

13 § andra stycket personuppgiftslagen (1998:204) utföra de be-

handlingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i förordning (EG) nr 1223/2009 samt i övrigt utföra de behandlingar av personuppgifter som rör hälsa i den omfattning behandlingen omfattas av Läkemedelsverkets tillsynsverksamhet.

Läkemedelsverket får utföra de behandlingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i förordning (EG) nr 1223/2009 samt i övrigt utföra de behandlingar av personuppgifter som rör hälsa i den omfattning behandlingen omfattas av Läkemedelsverkets tillsynsverksamhet.

Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som Läkemedelsverket utför för att fullgöra sådana uppgifter som avses i första stycket.

Denna förordning träder i kraft den 25 maj 2018.

1.33. Förslag till förordning om ändring i läkemedelsförordningen (2015:458)

Härigenom föreskrivs i fråga om läkemedelsförordningen (2015:458) att 3 kap. 13 § och rubriken närmast före 3 kap. 13 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Undantag från personuppgiftslagen

Behandling av personuppgifter

3 kap.

13 §

Läkemedelsverket och innehavare av ett godkännande eller en registrering för försäljning får trots bestämmelserna i 13 §

andra stycket personuppgiftslagen (1998:204)utföra de behand-

lingar av personuppgifter som rör hälsa och som är nödvändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen (2015:315) eller i denna förordning.

Läkemedelsverket och innehavare av ett godkännande eller en registrering för försäljning får utföra de behandlingar av personuppgifter som rör hälsa,

inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, och som är nöd-

vändiga för att fullgöra de skyldigheter som föreskrivs i läkemedelslagen (2015:315) eller i denna förordning.

Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som verket utför för att fullgöra en sådan skyldighet som avses i första stycket.

Personuppgifter som behandlas av annan än Läkemedelsverket med stöd av första stycket får inte behandlas för några andra ändamål än arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Vad som nu sagts hindrar inte att personuppgifterna behandlas med stöd av ett uttryckligt samtycke från den registrerade.

Läkemedelsverket är personuppgiftsansvarigt för behandling av personuppgifter som verket utför för att fullgöra en sådan skyldighet som avses i första stycket.

Denna förordning träder i kraft den 25 maj 2018.

1.34. Förslag till förordning om upphävande av förordningen (1994:565) om vårdnadsbidragsregister

Härigenom föreskrivs att förordningen (1994:565) om vårdnadsbidragsregister ska upphöra att gälla den 25 maj 2018.

1.35. Förslag till förordning om upphävande av förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister

Härigenom föreskrivs att förordningen (1998:156) med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister ska upphöra att gälla den 25 maj 2018.

2. Utredningsarbetet och betänkandet

2.1. Utredningsarbetet

Utredningens utredningsdirektiv (dir. 2016:52) finns intagna som bilaga till detta betänkande.

Utredningen har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Sammanlagt har tre utredningssammanträden hållits. Därutöver har särskilda sammanträden hållits med bl.a. de experter som företräder myndigheter som i dag inte tillämpar en registerförfattning.

Utredningen har vidare gett myndigheter och andra intressenter som på olika sätt påverkas av de många författningar som omfattas av utredningens uppdrag tillfälle att lämna synpunkter. Syftet har varit att säkerställa att förutsättningarna för en ändamålsenlig behandling av personuppgifter inte försämras, om det går att undvika, och även i övrigt få de berörda aktörernas syn på de författningsändringar som utredningen föreslår.

Utredningen har haft kontakter med ett stort antal andra utredningar som har haft i uppdrag att på olika sätt anpassa svensk rätt till den nya EU-regleringen. Detta har i huvudsak skett genom regelbundna möten i den samordningsgrupp som bildats i syfte att försöka skapa enhetlighet när det gäller bl.a. tolkning av bestämmelserna i dataskyddsförordningen. I samordningsgruppen har även representanter för det arbete som bedrivs inom Regeringskansliet med att anpassa författningar till den nya EU-regleringen deltagit. Utredningen har i samordningsgruppen delat med sig av sina texter avseende generella överväganden.

Utöver möten i samordningsgruppen har utredningen haft samråd eller andra kontakter med företrädare för Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06), Forskningsdatautred-

ningen (U 2016:04), Utbildningsdatautredningen (U 2016:03), Utredningen om regleringen av biobanker (S 2016:04) och Totalförsvarsdatautredningen (Fö 2016:01).

2.2. Betänkandets disposition

Betänkandet är indelat i fyra delar, förutom detta kapitel och författningsförslagen samt sammanfattningen.

Den första delen, som omfattar kapitel 3–5, innehåller en allmän bakgrund. Kapitel 3 innehåller en kort beskrivning av gällande rätt. I kapitel 4 beskrivs innehållet i dataskyddsförordningen översiktligt. Kapitel 5 innehåller en kort beskrivning av annat pågående lagstiftningsarbete som har samband med utredningens uppdrag.

I betänkandets andra del, kapitel 6–9, har de generella överväganden som utredningen gjort samlats. I kapitel 6 redovisas några allmänna utgångspunkter för utredningens arbete. I kapitel 7 finns det en redogörelse för de generella konsekvenserna av att personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. I kapitel 8 redogör utredningen för sina slutsatser kring behovet av reglering för de myndigheter och verksamheter inom Socialdepartementets verksamhetsområde som i dag inte har en registerförfattning. Kapitel 9 innehåller de generella bedömningar som utredningen gjort när det gäller befintlig lagstiftning. Övervägandena i det kapitlet har sedan använts som en utgångspunkt vid översynen av de berörda författningarna.

Den tredje delen av betänkandet, som omfattar kapitel 10–14, består av de särskilda överväganden som utredningen har gjort beträffande de författningar som har ingått i översynen. Behovet av anpassning analyseras i separata avsnitt för varje författning. Dessa avsnitt är disponerade på det sättet att samtliga bestämmelser om behandling av personuppgifter i registerförfattningen gås igenom i huvudsak i den ordning de förekommer i respektive författning. Kapitel 10 innehåller överväganden kring de författningar som reglerar behandling av personuppgifter inom en hel verksamhet. I kapitel 11 återfinns övervägandena om författningar som reglerar ett visst register eller en viss informationssamling. Kapitel 12 innehåller bedömningar avseende författningar som inte enbart reglerar behandling av personuppgifter. Författningar som innehåller upp-

giftsskyldigheter berörs i kapitel 13. I kapitel 14 redogörs för författningar som utredningen bedömt inte behöver finnas kvar. Kapitelindelningen i denna del är gjord av pedagogiska skäl och respektive författning har placerats i det kapitel den bedömts höra bäst hemma.

Slutligen finns i betänkandets fjärde del, kapitel 15–17, de avslutande kapitlen. I kapitel 15 berörs ikraftträdande och övergångsbestämmelser. Kapitel 16 innehåller en beskrivning av konsekvenserna av utredningens förslag. En författningskommentar som innehåller hänvisningar till de avsnitt där respektive författningsförslag kommenteras finns i kapitel 17.

Som bilagor till betänkandet har fogats utredningens huvuddirektiv (dir. 2016:52) och dataskyddsförordningen.

BAKGRUND

3. Kort om gällande rätt

3.1. Europarådet

3.1.1. Europakonventionen

Artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonven-

tionen) avser rätt till skydd för privat- och familjeliv. Artikeln lyder

enligt följande:

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Artikel 8 är tillämplig på behandling av personuppgifter men omfattar inte all slags behandling av personuppgifter – frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.

3.1.2. Dataskyddskonventionen

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EU-medlemskapet. Även övriga medlemsstater i EU är anslutna till

dataskyddskonventionen. Dess syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Tillämpningsområdet är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3).

Dataskyddskonventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Konventionsstaterna ska vidta nödvändiga åtgärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4). Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt sätt bara när det är lagligt och för särskilt angivna ändamål, att personuppgifterna ska vara relevanta med hänsyn till ändamålet och att personuppgifter ska vara riktiga och uppdaterade vid behov (artikel 5). Uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott får inte behandlas automatiserat, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).

De grundläggande principerna ger ett minimiskydd och bestämmelserna i kapitel II hindrar inte att personuppgifter ges ett mer omfattande skydd än det som föreskrivs i dataskyddskonventionen (artikel 11). En konventionsstat får dock, enligt artikel 12 i kapitel II, inte hindra gränsöverskridande överföring av personuppgifter till en annan konventionsstat bara av skäl som rör integritetsskydd. Avvikelser kan göras även från minimiskyddet enligt dataskyddskonventionen under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter (artikel 9).

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

Dataskyddskonventionen är för närvarande föremål för en översyn.

3.1.3. Rekommendation om skyddet av hälsouppgifter

I anslutning till konventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommendationen ersatte en tidigare rekommendation avseende medicinska databanker, som hade antagits 1981. Den nya tekniken föranledde nya ställningstaganden.

Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Verksamhet utanför hälso- och sjukvårdssektorn, som omfattas av lämpliga skyddsåtgärder i nationell rätt, omfattas dock inte av rekommendationen. (Princip 2)

Här följer en översiktlig redogörelse för innehållet i rekommendationen.

Hälsouppgifter får som huvudregel behandlas endast av sjukvårdspersonal med tystnadsplikt och i övrigt i enlighet med lämpliga säkerhetsåtgärder som ska framgå av nationell rätt. (Princip 3)

Hälsouppgifter ska som huvudregel samlas in från den registrerade och får behandlas enbart för vissa i rekommendationen angivna ändamål. Det ska också finnas stöd för behandlingen i lagstiftning. Ändamålen i rekommendationen avser dels allmänna intressen – folkhälsa, förhindrande av stor fara eller viss brottslighet samt andra allmänna intressen – och dels enskilda intressen. Hälsouppgifter får behandlas för förebyggande hälso- och sjukvård, diagnosticering och behandling av den registrerade eller anhörig med genetisk anknytning, för att skydda den registrerades eller tredje persons grundläggande intressen, för att uppfylla en kontraktuell skyldighet, för att fastställa, göra gällande eller försvara rättsliga anspråk eller med stöd av samtycke utom då nationell rätt föreskriver att samtycke inte kan lämnas. (Princip 4.1–3)

Ett samtycke till behandling av hälsouppgifter ska vara frivilligt, uttryckt och informerat (princip 6).

För genetiska uppgifter anges särskilt att om de samlats in för förebyggande hälso- och sjukvård, diagnosticering eller behandling av den registrerade eller för forskning, ska uppgifterna behandlas endast för dessa ändamål. Det kan dock finnas överordnade intressen som motiverar att genetiska uppgifter används även för andra ändamål; detta under förutsättning att lämpliga säkerhetsåtgärder föreskrivs i lagstiftning. Exempelvis kan genetiska uppgifter behandlas för forskningsändamål och för att fastställa släktskap inom brottsbekämpande verksamhet. (Princip 4.7–9)

Hälsouppgifter får under vissa förutsättningar lämnas ut för ungefär samma ändamål som de uppgifterna ursprungligen fick samlas in för. Utlämnande får ske endast till den som omfattas av sådan tystnadsplikt som gäller sjukvårdspersonal, eller motsvarande tystnadsplikt. Utlämnandet ska också ske med stöd i lagstiftning och utgöra en nödvändig åtgärd i ett demokratiskt samhälle. I vissa fall har den registrerade möjlighet att invända mot utlämnandet. (Princip 7)

Den registrerade ska få information om vilka hälsouppgifter som behandlas om honom eller henne, för vilka ändamål de behandlas, varifrån hälsouppgifterna samlats in, till vilka hälsouppgifterna kan komma att lämnas ut, möjligheten att ta tillbaka ett samtycke, vem som är ansvarig för hälsouppgifterna och möjligheten att ta del av och begära rättelse av hälsouppgifterna. Informationsskyldigheten begränsas dock av vissa angivna undantag. (Princip 5)

Den registrerade ska ha möjlighet att ta del av vilka hälsouppgifter som behandlas om honom eller henne. Begränsningar i rätten att få del av hälsouppgifterna kan göras i lagstiftning om det exempelvis är nödvändigt av skäl som berör allmän säkerhet, om den registrerade eller en anhörig med genetisk anknytning skulle åsamkas allvarlig skada genom att hälsouppgifterna lämnas ut, eller om uppgifterna endast behandlas för statistiska eller forskningsrelaterade skäl och det inte finns någon risk för integritetsintrång. (Princip 8.1 och 2)

Oväntade resultat till följd av en genetisk analys ska meddelas den registrerade om nationell rätt inte förbjuder det, om den registrerade själv frågat efter resultatet och informationen inte riskerar att skada den registrerade eller annan (princip 8.4).

Den registrerade ska också ha möjlighet att begära rättelse av felaktiga hälsouppgifter och, om begäran av rättelse avslås, kunna överklaga beslutet om avslag (princip 8.3).

Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse, oavsiktlig förlust samt otillåten tillgång, ändring, utlämnande eller i övrigt otillåten behandling (princip 9). Hälsouppgifter får inte bevaras längre än vad som är nödvändigt för det ändamål för vilket uppgifterna samlats in (princip 10).

Principerna i rekommendationen gäller även överföring av hälsouppgifter till andra länder. Överföring till länder som inte tillhandahåller sådant skydd som dataskyddskonventionen och de aktuella rekommendationerna föreskriver, ska i regel inte förekomma. Överföring kan trots det ske om den registrerade har lämnat samtycke eller det framgår av nationell rätt att överföring ska ske och tillräckliga åtgärder har vidtagits för att tillförsäkra uppgifterna skydd. (Princip 11)

Hälsouppgifter som används för forskningsändamål ska, när det är möjligt, vara anonymiserade. Om anonymisering inte är möjlig, får hälsouppgifter behandlas om samtycke har lämnats, om stöd finns i nationell rätt, eller om användningen av hälsouppgifter i ett avgränsat forskningsprojekt med ett allmänt intresse har tillåtits av en i nationell rätt särskilt utsedd funktion. Det förutsätter dock bl.a. att den registrerade inte uttryckligen motsatt sig behandlingen och att intresset av forskningsprojektet motiverar behandlingen. (Princip 12)

3.1.4. Rekommendation om skyddet av personuppgifter som behandlas för ändamål rörande social trygghet

Europarådets ministerkommitté har också antagit en rekommendation som avser personuppgifter som behandlas inom ramen för de sociala trygghetssystemen, Recommendation No. R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes. Rekommendationen antogs 1986 i syfte att ge principer och riktlinjer för behandling av personuppgifter för ändamål rörande social trygghet.

Rekommendationen är tillämplig på behandling av personuppgifter för ”social security purposes” (ändamål hänförliga till social

trygghet). Av definitionen av uttrycket ”social security purposes” framgår att det avser alla de arbetsuppgifter som utförs inom de sociala trygghetssystemen avseende följande förmåner: förmåner vid sjukdom och havandeskap, invaliditetsförmåner, åldersförmåner, efterlevandeförmåner, förmåner vid arbetsskada, förmåner vid dödsfall, arbetslöshetsförmåner och familjeförmåner (princip 1.2).

Här följer en översiktlig redogörelse för innehållet i rekommendationen.

Insamling och lagring av personuppgifter ska begränsas till vad som är nödvändigt för att arbetsuppgifter inom de sociala trygghetssystemen ska kunna utföras. Är personuppgifterna av känslig natur, får de samlas in om det finns stöd i nationell rätt. Personuppgifter som rör ras, politiska åsikter eller religiösa eller andra övertygelser får behandlas enbart om det är absolut nödvändigt för administrationen av en viss förmån. (Princip 3.1)

Personuppgifter ska som huvudregel samlas in från den registrerade men kan även samlas in från andra om det finns stöd för det i nationell rätt. Personuppgifter av känslig natur får samlas in från andra källor än den registrerade endast med stöd av samtycke eller i enlighet med lämpliga säkerhetsåtgärder som ska framgå av nationell rätt. (Princip 3.2 och 3)

Personuppgifter som samlats in för ett visst ändamål får behandlas även för andra ändamål hänförliga till social trygghet (princip 4.1). Utbyte av personuppgifter mellan olika organ inom det sociala trygghetssystemet får ske i den mån det behövs för att arbetsuppgifter ska kunna utföras (princip 4.2). Överföring av personuppgifter över nationsgränser och mellan olika organ inom det sociala trygghetssystemet får också ske om det är nödvändigt för att arbetsuppgifter ska kunna utföras i enlighet med internationella rättsakter (princip 8.1). Till andra organ får uppgifter lämnas ut enbart för ändamål som avser social trygghet eller med stöd av den registrerades samtycke (princip 4.3).

Användningen av nationella identifikationsnummer (personnummer eller liknande) ska omgärdas av lämpliga säkerhetsåtgärder fastställda i nationell rätt (princip 5.1). Lämpliga tekniska och organisatoriska åtgärder ska vidtas även i övrigt för att personuppgifter ska tillförsäkras säkerhet och sekretess (princip 7.1).

Om inte annat framgår av nationell rätt rörande hälsouppgifter eller personuppgifter inom forskning och statistik, får rätten till

insyn och möjligheten att begära rättelse inte begränsas förutom om det är nödvändigt för att förhindra bedrägeri eller utnyttjande av det sociala trygghetssystemet eller för skyddet av enskildas fri- och rättigheter. (Princip 6.1)

Personuppgifter får inte lagras under längre tid än vad som är motiverat för ändamålet eller vad som är behövligt med hänsyn till den registrerades intresse. Personuppgifter som endast ska användas för forskning eller statistik ska, om det är möjligt, anonymiseras. Om det inte är möjligt att använda sig av anonymisering, ska andra lämpliga säkerhetsåtgärder vidtas. (Princip 9)

3.2. Dataskyddsdirektivet

3.2.1. Inledning

Den allmänna regleringen om behandling av personuppgifter inom EU finns för närvarande i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. Medlemsstaterna bestämmer dock själva på vilket sätt dataskyddsdirektivet ska införlivas i den nationella lagstiftningen och de får, inom den ram som anges i dataskyddsdirektivet, närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får inte hindra det fria flödet av personuppgifter inom unionen.

Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i praktiken övertagits av dataskyddsdirektivet. EU-domstolen1 har emellertid ansett att artikel 8 i Europakonventionen har betydelse

1 Här och i det följande används namnet EU-domstolen genomgående även när den domstolen meddelat det aktuella avgörandet under namnet EG-domstolen.

vid sidan av dataskyddsdirektivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.2

Dessutom finns en grundläggande bestämmelse om dataskydd i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), rättighetsstadgan. I artikeln anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

3.2.2. Tillämpningsområde

Dataskyddsdirektivet omfattar helt eller delvis automatiserad behandling av personuppgifter. Även manuell behandling av personuppgifter omfattas, om personuppgifterna ingår i eller kommer att ingå i ett register. Däremot omfattas inte behandling av personuppgifter på områden som faller utanför EU-rätten, t.ex. allmän säkerhet, försvar, medlemsstaternas säkerhet och medlemsstaternas verksamhet på straffrättens område. Dataskyddsdirektivet gäller inte heller för sådan behandling av personuppgifter som en fysisk person bedriver som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. (Artikel 3)

3.2.3. Grundläggande krav och principer

Dataskyddsdirektivet innehåller en rad grundläggande krav på behandlingen av personuppgifter. Det åligger den registeransvarige (i dataskyddsdirektivet används begreppet registeransvarig, som i sak motsvarar begreppet personuppgiftsansvarig) att säkerställa att kraven efterlevs (artikel 6.2). All behandling av personuppgifter måste vara laglig och korrekt. Personuppgifter får bara samlas in

2 EU-domstolens dom av den 20 maj 2003, Rechnungshof (C-465/00) mot Österreichischer Rundfunk m.fl. och Christa Neukomm (C-138/01) och Joseph Lauermann (C-139/01) mot Österreichischer Rundfunk, EU:C:2003:294.

för särskilda, uttryckligt angivna och berättigade ändamål och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål (finalitetsprincipen). Personuppgifterna måste vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till ändamålet. Vidare ska personuppgifterna vara riktiga och aktuella och alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter vid behov utplånas eller rättas. Förvaring av personuppgifter ska ske på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt med hänsyn till ändamålet. (Artikel 6)

Personuppgifter får enligt dataskyddsdirektivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att skydda intressen som är av grundläggande betydelse för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas (intresseavvägning). (Artikel 7)

3.2.4. Känsliga personuppgifter

Vissa särskilda, i dataskyddsdirektivet angivna kategorier av uppgifter, får som huvudregel inte behandlas. Det gäller sådana uppgifter som avslöjar den registrerades ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (artikel 8.1). Det finns dock undantag från denna huvudregel. Behandling av sådana personuppgifter får t.ex. ske om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, om behandlingen är nödvändig för att fullgöra skyldigheter och rättigheter inom arbetsrätten eller om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ideella verksamheter med politiskt, filosofiskt,

religiöst eller fackligt syfte kan behandla känsliga personuppgifter om sina medlemmar och personuppgifter kan också behandlas om uppgifterna på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. (Artikel 8.2) Inom hälso- och sjukvården kan känsliga personuppgifter behandlas om det är nödvändigt med hänsyn till vård, behandling, medicinska diagnoser eller administration eller när dessa uppgifter behandlas av någon som omfattas av krav på tystnadsplikt (artikel 8.3).

Medlemsstaterna kan i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag av hänsyn till ett viktigt allmänt intresse (artikel 8.4).

Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning (artikel 8.5).

3.2.5. Rättigheter och skyldigheter

Enligt dataskyddsdirektivet ska den registeransvarige informera den registrerade när personuppgifter är föremål för behandling. Den registrerade ska också få en beskrivning av ändamålet med behandlingen samt få annan information som behövs för att den registrerade ska kunna tillvarata sina rättigheter. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. (Artikel 10 och 11)

Den registrerade har även rätt att på begäran få information om huruvida uppgifter som rör honom eller henne behandlas eller inte och information om ändamål, uppgiftskategorier och eventuella mottagare av personuppgifterna (artikel 12 a).

Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med dataskyddsdirektivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behöver dock inte ske i de fall där en underrättelse

visar sig vara omöjlig eller förenad med en oproportionerligt stor ansträngning. (Artikel 12 b)

Medlemsstaterna får föreskriva begränsningar i fråga om bl.a. informationsskyldigheten och rätten att på begäran få tillgång till personuppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. allmän säkerhet, åtgärder mot brott eller överträdelser av etiska regler, viktiga ekonomiska eller finansiella intressen (inklusive monetära frågor, budgetfrågor och skattefrågor), en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning i fall som nämnts ovan och skyddet av den registrerades eller andras fri- och rättigheter. (Artikel 13)

Den registrerade ska enligt dataskyddsdirektivet ha rätt att när som helst, av skäl som rör hans personliga situation, motsätta sig sådan behandling av sina personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Detta gäller dock endast om nationell lagstiftning inte föreskriver något annat. Den registeransvarige får inte längre behandla uppgifterna om den registrerades invändning är berättigad. (Artikel 14 a)

Den registrerade ska också ha rätt att slippa bli föremål för ett beslut som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma den registrerades personliga egenskaper. Denna rättighet gäller dock inte om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal eller om beslutet tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. (Artikel 15)

Till skydd för den registrerade innehåller dataskyddsdirektivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning (artikel 17).

3.2.6. Tillsynsmyndighet och anmälningsplikt

Enligt dataskyddsdirektivet ska varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av dataskyddsdirektivet. Ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten vid behandling av personuppgifter är tänkt att ge tillsynsmyndigheten och allmänheten insyn i behandlingarna. Undantag från anmälningsplikten får dock föreskrivas under vissa förutsättningar. Bland annat krävs ingen anmälan om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud (personuppgiftsombud) som ser till att behandlingen av personuppgifter är lagenlig och dessutom upprättar ett register över de behandlingar som utförs av den registeransvarige. (Artikel 18–21)

3.2.7. När uppgifter behandlas i strid med lagstiftningen

Om personuppgifter inte behandlas i enlighet med den nationella lagstiftning som införs till följd av dataskyddsdirektivet, ska det enligt dataskyddsdirektivet finnas möjlighet att föra talan inför domstol. Det ska också finnas möjlighet att få ersättning av den registeransvarige för eventuell skada som uppstått till följd av en otillåten behandling. Medlemsstaterna ska besluta om sanktioner som ska användas vid överträdelse av dataskyddsbestämmelser. (Artikel 22–24)

3.2.8. Överföring till tredjeland

Dataskyddsdirektivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredjeland), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte

erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. (Artikel 25 och 26)

3.3. Personuppgiftslagen

3.3.1. Tillämpningsområdet

I Sverige har dataskyddsdirektivet genomförts genom personuppgiftslagen (1998:204) och ett antal andra författningar som kompletterar personuppgiftslagen eller innehåller särreglering i förhållande till personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 oktober 1998 och ersatte den tidigare gällande datalagen (1973:289).

Personuppgiftslagen är till skillnad från datalagen teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begränsas till dataregister. All automatiserad behandling av personuppgifter omfattas av personuppgiftslagen, inklusive behandling av sådana personuppgifter som framgår av bild eller ljud. En personuppgift är enligt 3 § all slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet.

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks i samband med att deras personuppgifter behandlas (1 §). Tillämpningsområdet har dock begränsats genom en rad bestämmelser. Personuppgiftslagen är för det första subsidiär i förhållande till annan lagstiftning (2 §), vilket innebär att om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, ska de andra bestämmelserna gälla. Personuppgiftslagen omfattar inte heller sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga

om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket).

Personuppgiftslagen innehåller generella regler och omfattar såväl myndigheter som enskilda. Även verksamheter som faller utanför unionsrättens område omfattas. Det förutsattes vid lagens tillkomst att behov av undantag och preciseringar för speciella områden skulle tillgodoses genom särskild lagstiftning.3

3.3.2. Hanteringsregler

Personuppgiftslagen ställer inte något krav på tillstånd för inrättande och förande av personregister eller annan behandling av personuppgifter. I stället innehåller lagen en rad hanteringsregler för behandling av personuppgifter. Regleringen omfattar all användning av personuppgifter oavsett syfte, omfattning och art och oavsett om hanteringen kan betecknas som harmlös eller känslig från integritetssynpunkt. Paragraferna beskriver hur personuppgifter ska hanteras från det att de samlas in till dess att de utplånas.

Hanteringsreglerna omfattar bl.a. vissa grundläggande krav på behandlingen av personuppgifter, förutsättningar för när behandling över huvud taget är tillåten, förutsättningar för att få behandla känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer samt krav på information till den registrerade.

De grundläggande kraven gäller för all strukturerad behandling av personuppgifter (9 §). Personuppgifter ska behandlas på ett korrekt sätt, i enlighet med god sed och bara om det är lagligt. Insamling av personuppgifter får ske enbart för särskilda, uttryckligt angivna och berättigade ändamål och de insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). Personuppgifter ska vara adekvata och relevanta i förhållande till ändamålet och behandlingen får inte avse fler personuppgifter än

3Prop. 1997/98:44 s. 40 f.

vad som är nödvändigt. Uppgifterna ska också vara riktiga och, om det är nödvändigt, aktuella.

I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Personuppgifter får behandlas med samtycke eller om behandlingen är nödvändig för något av ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller för att åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten med stöd av en intresseavvägning.

Känsliga personuppgifter får som huvudregel inte behandlas (13 §). Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Vissa undantag görs från förbudet – när den enskilde uttryckligen samtyckt till behandlingen, om behandlingen är nödvändig bl.a. för att skydda vitala intressen hos den registrerade eller någon annan och den registrerade inte kan lämna sitt samtycke, inom hälso- och sjukvården samt för forsknings- och statistikändamål (15–19 §§). Enligt personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer medge ytterligare undantag från förbudet att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Enligt 8 § personuppgiftsförordningen (1998:1191) får myndigheter, utöver vad som anges i 1519 §§personuppgiftslagen, behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan-

den (21 §). Uppgifter om personnummer och samordningsnummer får behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (22 §).

I personuppgiftslagen finns det bestämmelser som innebär en skyldighet för den personuppgiftsansvarige att självmant lämna viss information om behandlingen av personuppgifter till den registrerade. Informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Det finns vissa undantag från bestämmelserna om informationsskyldighet. Information behöver t.ex. inte lämnas om sådant som den registrerade redan känner till. Den personuppgiftsansvarige är också skyldig att efter ansökan en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte samt viss information om behandlingen. (23–27 §§) Enligt 28 § personuppgiftslagen ska den personuppgiftsansvarige på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen.

Personuppgiftslagen innehåller också vissa bestämmelser om säkerheten vid behandlingen av personuppgifter. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. (30–32 §§)

Det är som huvudregel förbjudet att till tredjeland föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Personuppgiftslagen innehåller dock vissa undantag till detta förbud. (33–35 §§)

Den personuppgiftsansvarige är skyldig att anmäla all behandling av personuppgifter till tillsynsmyndigheten. Anmälningsskyldigheten gäller dock inte om den personuppgiftsansvarige utser ett personuppgiftsombud. (36–37 §§)

3.3.3. Ostrukturerat material

Hanteringsreglerna gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material som löpande text i ordbehandlingsprogram, i e-post, på internet eller i enstaka ljud- eller bildupptagningar gäller i stället en förenklad reglering av missbruksmodell. Det innebär att sådan behandling av personuppgifter är undantagen från samtliga hanteringsregler i personuppgiftslagen som det har bedömts möjligt att göra undantag från inom ramen för dataskyddsdirektivet. I stället gäller att behandlingen inte får utföras om den innebär en kränkning av den registrerades personliga integritet (5 a §). Särregleringen för behandling av personuppgifter i ostrukturerat material brukar kallas för missbruksregeln.

3.4. Registerförfattningar inom Socialdepartementets verksamhetsområde

3.4.1. Ett stort antal författningar

Registerförfattningar gäller utöver eller i stället för personuppgiftslagen. Tanken är att författningarna ska ge berörda personuppgiftsansvariga ett mer anpassat regelverk när det finns behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen ger.

Den 1 januari 2011 trädde en ny grundlagsbestämmelse, 2 kap. 6 § andra stycket regeringsformen (RF), i kraft. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det stärkta grundlagsskyddet innebär att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag (2 kap. 20 § RF) och under de förutsättningar som anges 2 kap. 21 och 22 §§ RF. Enligt övergångsbestämmelserna har äldre föreskrifter, som inneburit ett betydande intrång i den personliga integriteten, fortsatt att gälla till och med den 31 december 2015. Fram till dess har också ändringar kunnat göras i dessa föreskrifter.

Det är inte helt självklart att sådana bestämmelser som finns i registerförfattningar alltid måste anses utgöra sådan reglering som medför ett betydande intrång i den personliga integriteten. Informationshanteringsutredningen (Ju 2011:11) har i sitt betänkande argumenterat för att så inte är fallet.4 I den mån bestämmelserna tillåter ett sådant betydande intrång i den personliga integriteten som avses i grundlagsbestämmelsen, måste dock regleringen ske i lag.

Det kan i sammanhanget noteras att det länge har varit ett uttalat mål från regering och riksdag att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag, dvs. inte av den generella dataskyddslagstiftningen.5

Behovet av en särskild författningsreglering kan uppstå av olika anledningar. När en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, kan det exempelvis finnas skäl att ge ett uttryckligt stöd i en registerförfattning. Samma sak gäller när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen. Ibland kan personuppgiftslagens bestämmelser ge upphov till tolkningsproblem, vilket kan ge anledning att göra förtydliganden i registerförfattning. Stora och känsliga uppgiftsmängder kan behöva omgärdas av särskilda begränsningar ur ett integritetsperspektiv och ibland kan det finnas anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.6

Inom Socialdepartementets verksamhetsområde finns ett stort antal författningar som innehåller bestämmelser om behandling av personuppgifter av olika slag. Författningarna skiljer sig åt i fråga om såväl utformning och struktur som syfte. Vissa författningar har som övergripande funktion att utöver personuppgiftslagen särreglera behandling av personuppgifter inom vissa särskilda verksamheter eller myndigheter. Andra författningar avser att reglera register som ska/får föras och som ska/kan ha ett visst innehåll. Det finns också författningar vars främsta syfte inte är att reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör behandling

4SOU 2015:39 s. 185 ff. 5 Se bland annat prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och prop. 1997/98:44 s. 41. 6 För en beskrivning och kartläggning av registerförfattningar, se betänkandet Myndighetsdatalagen, SOU 2015:39 s. 7172 och 83 ff.

av personuppgifter och i den delen utgör särreglering i förhållande till personuppgiftslagen. Vidare finns författningar som reglerar uppgiftsskyldigheter.

3.4.2. Lagstiftning som reglerar en verksamhet

Sådana författningar som i förhållande till personuppgiftslagen särreglerar behandling av personuppgifter inom vissa verksamheter eller myndigheter utgörs vanligtvis av lagar som kompletteras av förordningar med mer detaljerade bestämmelser. Det finns dock även fristående förordningar som har samma syfte.

Författningarna är ofta uppbyggda på liknande sätt och innehåller bestämmelser om tillämpningsområde, förhållandet till personuppgiftslagen, personuppgiftsansvar, primära ändamål för myndighetens egen användning av personuppgifter och sekundära ändamål för utlämnande av personuppgifter till externa mottagare, vilka personuppgifter som får behandlas, sökbegrepp, behörighetsbegränsningar, direktåtkomst och annat elektroniskt utlämnande, bevarande och gallring samt frågor om rättelse, skadestånd och överklagande. Alla författningar innehåller dock inte alla typer av bestämmelser utan författningarnas omfattning och detaljeringsgrad varierar.

Inom Socialdepartementets verksamhetsområde finns flera författningar som reglerar behandling av personuppgifter inom en viss verksamhet. I samtliga dessa författningar anges att personuppgiftslagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till denna. I några av författningarna anges också i förtydligande syfte att även annan lagstiftning kan gälla före personuppgiftslagen. I fråga om rättelse och skadestånd hänvisas genomgående till personuppgiftslagens bestämmelser. Vissa författningar, t.ex. 114 kap. socialförsäkringsbalken, gäller bara för myndigheter, medan andra, t.ex. patientdatalagen (2008:355), gäller både för myndigheter och enskilda.

I kapitel 10 går utredningen igenom de författningar som reglerar behandling av personuppgifter inom en viss verksamhet inom Socialdepartementets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Uppräkningen omfattar även några författningar som endast innehåller enstaka bestämmelser om behandling av personuppgifter som på olika sätt anknyter till någon

av de författningar som reglerar behandling av personuppgifter inom en viss verksamhet. Det rör sig om förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m., förordningen (2008:363) om provtagning för hivinfektion, 112 kap. socialförsäkringsbalken och lagen (2010:111) om införande av socialförsäkringsbalken.

Statistiska centralbyråns verksamhet med framställning av statistik över kommunalt vårdnadsbidrag

Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

  • Lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel och den anknytande förordningen (2016:533) om behandling av personuppgifter i ärenden om licens för läkemedel
  • Den föreslagna lagen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen

(SOU 2014:67)

3.4.3. Lagstiftning som reglerar ett register eller en informationssamling

Flera av myndigheterna under Socialdepartementet administrerar register som innehåller stora mängder personuppgifter om många personer. Några exempel är Socialstyrelsen som ansvarar för de olika hälsodataregistren, E-hälsomyndigheten som för ett register över förskrivningar av läkemedel och andra varor för människor (receptregister) och Folkhälsomyndigheten som för register över nationella vaccinationsprogram. De författningar som specifikt reglerar behandlingen av personuppgifter i dessa och liknande register har ett tydligt fokus på dataskyddsreglering. Författningarna anger avvikande eller mer preciserade bestämmelser i förhållande till personuppgiftslagen och på så sätt framgår det tydligt vad myndigheten ska eller får göra vid förandet av ett register.

Det är vanligt att det i författningarna finns bestämmelser om förhållandet till personuppgiftslagen, betydelsen av den registrerades inställning till behandlingen, personuppgiftsansvar, registrets ändamål, personuppgifter som får behandlas, sökbegränsningar, direktåtkomst, utlämnande på medium för automatiserad behandling, uppgiftsskyldigheter, information som ska lämnas, behörighetstilldelning, gallring, rättelse och skadestånd.

Av majoriteten av författningarna framgår att personuppgiftslagen gäller om inget annat följer av den aktuella författningen eller av föreskrifter som meddelats i anslutning till författningen. I övriga författningar anges inte förhållandet till personuppgiftslagen. I de fall frågan om rättelse och skadestånd har tagits upp, hänvisas genomgående till personuppgiftslagens bestämmelser. I samtliga författningar anges en myndighet vara personuppgiftsanvarig för registret.

I kapitel 11 går utredningen igenom de författningar som reglerar ett visst register eller en informationssamling inom Socialdepartementets verksamhetsområde. Författningarna räknas upp nedan (i kronologisk ordning). Förordningen (1992:62) om bevarande av

registret rörande vissa alkoholbrott m.m. skiljer sig från övriga författningar genom att enbart reglera frågan om bevarande.

  • Förordningen (1992:62) om bevarande av registret rörande vissa alkoholbrott m.m.
  • Lagen (1996:1156) om receptregister och den anknytande förordningen (2009:625) om receptregister
  • Lagen (1998:543) om hälsodataregister och följande anknytande förordningar: – Förordningen (2001:707) om patientregister hos Socialstyrelsen – Förordningen (2001:708) om medicinskt födelseregister hos

Socialstyrelsen – Förordningen (2001:709) om cancerregister hos Socialstyrelsen – Förordningen (2005:363) om läkemedelsregister hos Social-

styrelsen – Förordningen (2006:94) om register hos Socialstyrelsen över

insatser inom den kommunala hälso- och sjukvården – Förordningen (2008:194) om tandhälsoregister hos Social-

styrelsen – Förordningen (2011:116) om register hos Socialstyrelsen över

läkemedel som lämnats ut från apotek i Jämtlands län

  • Lagen (2005:258) om läkemedelsförteckning och den anknytande förordningen (2009:626) om läkemedelsförteckning
  • Förordningen (2006:196) om register över hälso- och sjukvårdspersonal
  • Lagen (2012:453) om register över nationella vaccinationsprogram

3.4.4. Lagstiftning som bland annat reglerar behandling av personuppgifter

Utöver de mer traditionella registerförfattningarna finns många författningar vars främsta syfte inte är att reglera förandet av ett visst register eller annan behandling av personuppgifter men i an-

slutning till annan verksamhetsreglering också anger vad som gäller i fråga om viss behandling av personuppgifter.

Inom Socialdepartementets verksamhetsområde finns några olika kategorier av författningar som delvis innehåller reglering av behandling av personuppgifter. Det finns några författningar på socialtjänstområdet, som bl. a. innehåller bestämmelser om gallring av personuppgifter. Ett antal författningar som avser hantering av humanbiologiskt material reglerar även vad som gäller ur ett personuppgiftsperspektiv. Några lagar specificerar vad som gäller i fråga om överföring av personuppgifter till tredjeland medan det i andra lagar finns bestämmelser om register som ska föras. Vissa författningar innehåller bestämmelser om att uppgifter som ska lämnas ut ska eller får överföras elektroniskt. Det finns också exempel på bestämmelser om automatiserade beslut och undantag från förbudet att behandla känsliga personuppgifter. Vissa av de personuppgiftsrelaterade bestämmelserna riktar sig enbart till myndigheter, t.ex. bestämmelserna förordningen (2013:413) om kosmetiska produkter, medan andra gäller både för myndigheter och enskilda, t.ex. socialtjänstlagen (2001:453), lagen (2006:496) om blodsäkerhet och lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler. Tobakslagens bestämmelser riktar sig enbart till enskilda.

I kapitel 12 går utredningen igenom de författningar inom Socialdepartementets verksamhetsområde vars främsta syfte inte är att reglera behandling av personuppgifter men som ändå innehåller sådana bestämmelser. Nedan följer en uppräkning (i kronologisk ordning) av dessa författningar.

3.4.5. Lagstiftning som reglerar uppgiftsskyldigheter

Det finns inom Socialdepartementets verksamhetsområde ett antal författningar som föreskriver olika uppgiftsskyldigheter. Uppgiftsskyldigheterna härrör från myndigheternas stora behov av att utbyta och inhämta uppgifter från såväl andra myndigheter som enskilda.

I kapitel 13 tar utredningen upp författningar som innehåller uppgiftsskyldigheter men som i övrigt inte reglerar någon behandling av personuppgifter. Författningar som även innehåller bestämmelser om hur personuppgifter ska lämnas ut – t.ex. automatiserat eller via direktåtkomst – är sådan lagstiftning som avses i kap. 10–12.

4. Dataskyddsförordningen

4.1. Inledning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.

I det följande redogörs det först för skillnaderna mellan en EUförordning och ett EU-direktiv och sedan för bestämmelserna i dataskyddsförordningen.

4.2. Skillnaden mellan en EU-förordning och ett EU-direktiv

Det ordinarie lagstiftningsförfarandet inom EU går till på så sätt att Europaparlamentet och rådet på förslag av kommissionen gemensamt antar en EU-förordning, ett EU-direktiv eller ett beslut (artikel 289 fördraget om Europeiska unionen, EU-fördraget).

Enligt principen om EU-rättens företräde ska EU-rätt tillämpas framför svensk lag om olika rättsakter strider mot varandra. Principen om företräde för EU-rätten framgår av en förklaring (nr 17) som fogats till Lissabonfördragets slutakt, undertecknad den 13 december 2007. I förklaringen erinras om att fördragen och den rätt som antas av EU på grundval av fördragen har företräde framför nationell rätt på de villkor som fastställts i enlighet med EUdomstolens praxis. Den praxis som avses är huvudsakligen dom av den 15 juli 1964, Costa 6/64, EU:C:1964:66, i vilket en fördragsartikel erkändes företräde gentemot nationell lag samt dom av den 17 december 1970, Internationale Handelsgesellschaft 11/70, EU:C:1970:114, där företrädesprincipen utvecklades till att medföra att alla former av EU-rättsakter, även de allra lägsta, står över alla former av nationell lag. I dom av den 9 mars 1978, Simmenthal 106/77, EU:C:1978:49 utvecklades principen om företräde ytterligare på så sätt att EU-domstolen uttalade att fördragsbestämmelserna inte bara medför att varje motstridande föreskrift i den befintliga nationella lagstiftningen blir automatiskt otillämplig i och med att EU-rätten träder i kraft, utan att de även hindrar att nya nationella författningar antas med giltig verkan till den del de är oförenliga med EU-rätten.

En EU-förordning är bindande och direkt tillämplig i alla medlemsländer från och med det datum då den träder i kraft (artikel 288 andra stycket EU-fördraget). Det innebär att medlemsstaten inte behöver vidta några författningsåtgärder för att EU-förordningens regler ska ha allmän giltighet på statens territorium. Dessutom strider alla nationella genomförandebestämmelser som innebär ett hinder mot EU-förordningens direkta effekt, t.ex. genom att i nationell lagstiftning upprepa bara vissa bestämmelser i EU-förordningen eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt, mot fördraget, se dom av den 7 februari 1973, kommissionen mot

Italien 39/72, EU:C:1973:13, punkt 17, och dom av den 2 februari 1977, Amsterdam Bulb 50/76, EU:C:1977:13, punkt 7.

EU-direktiven har en annan karaktär än EU-förordningarna. De riktar sig till medlemsstaterna och alltså inte till enskilda. Ett EUdirektiv föreskriver ett resultat som ska uppnås inom ramen för medlemsstaternas nationella lagstiftning. Form och tillvägagångssätt för genomförandet är dock upp till medlemsstaterna att bestämma (artikel 288 tredje stycket EU-fördraget). Till skillnad från EU-förordningarna måste alltså EU-direktiven genomföras i nationell lagstiftning.

Om ett EU-direktiv innehåller s.k. minimibestämmelser, måste medlemsstaterna se till att minimiskyddet uppfylls, men det är också tillåtet att i nationell lagstiftning ha ett mer utsträckt skydd. Är det inte fråga om ett sådant minimidirektiv, får medlemsstaterna införa varken strängare eller mildare bestämmelser än vad som följer av EU-direktivet. Bestämmelserna i EU-direktivet kan dock i sig medge ett visst utrymme för nationella skillnader.

I anslutning till ett nytt EU-direktiv föreskrivs en tidsgräns inom vilken EU-direktivet ska vara helt genomfört av medlemsländerna. Detta kan ske genom nya nationella regler, ändring av befintliga regler eller genom att befintliga regler som överensstämmer med direktivet fortsätter att gälla.

4.3. Dataskyddsförordningens innehåll

4.3.1. Materiell och territoriell avgränsning

Dataskyddsförordningen är – precis som dataskyddsdirektivet – tillämplig på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Vissa behandlingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet. Det rör sig om behandling som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och nationell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet (artikel 2).

Behandlingar av personuppgifter som utförs inom brottsbekämpande verksamhet omfattas i stället av ett särskilt EU-direktiv, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat det nya dataskyddsdirektivet. Det nya dataskyddsdirektivet ska genomföras i nationell lagstiftning senast den 6 maj 2018.

För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3).

4.3.2. Definitioner

Dataskyddsförordningen innehåller i artikel 4 en rad definitioner av olika begrepp som används i dataskyddsförordningen. Här anges några av definitionerna.

Personuppgifter är varje upplysning som avser en identifierad

eller identifierbar fysisk person (kallad registrerad). Som identifikatorer anges förutom namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer även en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Behandling (av personuppgifter) är en åtgärd eller kombination

av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Profilering är varje form av automatisk behandling av person-

uppgifter som består i att dessa personuppgifter används för att

bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Register är en strukturerad samling av personuppgifter som är

tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig

myndighet, institution eller annat organ som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen lagts fast i medlemsstaternas nationella rätt, får den nationella rätten också peka ut vem som är personuppgiftsansvarig.

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig

myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Samtycke är varje slag av frivillig, specifik, informerad och otve-

tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Personuppgiftsincident är en säkerhetsincident som leder till oav-

siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Genetiska uppgifter är alla personuppgifter som rör nedärvda

eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

Biometriska uppgifter är personuppgifter som erhållits genom en

särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.

Uppgifter om hälsa är personuppgifter som rör en fysisk persons

fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

4.3.3. Grundläggande principer

För all behandling av personuppgifter enligt dataskyddsförordningen gäller samma övergripande principer som enligt dataskyddsdirektivet (artikel 5). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandlingen ska ske på ett säkert sätt och inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Personuppgifter kan dock under vissa förutsättningar lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statiska ändamål.

Personuppgifter som samlats in för ett visst ändamål får som huvudregel inte behandlas för något annat ändamål som strider mot det ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering. (Artikel 5.1 b och 6.4) Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.

4.3.4. Laglig behandling av personuppgifter

För att en behandling av personuppgifter över huvud taget ska vara tillåten, krävs på samma sätt som enligt dataskyddsdirektivet att det finns en laglig grund för behandlingen (artikel 6). Minst ett av ett antal i dataskyddsförordningen angivna villkor måste vara uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person, för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan slutli-

gen behandlas med stöd av en intresseavvägning. En nyhet är dock att behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter inte får ske med stöd av en intresseavvägning.

Om behandling av personuppgifter ska ske med stöd av samtycke från den registrerade, krävs att samtycket är frivilligt. Det ska också vara tydligt vad samtycket avser och det ska ha föregåtts av information från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom konkludent handlande och kan när som helst tas tillbaka. (Artikel 7)

Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3). Det innebär att det inte – till skillnad från vad som tidigare gällt enligt dataskyddsdirektivet och personuppgiftslagen – kommer att vara möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling. Dataskyddsutredningen har analyserat om det med anledning av detta krav behöver införas generella nationella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Däremot är förekomsten av reglering avgörande för i vilken utsträckning personuppgiftsansvariga kan behandla personuppgifter på den grunden att det är nödvändigt för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att de rättsliga grunder som anges artikel 6.1 c och e ska vara tillämpliga. Förpliktelser och arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning som inte är rättsligt förankrade i enlighet med unionsrätten eller i medlemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.1

1SOU 2017:39 s. 108113.

Ytterligare ett krav när det gäller behandling med stöd av den rättsliga grunden i artikel 6.1 c är att syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse ska fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e gäller i stället att syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Denna möjlighet ger utrymme för s.k. registerlagstiftning för bl.a. myndigheter.

4.3.5. Känsliga personuppgifter och uppgifter om lagöverträdelser

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjudna. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Av dessa kategorier av uppgifter är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning nya i förhållande till dataskyddsdirektivet. Samtliga angivna kategorier av uppgifter brukar med ett samlingsnamn kallas känsliga personuppgifter.

Från huvudregeln att känsliga personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Känsliga personuppgifter kan t.ex. behandlas med stöd av samtycke eller för att uppgifterna på ett tydligt sätt har offentliggjorts av den registrerade. De kan också behandlas för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal. Samma sak

gäller på områdena social trygghet och socialt skydd, vilket är nytt i förhållande till dataskyddsdirektivet. Behandling av känsliga personuppgifter är vidare tillåten om den är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke. Ett annat undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet. Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar. Om behandlingen sker på grundval av EU-rätten eller medlemsstaternas nationella rätt, kan känsliga personuppgifter också behandlas i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt, av hänsyn till ett viktigt allmänt intresse, av skäl av allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Villkoret att nödvändig behandling av känsliga personuppgifter inom hälso- och sjukvård ska ske på grundval av EU-rätt eller nationell lagstiftning är nytt i förhållande till dataskyddsdirektivet. Det har inte heller, såsom dataskyddsdirektivet tolkats i Sverige, tidigare funnits något krav på att känsliga personuppgifter inom hälso- och sjukvården ska behandlas under ansvar av någon som omfattas av tystnadsplikt. Vidare har undantagen för allmänt intresse på folkhälsoområdet och för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte tidigare uttryckligen framgått av dataskyddsdirektivet.

Medlemsstaterna har möjlighet att komplettera dataskyddsförordningen med ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (artikel 9.4).

Behandling av uppgifter om lagöverträdelser måste ske under kontroll av en myndighet eller med stöd av särskild lagstiftning. Till skillnad från vad som gäller enligt dataskyddsdirektivet omfattas inte friande brottmålsdomar av denna begränsning. Det finns inte heller någon reglering avseende administrativa frihetsberövanden. (Artikel 10)

4.3.6. Den registrerades rättigheter

Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige. Informationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur personuppgifterna kommer att användas. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. (Artikel 12–14)

Den informationsskyldighet som framgår av dataskyddsförordningen är betydligt mer omfattande än den som föreskrivs i dataskyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a. att om den personuppgiftsansvarige avser att behandla personuppgifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig relevant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett samtycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet, att informationen ska lämnas vid tiden för registreringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kommunikationen med den registrerade. (Artikel 13 och 14)

Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, begriplig och lättillgänglig.

Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få fel-

aktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering eller rätten att bli bortglömd följer av artikel 17 och är betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet. Det finns vissa undantag till bestämmelsen. Bland annat gäller den inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Det finns också undantag för bl.a. arkivändamål.

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottagare (artikel 19).

Personuppgifter som den registrerade tillhandahållit den personuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, allmänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till dataskyddsdirektivet. Om den registrerade invänder mot behandling av personuppgifter får den personuppgiftsansvarige inte längre behandla uppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behandling av hans eller hennes personuppgifter. Detta gäller om

inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. (Artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestämmelser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.

En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt EU-rätt eller nationell rätt som också fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller om beslutet grundar sig på den registrerades uttryckliga samtycke.

Dataskyddsförordningen lämnar ett förhållandevis stort handlingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom bestämmelser i sin lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a. nationell säkerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det i EU-rätten eller i medlemsstaternas nationella rätt föreskrivas om undantag från vissa av den registrerades

rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett. (Artikel 89)

4.3.7. Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter

Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24 och 25). Gemensamt personuppgiftsansvariga ska fastställa sina respektive ansvarsområden om dessa inte fastställs genom rättslig reglering (artikel 26).

Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska hanteringen regleras genom avtal eller motsvarande rättsakt. Personuppgiftsbiträdet får endast behandla personuppgifter på instruktion från den personuppgiftsansvarige, såvida en skyldighet att behandla uppgifter inte framgår av EU-rätten eller nationell rätt. (Artikel 28 och 29)

Varje personuppgiftsansvarig och varje personuppgiftsbiträde ska var för sig skriftligen upprätta ett register över behandling som utförts under dess ansvar (artikel 30). Detta register lär inte behöva uppfylla definitionen i artikel 4, men registret ska innehålla kontaktuppgifter, upplysning om ändamål med behandlingen, en beskrivning av kategorier av registrerade och kategorier av personuppgifter, upplysning om eventuella mottagare av uppgifterna, eventuell överföring till tredjeland, tidsfrister för radering och en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder. Det är följaktligen inte längre dataskyddsombudets arbetsuppgift att upprätta en förteckning över behandlingar (jämför artikel 39 och personuppgiftsombudets tidigare uppgifter enligt artikel 18 i dataskyddsdirektivet).

Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till eventuella risker (artikel 32). Detta innefattar bl.a. att se till att personer som får tillgång till personuppgifter med anledning av sitt arbete endast behandlar dessa på instruktion från den personuppgiftsansvarige, under förutsättning att EU-rätten eller nationell rätt inte ålägger personen att behandla uppgifterna.

En nyhet i dataskyddsförordningen är att personuppgiftsincidenter inom 72 timmar ska anmälas till tillsynsmyndigheten. Den personuppgiftsansvarige är också skyldig att dokumentera alla personuppgiftsincidenter. (Artikel 33) Även den registrerade ska i vissa fall få information om personuppgiftsincidenten om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 34).

För att minska risker med behandling av personuppgifter innehåller dataskyddsförordningen dessutom bestämmelser om konsekvensbedömningar och förhandssamråd med tillsynsmyndigheten, som ska tillämpas om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35 och 36).

4.3.8. Dataskyddsombud

Myndigheter och andra offentliga organ, dock inte domstolarna i deras dömande verksamhet, måste enligt dataskyddsförordningen utnämna dataskyddsombud (artikel 37). Kravet på att ha ett dataskyddsombud omfattar i vissa fall även andra personuppgiftsansvariga och personuppgiftsbiträden. Ett dataskyddsombud ska i dessa fall utnämnas om en kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Ett dataskyddsombud ska också utnämnas om en kärnverksamhet består av behandling i stor omfattning av känsliga personuppgifter och uppgifter om lagöverträdelser. Att det i vissa fall krävs att ett dataskyddsombud utses är en nyhet.

Ett dataskyddsombud ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra arbetsuppgifterna. Arbetsuppgifterna ska utföras självständigt, utan instruktioner

från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Som en följd av detta ska dataskyddsombudet också, när det gäller dennes genomförande av sina arbetsuppgifter, vara bundet av regler om sekretess eller konfidentialitet. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter. Rapporteringen ska ske direkt till den högsta förvaltningsnivån. (Artikel 38)

Dataskyddsombudet ska informera och ge råd till berörda samt övervaka efterlevnaden av dataskyddsbestämmelser. Dataskyddsombudet ska också samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet. (Artikel 39)

4.3.9. Överföring av personuppgifter till tredjeland

Personuppgifter får överföras till tredjeland eller en internationell organisation endast under vissa förutsättningar. En sådan förutsättning är om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå (artikel 45). I avsaknad av ett beslut från kommissionen får personuppgifter överföras till tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder vidtagits och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga (artikel 46). Därutöver anges i dataskyddsförordningen ett antal förhållanden som kan grunda rätt till överföring till tredjeland i särskilda situationer (artikel 49).

4.3.10. Tillsynsmyndigheter

Varje medlemsstat ska ha en tillsynsmyndighet som övervakar tillämpningen av dataskyddsförordningen (artikel 51). Tillsynsmyndigheten och dess ledamöter ska vara oberoende (artikel 52–54) och behörigheten att utföra uppgifter ska vara begränsad till vad som framgår av dataskyddsförordningen (artikel 55–57). I form av utredningsbefogenheter kan tillsynsmyndigheten bl.a. kräva information som behövs för att myndigheten ska kunna fullgöra sina uppgifter, genomföra undersökningar och få tillgång till lokaler.

Tillsynmyndigheten har också korrigerande befogenheter som bl.a. består av att utfärda varningar, reprimander, förelägganden, införa förbud mot behandling och påföra administrativa sanktionsavgifter. Dessutom kan tillsynsmyndigheter utfärda tillstånd och ge råd (artikel 58).

Tillsynsmyndigheter ska samarbeta med varandra, utbyta relevant information och ge varandra bistånd (artikel 60 och 61). Vid behov ska de genomföra gemensamma insatser (artikel 62).

4.3.11. När uppgifter behandlas i strid med dataskyddsförordningen

En registrerad som anser att behandling av personuppgifter avseende honom eller henne strider mot dataskyddsförordningen, ska – till skillnad från vad som tidigare varit möjligt enligt dataskyddsdirektivet – kunna lämna klagomål till tillsynsmyndigheten och få ett överklagbart beslut (artikel 77 och 78). Den registrerade ska också kunna väcka talan i domstol mot den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 79).

Den som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till skadestånd (artikel 82). Ett skadeståndsanspråk kan, i likhet med vad som gäller enligt dataskyddsdirektivet, riktas mot den personuppgiftsansvarige. Under vissa förutsättningar kan dock skadeståndsanspråk begäras även av ett personuppgiftsbiträde, vilket är nytt i förhållande till vad som gällt tidigare.

Tillsynsmyndigheten ska enligt en annan nyhet i dataskyddsförordningen kunna påföra s.k. administrativa sanktionsavgifter (artikel 83). Två olika kategorier av överträdelser – uppdelade utifrån bestämmelser som föreskriver rättigheter och skyldigheter – föranleder två olika maxbelopp (artikel 83.4 och 83.5). Medlemsstaterna får själva bestämma i vilken utsträckning myndigheter ska kunna påföras administrativa sanktionsavgifter.

Medlemsstaterna ska vidare fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter (artikel 84).

4.3.12. Konkurrens med andra rättigheter

Medlemsstaterna ska i lag förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten (artikel 85.1). För behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska medlemsstaterna fastställa undantag eller avvikelser från stora delar av dataskyddsförordningen om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2).

Personuppgifter i allmänna handlingar får lämnas ut av myndigheter i enlighet med nationell rätt (artikel 86).

4.3.13. Övrigt

Hur ett nationellt identifikationsnummer (personnummer) får behandlas, får medlemsstaterna själva bestämma med beaktande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen (artikel 87).

För behandling av personuppgifter i anställningsförhållanden, får medlemsstaterna i lag eller kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av anställdas rättigheter och friheter (artikel 88).

Dataskyddsförordningen innehåller också bl.a. bestämmelser om uppförandekoder och certifiering (artikel 40–43) och om tillsynsmyndigheternas respektive Europeiska dataskyddsstyrelsens ställning, arbetsuppgifter och samarbete sinsemellan (artikel 51–76).

5. Pågående översynsarbete

5.1. Dataskyddsutredningen

Dataskyddsutredningen1 har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.2 I maj 2017 överlämnade utredningen betänkandet ”Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning”3, som bl.a. innehåller förslag till en ny lag – dataskyddslagen – med anknytande förordning som ska ersätta personuppgiftslagen och personuppgiftsförordningen. I uppdraget har inte ingått att se över någon sektorsspecifik reglering om behandling av personuppgifter och inte heller att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär.

Dataskyddslagen föreslås i tillämpliga delar, utöver dataskyddsförordningens tillämpningsområde, även gälla behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. Lagen förslås vara subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet. Ett undantag från vissa av dataskyddsförordningens bestämmelser föreslås dessutom gälla för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Den föreslagna dataskyddslagen innehåller bestämmelser som förtydligar hur rättsliga förpliktelser och arbetsuppgifter av allmänt

1 Ju 2016:04. 2 Dir. 2016:15. 3SOU 2017:39.

intresse eller som ett led i myndighetsutövning fastställs i enlighet med svensk rätt.

Eftersom vissa undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter förutsätter stöd i nationell rätt, föreslås dataskyddslagen innehålla sådant stöd när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Därutöver föreslås ett undantag för viss behandling av känsliga personuppgifter hos myndigheter. Stödet för behandling av känsliga personuppgifter föreslås förenas med olika restriktioner. För att andra än myndigheter ska få behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, föreslås ett krav på uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Uppgifter om personnummer eller samordningsnummer föreslås även fortsättningsvis få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål får enligt Dataskyddsutredningens förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen rörande statistikuppgifter gäller, till skillnad från vad som gäller i fråga om arkiverade uppgifter, även för myndigheter.

Dataskyddslagen föreslås inte innehålla någon straff- eller vitesbestämmelse, men den administrativa sanktionsavgift som tillsynsmyndigheten enligt dataskyddsförordningen kan ta ut av ett företag eller andra enskilda som bryter mot dataskyddsregleringen, föreslås också kunna tas ut av en myndighet. Datainspektionen föreslås vara tillsynsmyndighet. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen föreslås gälla vid tillsyn över efterlevnaden av bestämmelserna i alla författningar som kompletterar dataskyddsförordningen.

Rätten till skadestånd enligt dataskyddsförordningen föreslås, utöver vid överträdelser av dataskyddsförordningens bestämmelser, gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.

Dataskyddslagen föreslås också innehålla bl.a. vissa begränsningar i fråga om rätten till information och registerutdrag, bestämmelser om Datainspektionens klagomålshantering, bestämmelser om överklagande och en tystnadsplikt för dataskyddsombud inom den privata sektorn.

Dataskyddslagen föreslås träda i kraft den 25 maj 2018. Personuppgiftslagen är dock tänkt att även fortsättningsvis gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen. Äldre föreskrifter föreslås också fortfarande gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet, för överklagande av beslut som har meddelats med stöd av äldre föreskrifter, för överträdelser som har skett före ikraftträdandet och i fråga om skadestånd för skada som har orsakats före ikraftträdandet.

5.2. Utredningen om 2016 års dataskyddsdirektiv

Utredningen om 2016 års dataskyddsdirektiv4 har till uppdrag5 att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt och har i april 2017 lämnat ett delbetänkande med förslag till en brottsdatalag.6

Brottsdatalagen är tänkt att tillämpas vid behandling av personuppgifter som utförs av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen ska också gälla för behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet. Myndigheter som har sådana arbetsuppgifter betecknas behöriga myndigheter. Det som blir avgörande för om lagen är tillämplig är alltså dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen. Dataskyddsförordningen är inte tillämplig på sådan behandling av personuppgifter som omfattas av brottsdatalagen. Alla myndigheter som kommer att tillämpa brottsdatalagen kommer även att tillämpa dataskyddsförordningen i de delar av verksamheten som inte omfattas av brottsdatalagens tillämpningsområde. Brotts-

4 Ju 2016:06. 5 Dir. 2016:21. 6SOU 2017:29.

datalagen föreslås vara generellt tillämplig – men subsidiär – inom sitt tillämpningsområde. Registerförfattningar som omfattar samma tillämpningsområde kommer att gälla utöver brottsdatalagen.

Personuppgifter föreslås få behandlas med stöd av den rättsliga grunden att behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Personuppgifter föreslås också få behandlas om behandlingen krävs för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Känsliga personuppgifter rörande en viss person föreslås få behandlas om uppgifter om personen redan behandlas och det är absolut nödvändigt för ändamålet med behandlingen. Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter föreslås dock få behandlas enbart om det är särskilt föreskrivet. Sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska vara förbjudna. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslås en särskild sekretessregel som innebär att absolut sekretess gäller för uppgifter i sådana sammanställningar.

Brottsdatalagen föreslås också innehålla bestämmelser om bl.a. definitioner, grundläggande krav på behandling, längsta tid för behandling, automatiserade beslut, personuppgiftsansvarigas skyldigheter i fråga om bl.a. säkerhet och anmälan om personuppgiftsincidenter, enskildas rättigheter i form av bl.a. information och rättelse, tillsynsmyndighetens befogenheter, administrativa sanktionsavgifter, skadestånd, rättsmedel och överföring till tredjeland.

Brottsdatalagen föreslås träda i kraft den 1 maj 2018.

5.3. Övrigt översynsarbete med anledning av dataskyddsförordningen

Utöver de utredningar som nämnts ovan har ytterligare ett antal olika utredningar haft i uppdrag – och vissa arbetar fortfarande med – att anpassa svensk rätt till EU:s dataskyddsreform. Det rör sig bl.a. om Utredningen om kameraövervakning – brottsbekämpning

och integritetsskydd7, Utredningen om dataskydd vid Rättsmedicinalverket8, Utbildningsdatautredningen9, Forskningsdatautredningen10och Utredningen om regleringen av biobanker11.

Det bedrivs dessutom ett omfattande arbete internt inom Regeringskansliet med att anpassa författningar till dataskyddsförordningen.

5.4. Förslaget till myndighetsdatalag

Regeringen gav i oktober 2011 en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen – de sektors- eller myndighetsspecifika lagar och förordningar som kompletterar personuppgiftslagen och innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Utredningen, som antog namnet Informationshanteringsutredningen, lämnade sitt slutbetänkande i april 2015 (SOU 2015:39), dvs. innan man inom EU kom överens om dataskyddsförordningen.

Uppdraget hade sin bakgrund i att det i olika sammanhang framförts kritik mot registerlagstiftningen för att vara ett svåröverblickbart och splittrat rättsområde med bristande enhetlighet i fråga om struktur och normtekniska lösningar. Lagstiftningen ansågs till viss del inte heller vara tillräckligt anpassad till annan lagstiftning av central betydelse för myndigheternas informationshantering, såsom tryckfrihetsförordningens bestämmelser om allmänna handlingar och offentlighets- och sekretesslagen (2009:400).

Informationshanteringsutredningen har inte gjort några omprövningar av tidigare avvägningar mellan effektivitetssträvanden och skyddet för enskildas personliga integritet utan har fokuserat på att förtydliga gällande rätt genom att föreslå en ny lag – myndighetsdatalagen. Den föreslagna lagen liknar befintliga registerförfattningar men innehåller bestämmelser som är tänkta att gälla generellt för alla statliga och kommunala myndigheters behandling av personuppgifter, frånsett den brottsbekämpande sektorn.

7 Ju 2015:14, tilläggsdir. 2016:54, SOU 2017:55. 8 Ju 2016:18, dir. 2016:75. 9 U 2016:03, dir. 2016:63, SOU 2017:49. 10 U 2016:04, dir. 2016:65, delbetänkande SOU 2017:50. 11 S 2016:04, dir. 2016:41, delbetänkande SOU 2017:40.

Den föreslagna lagen är utformad som en renodlad generell dataskyddsreglering som bara tar sikte på frågor om skydd för personuppgifter som uppstår i myndigheternas elektroniska informationshantering. Behov av sektors- eller myndighetsspecifika särregler, som har sin grund i speciella omständigheter som rör just den aktuella myndigheten eller verksamheten, bedöms kunna tas in i en kompletterande förordning. Lagen ska även kunna kompletteras med bilagor. På detta sätt är det tänkt att skapa ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållanden som kan regleras generellt och förhållanden där fortsatta särregler behöver finnas. Informationshanteringsutredningen utesluter dock inte att det i vissa fall kan bedömas vara mer lämpligt med särreglering i separat författning som gäller utöver den nya lagen.

GENERELLA ÖVERVÄGANDEN

6. Allmänna utgångspunkter

6.1. Behandling som i dag är laglig ska kunna fortsätta men författningsstöd för annat bör inte införas nu

Utredningens bedömning: Utgångspunkten bör vara att be-

handling av personuppgifter som i dag är laglig ska kunna fortsätta. Författningsstöd för behandling av personuppgifter som inte är laglig i dag bör inte införas nu.

Avvägningar och bedömningar som redan gjorts bör godtas och inte göras om.

Utredningsuppdraget är omfattande och utredningstiden kort. Det gör att det inte är möjligt att på alla de olika områden som uppdraget omfattar göra ingående avvägningar mellan integritetsskyddet och andra intressen. Det i sin tur innebär att utredningen i stor utsträckning måste stödja sig på de avvägningar som redan gjorts.

Datainspektionens expert i utredningen har framfört i huvudsak följande. Utredningen bör göra en kartläggning av nuläget avseende sådan behandling av personuppgifter som sker i verksamheter som omfattas av de författningar som ingår i utredningens översyn. Kartläggningen bör avse bl.a. teknisk utveckling, digitalisering, nya samarbetsformer och det ökade antalet aktörer inom exempelvis hälso- och sjukvården och socialtjänsten. Resultatet av kartläggningen kan sedan utgöra underlag för en ny konsekvensbedömning där en analys av om utvecklingen lett till nya risker för den personliga integriteten kan ingå. Regleringen bör sedan anpassas efter en analys av hur dessa eventuella nya risker kan minimeras. En fördel med detta tillvägagångssätt skulle vara att utredningens bedömningar kan utgöra en del av den konsekvensbedömning den personuppgiftsansvarige i

vissa fall är skyldig att göra enligt artikel 35 i dataskyddsförordningen.

Utredningen är medveten om att det har skett en viss utveckling, bl.a. på det tekniska området, sedan flertalet av författningarna tillkom och instämmer i att det inom i vart fall vissa områden hade varit bra med en sådan översyn som förespråkas. Utredningstiden medger dock inte en så omfattande översyn. Det kan inte heller anses ingå i utredningens uppdrag att göra andra anpassningar av författningarna än sådana som föranleds av dataskyddsförordningen. Tidigare gjorda avvägningar måste därför vara utgångspunkten för utredningens bedömningar.

Dessa avvägningar har, när det gäller områden som täcks av registerförfattningar, gjorts efter ingående analyser av respektive område och med mindre tidspress än vad utredningen är utsatt för. Avvägningarna har också varit föremål för remiss- och riksdagsbehandling och, oftast, granskning av Lagrådet.

Även på de områden som inte täcks av en registerförfattning kan det sägas att det redan har gjorts en tyst avvägning som innebär att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga för verksamheten och inte för långtgående för integritetsskyddet. I vissa fall finns det också utredningsförslag som inte (ännu) har genomförts, t.ex. SOU 2014:67 om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, som nämns i utredningsdirektiven, och SOU 2007:48 och SOU 2015:84, båda om författningsreglering av donationsregistret.

Det är inte några ofullkomligheter i lagstiftningen, eller ifrågasatta integritetskränkningar, som har föranlett utredningsuppdraget utan enbart den kommande nya EU-regleringen av behandling av personuppgifter. En utgångspunkt enligt utredningsdirektiven är också att de befintliga förutsättningarna för en ändamålsenlig behandling inte ska försämras.

Av dessa skäl anser utredningen att en utgångspunkt vid översynen bör vara att behandling som, enligt utredningens bedömning, i dag är laglig ska kunna fortsätta. Det innebär att översynen av respektive område i första hand inriktas på att undersöka om dataskyddsförordningen innebär att något som i dag är lagligt inte kommer att kunna ske med befintlig författningsreglering. Om så är fallet, blir nästa steg att undersöka om dataskyddsförordningen

medger att det finns ett nationellt författningsstöd för det som är lagligt i dag och, om det är så, utforma förslag till ett sådant författningsstöd som helst ska utformas enhetligt i förhållande till andra registerförfattningar.

Redan av utredningsdirektiven framgår att den korta utredningstiden gör att möjligheterna att utreda och föreslå materiella ändringar är begränsade. Utredningen anser därför att en utgångspunkt vid översynen bör vara att lämpligheten av att införa författningsstöd för mera eller annat än det som enligt utredningens bedömning är lagligt i dag inte ska utredas. Översynen ska alltså begränsas till att analysera vilket författningsstöd som kan behövas för att det som är lagligt i dag ska kunna fortsätta.

Frågan om det med hänsyn till artikel 6.3 i dataskyddsförordningen behövs ett generellt författningsstöd för myndigheters och andra organs behandling av personuppgifter och hur ett sådant generellt stöd ska utformas kan dock inte anses omfattad av utredningsdirektiven, eftersom frågan inte nämns där. Frågan har dessutom ingått i Dataskyddsutredningens uppdrag.1 Mot den bakgrunden är uppdraget enligt utredningsdirektiven att undersöka om det till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen behövs kompletterande föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar och lämna behövliga och lämpliga författningsförslag något svårförståeligt. Uppdraget innefattar i vart fall, enligt vad som uttryckligen anges i utredningsdirektiven, att lämna förslag till de anpassningar till följd av dataskyddsförordningen som behövs av de författningsförslag som lämnats i SOU 2014:67 om behandlingen av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen, som i dag inte har någon registerförfattning. Uppdraget får därutöver anses innebära att det ska undersökas om det i dag inom området förekommer någon typ av behandling av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruksregeln i 5 a § eller en intresseavvägning enligt 10 § f, eller personuppgiftsförordningen som, när personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas, behöver ett författningsstöd för att kunna fortsätta och som är mer eller mindre unik och därför inte rimligen bör omfattas av en generell reglering. Sådant

1 Dir. 2016:15 och SOU 2017:39.

som många personuppgiftsansvariga, inom flera departementsområden, behöver göra regleras nämligen bättre generellt, t.ex. i den reglering som Dataskyddsutredningen har haft i uppdrag att utreda, än i en mängd registerförfattningar. Om det inom området förekommer att myndigheter utan registerförfattning behandlar känsliga personuppgifter i löpande text vid elektronisk korrespondens eller ärendehandläggning, är det t.ex. inte något som är så unikt för området att det motiverar en särskild reglering. Det kan inte anses ankomma på utredningen att bedöma vilka arbetsuppgifter i sak myndigheter får eller bör utföra eller att föreslå författningsreglering av myndigheters arbetsuppgifter.

6.2. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen bör behållas om det blir tydligare

Utredningens bedömning: Befintlig författningsreglering, som

innebär begränsningar i förhållande till vad som vore tillåtet enligt dataskyddsförordningen, ska behållas i sak i så stor utsträckning som möjligt. Regleringen bör göras så enhetlig som möjligt. Författningsreglering som motsvarar bestämmelser i dataskyddsförordningen kan och bör, i den utsträckning det är möjligt enligt vad som anges i skäl 8 till dataskyddsförordningen, behållas eller införas när det skapar tydlighet.

Det är enligt utredningsdirektiven viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning, vilket t.ex. innebär att termer, uttryck och struktur samt hänvisningar till dataskyddsförordningen är enhetliga. Detta ska utredningen beakta. Motsvarande formulering, och anvisningar om att arbetet i andra utredningar ska beaktas, finns i utredningsdirektiven för flera av de övriga utredningar som har sett över registerförfattningar inför att dataskyddsförordningen ska börja tillämpas.

Ett enhetligt ramverk för myndigheters behandling av personuppgifter har nyligen utretts och ett förslag till en generell myndighetsdatalag, som de befintliga registerförfattningarna skulle kunna

anpassas till, ligger på regeringens bord.2 Det är emellertid osäkert vad som händer med det förslaget, som lämnades innan det stod klart att man inom EU skulle kunna enas om en dataskyddsförordning. Utredningsdirektiven innehåller inga anvisningar om att befintliga registerförfattningar ska anpassas till förslaget till myndighetsdatalag.

Utredningsdirektiven får anses innebära att utredningen har att efter samråd med övriga utredningar försöka göra den författningsreglering som behöver ändras eller införas så enhetlig som möjligt. Något försök till anpassning till den struktur som förslaget till myndighetsdatalag innebär bör dock inte göras. Utredningsdirektiven får anses ge möjlighet att utforma befintlig reglering, som kan och bör vara kvar i sak, så att den blir enhetlig mellan olika registerförfattningar, om utredningstiden medger det och nödvändigt samråd med övriga utredningar kan ske.

Det har lagts ned stora lagstiftningsresurser på registerförfattningarna. Det finns hos tillämparna erfarenhet av och kunskap om registerförfattningarna. Tillämparna har ibland också utformat instruktioner till sin personal och informationsmaterial för registrerade samt personuppgiftsbiträdesavtal utifrån den befintliga författningsregleringen.

Som tidigare sagts är möjligheterna att utreda materiella ändringar begränsade. Det – och hänsyn till det stora arbete som lagts ned på registerförfattningarna – gör att utredningen anser att utgångspunkten bör vara att befintlig författningsreglering, som innebär begränsningar i förhållande till vad som vore tillåtet enligt dataskyddsförordningen, ska behållas i sak i så stor utsträckning som möjligt. Det innebär att översynen bör inriktas på att analysera om de befintliga bestämmelserna i sak kan behållas med hänsyn till dataskyddsförordningen. Är så fallet, bör de efter samråd med övriga utredningar om möjligt göras mera enhetliga. Önskemålet om enhetlighet bör dock inte få gå utöver det materiella innehållet. Innehåller en registerförfattning en unik begränsning, som kan behållas med hänsyn till dataskyddsförordningen, bör den begränsningen således finnas kvar i sak, trots att regleringen som helhet hade blivit mera enhetlig utan den. Går det inte säkert att fastslå att t.ex. en viss formulering är avsedd att innebära en begränsning i

2SOU 2015:39.

förhållande till vad som gäller enligt formuleringar i andra registerförfattningar, bör dock önskemålet om enhetlighet få ta överhanden, dvs. avvikande formuleringar som inte säkert har en viss innebörd justeras så att regleringen blir mera enhetlig.

Även om utredningsdirektiven anvisar enhetlighet, kan de inte anses innebära ett uppdrag att rensa ut befintliga bestämmelser i registerförfattningarna som motsvarar bestämmelser i dataskyddsförordningen; något mera enhetligt än bestämmelser i en EU-förordning finns ju inte. Av skäl 8 till dataskyddsförordningen framgår dessutom att om dataskyddsförordningen föreskriver förtydliganden eller begränsningar av bestämmelserna i dataskyddsförordningen genom den nationella rätten kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av dataskyddsförordningen i nationell rätt. Det kan däremot, som anges i avsnitt 4.2, i andra situationer än den som berörs i skäl 8 anses strida mot EU-rätten att i nationell lagstiftning upprepa bara vissa bestämmelser i en EUförordning eller låta bli att tala om att det är fråga om direkt tillämplig EU-rätt. Utredningen anser mot bakgrund av det utrymme som medlemsstaterna ges genom skäl 8 och det arbete som redan är nedlagt på registerförfattningarna, att utgångspunkten bör vara att befintlig författningsreglering som motsvarar bestämmelser i dataskyddsförordningen ska behållas i den utsträckning det behövs för att uppnå tydlighet och igenkänning hos tillämparna. En bedömning av om det är förenligt med EU-rätten att behålla en sådan bestämmelse måste dock göras i varje enskilt fall.

Det är däremot utredningens bedömning att det inte bör införas fler bestämmelser som motsvarar bestämmelser i dataskyddsförordningen än de som redan finns i registerförfattningarna. Registerförfattningarna skulle då komma att bli alltför omfattande. Det kan dessutom bli missvisande för tillämparen att endast återge vissa bestämmelser i dataskyddsförordningen när även övriga bestämmelser i dataskyddsförordningen gäller. I något enskilt fall kan det dock vara motiverat, för att förtydliga, att ta in en bestämmelse som upplyser om innehållet i en specifik bestämmelse i dataskyddsförordningen. Detta för att göra tillämparen uppmärksam på att regleringen i registerförfattningen inom ett visst område inte är uttömmande.

7. Konsekvenserna av att dataskyddsförordningen börjar tillämpas

7.1. Inledning

Utredaren ska enligt utredningsdirektiven undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att gälla direkt i Sverige. Personuppgiftslagen kommer att upphävas vid samma tillfälle. Dataskyddsförordningens bestämmelser är tvingande och nationell lagstiftning på området kommer därför bara att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen. Svenska bestämmelser som strider mot dataskyddsförordningen får inte längre tillämpas. Samtliga verksamheter, som omfattas av dataskyddsförordningen, kommer således att behöva tillämpa dataskyddsförordningen, oavsett om verksamheten också omfattas av tillämpningsområdet för en registerförfattning.

Dataskyddsutredningen har föreslagit en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen.1 Denna lag kommer, om förslaget leder till lagstiftning, att innehålla bestämmelser som kompletterar dataskyddsförordningen på en generell nivå. De verksamheter, vars behandling av personuppgifter inte omfattas av någon särskild registerförfattning men av tillämpningsområdet för dataskyddsförordningen, kommer alltså att tillämpa dataskyddsförordningen och den föreslagna dataskydds-

1SOU 2017:39.

lagen i stället för personuppgiftslagen. Bestämmelserna i den föreslagna dataskyddslagen kommer i viss utsträckning även att tillämpas i verksamheter som omfattas av en särskild registerförfattning.

Som framgår av avsnitt 4.3 innebär dataskyddsförordningen vissa nyheter i förhållande till nu gällande dataskyddsreglering. Att dataskyddsförordningen ska börja tillämpas får därmed konsekvenser för all behandling av personuppgifter som omfattas av dess tillämpningsområde. Det är, med hänsyn till utredningens omfattande uppdrag och korta utredningstid, inte möjligt att inom ramen för detta uppdrag göra någon djupgående analys av vilka konsekvenser dataskyddsförordningen får för var och en av de många olika verksamheter som finns inom Socialdepartementets verksamhetsområde. De huvudsakliga konsekvenserna av att dataskyddsförordningen ska börja tillämpas kommer dock att beröras i detta avsnitt. De konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde är desamma som för övriga departements verksamhetsområden.

7.2. Personuppgifter kommer inte att kunna behandlas med stöd av missbruksregeln

Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text i ordbehandlingsprogram, i e-post eller på internet är, som anges i avsnitt 3.3.3, tillåten enligt den s.k. missbruksregeln i 5 a § personuppgiftslagen så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet. Missbruksregeln kommer inte att finnas kvar när dataskyddsförordningen ska börja tillämpas.2 Bestämmelserna i dataskyddsförordningen ska i stället tillämpas i sin helhet på all automatiserad behandling av personuppgifter.

Att missbruksregeln försvinner innebär att det beträffande sådan behandling av personuppgifter som i dag är tillåten enbart på grund av att den sker i ostrukturerat material, måste göras en ny bedömning i förhållande till dataskyddsförordningens bestämmelser. Det behöver till en början fastställas ändamål för behandlingen

2SOU 2017:39.

och bedömas om det finns stöd för behandlingen i någon av de rättsliga grunderna i artikel 6 i dataskyddsförordningen. Om någon av de rättsliga grunderna är tillämplig, ska övriga bestämmelser i dataskyddsförordningen iakttas vid den fortsatta behandlingen.

7.3. Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar

Som anges i avsnitt 4.3.4 innebär regleringen i artikel 6.1 andra stycket i dataskyddsförordningen att det inte längre kommer att vara tillåtet för offentliga myndigheter att behandla personuppgifter som ett led i fullgörandet av sina uppgifter med stöd av en intresseavvägning.

Detta betyder att om någon myndighet i dag för sin myndighetsverksamhet behandlar personuppgifter med stöd av en intresseavvägning enligt 10 § f personuppgiftslagen, behöver en bedömning göras av om behandlingen i stället kan ske med stöd av någon annan av grunderna i artikel 6.1 i dataskyddsförordningen. Om det inte finns någon annan tillämplig grund för behandlingen, är den alltså inte tillåten. En myndighets behandling av personuppgifter inom kärnverksamheten som bedömts tillåten efter en intresseavvägning torde dock ofta även vara nödvändig för att utföra en arbetsuppgift av allmänt intresse och därmed tillåten med stöd av artikel 6.1 e i dataskyddsförordningen.3

Behandling av personuppgifter som en myndighet utför utanför den myndighetsspecifika verksamheten med stöd av en intresseavvägning, t.ex. inom personal- eller ekonomiadministration, verkar inte omfattas av begränsningen i artikel 6.1 andra stycket i dataskyddsförordningen.

3 Se Informationshanteringens bedömning i SOU 2015:39 s. 256 där det också ges exempel på några situationer då myndigheters behandling av personuppgifter bedömts tillåten efter en intresseavvägning.

7.4. Rättslig grund för behandling av personuppgifter

Av avsnitt 4.3.4 framgår att det tillkommit nya krav för några av de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i dataskyddsförordningen) måste grunden fastställas i nationell rätt eller EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e i dataskyddsförordningen gäller i stället att syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

Dessa nya villkor måste alltså vara uppfyllda för att de rättsliga grunder som anges artikel 6.1 c och e i dataskyddsförordningen ska vara tillämpliga. Förpliktelser och arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning som inte är rättsligt förankrade kan därmed inte längre åberopas som rättsliga grunder för behandling av personuppgifter. Dataskyddsutredningen har gjort en analys av vad dessa nytillkomna krav innebär.4

Som anges i avsnitt 4.3.3 krävs enligt skäl 50 till dataskyddsförordningen inte längre någon separat rättslig grund vid sådan vidarebehandling som inte hindras av finalitetsprincipen. I stället räcker det med den rättsliga grund med stöd av vilken personuppgifter samlades in. Det kommer således att vara tillräckligt att bedöma om en vidarebehandling är oförenlig med de ändamål för vilka personuppgifterna ursprungligen samlades in. Någon bedömning av vilken rättslig grund vidarebehandlingen har behöver däremot inte göras. För en mer ingående analys av innebörden av finalitetsprincipen hänvisas till Dataskyddsutredningens betänkande.5

4SOU 2017:39 s. 108113. 5SOU 2017:39 s. 224226.

7.5. Känsliga personuppgifter

Som anges i avsnitt 4.3.5 har det i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Flera av de uppgifter som ryms inom de nya kategorierna är redan i dag att betrakta som känsliga personuppgifter, eftersom de omfattas av de nuvarande kategorierna. Till exempel kan genetiska uppgifter avslöja såväl hälsotillstånd som etnisk tillhörighet varför sådana uppgifter redan i dag anses vara känsliga personuppgifter.6 Även de andra nytillkomna kategorierna av känsliga personuppgifter kan i vissa fall också utgöra uppgifter om hälsa (se avsnitt 10.1.11 och 12.8.4). Uppgifter om sexuell läggning lär enligt utredningens bedömning i de flesta fall också vara uppgifter som rör sexualliv. De olika kategorierna av känsliga personuppgifter överlappar alltså i viss mån varandra. Att nya kategorier lagts till innebär dock att det kommer att vara fler uppgifter som kategoriseras som känsliga och som därmed omfattas av dataskyddsförordningens reglering i artikel 9. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.

En verksamhet som har behov av att behandla känsliga personuppgifter måste alltså ha stöd för sådan behandling i artikel 9.2 i dataskyddsförordningen. Dataskyddsutredningen har också föreslagit vissa kompletterande bestämmelser. För en redogörelse av vilka konsekvenser dataskyddsförordningen medför för möjligheterna att behandla känsliga personuppgifter hänvisas därför till Dataskyddsutredningens betänkande.7

För verksamhet som omfattas av en särskild registerförfattning kommer precis som i dag möjligheterna att behandla känsliga personuppgifter att regleras i den författningen.

6Prop. 2005/06:64 s. 63. 7SOU 2017:39 s. 161188.

7.6. Färre uppgifter omfattas av de begränsningar som gäller för uppgifter om lagöverträdelser m.m.

De särskilda regler i personuppgiftslagen som i dag gäller uppgifter om lagöverträdelser omfattar även uppgifter om friande brottmålsdomar och administrativa frihetsberövanden. Att dessa uppgifter inte omfattas av dataskyddsförordningens reglering, vilket framgår av avsnitt 4.3.5, innebär en utökad möjlighet för andra än myndigheter att behandla sådana uppgifter.

Eftersom dataskyddsförordningen inte innehåller någon begränsning i fråga om myndigheters behandling av uppgifter om lagöverträdelser, kommer myndigheter att ha samma möjligheter som i dag att behandla sådana uppgifter. För myndigheter som omfattas av särskilda registerförfattningar kan det dock i dessa författningar finnas bestämmelser som begränsar möjligheterna att behandla uppgifter om lagöverträdelser.

7.7. Utökade rättigheter för den registrerade

Bestämmelserna i dataskyddsförordningen innebär att den registrerades rättigheter utökas och att personuppgiftsansvarigas skyldigheter utökas i motsvarande mån. Informationsskyldigheten i dataskyddsförordningen är t.ex., som framgår av avsnitt 4.3.6, betydligt mer omfattande än vad som gäller enligt dataskyddsdirektivet och personuppgiftslagen. Den registrerade har rätt att få mer information än vad som gäller i dag och det har tillkommit nya situationer när information måste lämnas. Information ska t.ex. lämnas vid vidarebehandling av personuppgifter för annat syfte än det för vilket uppgifterna samlades in och i vissa fall vid personuppgiftsincidenter. Ett krav på att informationen ska lämnas i klar och tydlig form har också tillkommit. Vidare har det skett en viss förskjutning av tidpunkten för när information ska lämnas i fråga om behandling av uppgifter som har samlats in från någon annan än den registrerade.

Som också anges i avsnitt 4.3.6 är rätten att bli bortglömd betydligt mer utförligt reglerad än rätten till utplåning enligt personuppgiftslagen och dataskyddsdirektivet. Vissa undantag finns dock som gör att rätten att bli bortglömd inte gäller för behandling som

sker med stöd av grunderna i artikel 6.1 c och e i dataskyddsförordningen (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning) eller om behandlingen är nödvändig för arkivändamål av allmänt intresse. Det har också tillkommit en rätt att få ofullständiga personuppgifter kompletterade och en skyldighet att i vissa situationer begränsa behandlingen.

Rätten till dataportabilitet är en nyhet i dataskyddsförordningen. Rätten innebär att en verksamhet som omfattas av bestämmelsen är skyldig att tillhandahålla den registrerade uppgifterna i ett strukturerat, allmänt använt och maskinläsbart format. Eftersom rätten till dataportabilitet endast gäller om behandlingen grundar sig på samtycke eller avtal får den sannolikt inte någon större betydelse för verksamhet inom Socialdepartementets verksamhetsområde.

Den registrerades rätt att göra invändningar mot behandling är, som anges i avsnitt 4.3.6, utökad i dataskyddsförordningen på det sättet att det inte längre är den registrerade som ska ha berättigade skäl för sin invändning, utan i stället den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få äga rum. Eftersom bestämmelsen i 12 § personuppgiftslagen, som anger att en registrerad med vissa undantag inte har rätt att motsätta sig en behandling av personuppgifter som är tillåten enligt lagen, kommer att upphävas och någon motsvarande bestämmelse inte föreslås av Dataskyddsutredningen8, kommer den registrerades rätt att göra invändningar att omfatta betydligt fler behandlingar än i dag. Rätten gäller dock endast behandling som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Det finns också undantag från rätten att göra invändningar som avser behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Den utökade rätten att göra invändningar innebär alltså att den personuppgiftsansvarige i fler fall än i dag kommer att behöva pröva invändningar från den registrerade och i förekommande fall avbryta behandlingen av den registrerades personuppgifter.

I registerförfattningar kan det, liksom i dag, finnas bestämmelser som begränsar den registrerades möjlighet att göra invändningar.

8SOU 2017:39.

7.8. Personuppgiftsincidenter ska anmälas

Som anges i avsnitt 4.3.7 innehåller dataskyddsförordningen en ny skyldighet för personuppgiftsansvariga att dokumentera och anmäla personuppgiftsincidenter. Denna nya skyldighet kan komma att innebära att det i verksamheten behövs nya rutiner, särskilt eftersom tidsfristen för anmälan endast är 72 timmar.

7.9. Konsekvensbedömning

Som också framgår av avsnitt 4.3.7 kommer den personuppgiftsansvarige enligt artikel 35 i dataskyddsförordningen att vara skyldig att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. I vissa fall måste även förhandssamråd ske med tillsynsmyndigheten.

Detta är en ny skyldighet för den personuppgiftsansvarige. Skyldigheten har störst betydelse när verksamheten inte omfattas av särskild registerlagstiftning. En konsekvensbedömning enligt artikel 35.10 i dataskyddsförordningen behöver nämligen som regel inte göras vid behandling som utförs med stöd av artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse, allmänt intresse eller myndighetsutövning) när en konsekvensutredning redan har genomförts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen.

7.10. Skyldighet att utse dataskyddsombud

En annan nyhet i dataskyddsförordningen är, som framgår av avsnitt 4.3.8, kravet på att vissa organisationer ska utse ett dataskyddsombud. Kravet medför att de myndigheter och andra organisationer som omfattas av kravet – med iakttagande av dataskyddsförordningens bestämmelser om kvalifikationer och ställning – måste utse ett dataskyddsombud som ska agera självständigt.

Som framgår av avsnitt 4.3.7 är det inte dataskyddsombudet utan den personuppgiftsansvarige och personuppgiftsbiträdet som ska upprätta en förteckning över behandlingar av personuppgifter.

Skyldigheten att anmäla behandlingar till tillsynsmyndigheten försvinner.

7.11. Sanktioner

Som framgår av avsnitt 4.3.11 föreskriver dataskyddsförordningen sanktioner i form av skadestånd och administrativa sanktionsavgifter. Rätten till skadestånd finns föreskriven även i dataskyddsdirektivet och personuppgiftslagen, men en nyhet i dataskyddsförordningen är att även personuppgiftsbiträden kan bli skadeståndsskyldiga. Möjligheten att utfärda administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen är helt ny.

Bestämmelsen om administrativa sanktionsavgifter är direkt tillämplig och gäller både personuppgiftsansvariga och personuppgiftsbiträden. Medlemsstaterna får dock själva avgöra om och i vilken utsträckning tillsynsmyndighetens möjlighet att påföra administrativa sanktionsavgifter ska omfatta myndigheter. Enligt Dataskyddsutredningens förslag ska ett beslut om sanktionsavgifter få riktas även mot statliga och kommunala myndigheter.9

Personuppgiftslagen innehåller, utöver bestämmelser om skadestånd, även en straffbestämmelse (49 §) och en möjlighet för Datainspektionen att utfärda vite (44–46 §§). Medlemsstaterna ska enligt artikel 84 i dataskyddsförordningen fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt sådana som inte är föremål för administrativa sanktionsavgifter. Dataskyddsutredningen har dock bedömt att det inte finns behov av bestämmelser om straff eller vite.10 Ytterligare en nyhet är därmed att dessa bestämmelser försvinner.

9SOU 2017:39 s. 287. 10SOU 2017:39 s. 297.

8. Verksamheter som inte har en registerförfattning

Utredningens bedömning: Det har inte framkommit att några

myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Några av de myndigheter och verksamheter som hör till Socialdepartementets verksamhetsområde har i dag inte en registerförfattning. I utredningsdirektiven anges att det exempelvis gäller Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Dessa myndigheter ska i dag tillämpa personuppgiftslagen vid sin behandling av personuppgifter.

När personuppgiftslagen upphävs kommer myndigheter och verksamheter som inte omfattas av någon registerförfattning i stället att tillämpa dataskyddsförordningen och den föreslagna dataskyddslagen. Utredningen ska enligt utredningsdirektiven undersöka om det till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen behövs kompletterade föreskrifter för vissa myndigheter och verksamheter som i dag saknar särskilda registerförfattningar och i förekommande fall lämna författningsförslag. Som anges i avsnitt 6.1 får detta anses innebära att utredningen ska undersöka om det i dag förekommer någon typ av behandling av personuppgifter med stöd av personuppgiftslagen, t.ex. missbruksregeln i 5 a § eller en intresseavvägning enligt 10 § f personuppgiftslagen, alternativt personuppgiftsförordningen som behöver författningsstöd för att kunna fortsätta. Det är dock endast reglering av sådan behandling av personuppgifter som är mer eller mindre unik

för en viss verksamhet och som därför inte rimligen bör omfattas av en generell reglering som får anses ingå i utredningens uppdrag. Sådan behandling som behöver utföras av flera myndigheter, som hör under flera departement, bör däremot inte specialregleras utan i stället omfattas av den generella regleringen i dataskyddslagen. Som också framgår av avsnitt 6.1 kommer författningsstöd för annat än det som enligt utredningens bedömning är lagligt i dag inte att utredas.

I syfte att undersöka om det behövs kompletterande föreskrifter för de verksamheter som inte har en registerförfattning har utredningen haft särskilda möten med experterna från de myndigheter som omnämns i utredningsdirektiven, dvs. Myndigheten för vård- och omsorgsanalys, Inspektionen för socialförsäkringen, Myndigheten för familjerätt och föräldraskapsstöd och Folkhälsomyndigheten. Det har inte framkommit att dessa myndigheter utför någon myndighetsspecifik behandling av personuppgifter som är tillåten i dag men som behöver författningsregleras för att vara tillåten när personuppgiftslagen upphävs och dataskyddsförordningen ska börja tillämpas. De behandlingar som dessa myndigheter har redogjort för är i stället i de flesta fall sådana som till sin natur är gemensamma för många myndigheter och organisationer. Det är därför inte motiverat att reglera behandlingen särskilt utan denna bör i stället omfattas av den generella regleringen.

Det bör betonas att utredningen inte har bedömt om det är nödvändigt eller lämpligt av annan anledning än den kommande förändringen på grund av EU-regleringen med en författningsreglering av behandlingen av personuppgifter hos de nämnda myndigheterna. Genom tilläggsdirektiv1 har dock utredningen även fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys. Ett betänkande avseende detta uppdrag ska lämnas senast den 15 januari 2018.

Det har inte heller i övrigt framkommit att någon verksamhet eller myndighet inom Socialdepartementets verksamhetsområde behöver kompletterande föreskrifter till följd av personuppgiftslagens upphävande och regleringen i dataskyddsförordningen.

1 Dir. 2017:67.

9. Allmänt om befintliga bestämmelser

9.1. Inledning

I utredningsdirektiven anges inte särskilt många utgångspunkter för översynen av de befintliga registerförfattningarna inom Socialdepartementets verksamhetsområde. Förslagen ska, självklart, stämma överens med EU-rätten. Det gäller att, också det självklart, i den mån det finns utrymme hitta lämpliga avvägningar mellan skyddet för den personliga integriteten och de behov som finns av att behandla personuppgifter. Uttryck, struktur och hänvisningar till dataskyddsförordningen ska vara enhetliga. De befintliga förutsättningarna för en ändamålsenlig behandling ska dock inte försämras.

I detta avsnitt görs generella överväganden som sedan används som en slags mall vid översynen av de enskilda författningarna.

9.2. Det är tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter

Utredningens bedömning: Det är tillåtet att begränsa myndig-

heters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till dataskyddsförordningen. Bestämmelser i registerförfattningar med den innebörden kan och bör därför behållas.

Dataskyddsförordningen är direkt tillämplig och innebär i vissa fall en rätt att behandla personuppgifter (t.ex. när det finns ett giltigt samtycke eller behandlingen är nödvändig för att fullgöra ett avtal,

artikel 6.1 a och b) eller en rätt att slippa göra vissa saker (se t.ex. artikel 11.1) som man inte kan avvika från i nationell rätt. Dataskyddsförordningen innebär i dessa fall alltså att det är otillåtet att inskränka rätten att behandla personuppgifter eller ålägga skyldigheter vid behandling utöver vad som följer av dataskyddsförordningen. Detta gäller helt klart i fråga om enskildas behandling av personuppgifter. När det gäller det allmännas, dvs. myndigheters, behandling av personuppgifter gör utredningen följande bedömning.

Dataskyddsförordningen innebär inte en skyldighet att behandla personuppgifter i de fall det är tillåtet annat än när det föreskrivs en sådan skyldighet, t.ex. när det gäller uppfyllandet av den registrerades rättigheter exempelvis avseende registerutdrag. Dataskyddsförordningen innebär inte heller ett förbud mot att en personuppgiftsansvarig väljer att gå utöver sina skyldigheter enligt dataskyddsförordningen och t.ex. lämna registrerade mera information än som krävs. I den utsträckning personuppgiftsansvariga har en sådan valrätt enligt dataskyddsförordningen, är det utredningens bedömning att medlemsstaterna utan hinder av dataskyddsförordningen genom nationell rätt kan disponera över den valrätten för sina egna myndigheter. Det gäller i Sverige såväl statliga som kommunala myndigheter. Däremot är det förstås inte tillåtet att i nationell rätt föreskriva att myndigheter får göra eller slipper göra något annat än när detta är tillåtet enligt dataskyddsförordningen.

Eftersom det alltså är tillåtet att begränsa myndigheters möjligheter till behandling av personuppgifter och utöka deras skyldigheter i förhållande till vad som gäller enligt dataskyddsförordningen, kan och bör bestämmelser i registerförfattningar med den innebörden behållas.

9.3. Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen

Utredningens bedömning: När den rättsliga grunden för behand-

lingen är att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, kan och bör bestämmelser i registerförfattningar som begränsar myndigheters och enskildas möjligheter till behandling av personuppgifter och utökar deras skyldigheter i förhållande till dataskyddsförordningen behållas.

Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, dvs. behandling som avses i artikel 6.1 c och e i dataskyddsförordningen.

Den rättsliga grund för behandlingen som enligt artikel 6.3 i dataskyddsförordningen i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel på sådana bestämmelser anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Enligt skäl 45 till dataskyddsförordningen ska man dessutom kunna precisera kraven för att fastställa vem den personuppgiftsansvarige är. Medlemsstaternas nationella rätt bör, enligt det skälet, också reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig

lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

Den rättsliga regleringen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Medlemsstaternas nationella lagstiftning får alltså enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Dataskyddsförordningen hindrar inte att medlemsstaterna i nationell rätt inför mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter (se avsnitt 9.2). Även behandling som utförs av privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stödjer sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse eller utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Det innebär att det är möjligt att såväl begränsa enskildas möjligheter till behandling av personuppgifter som att utöka deras skyldigheter i samband med behandlingen.

Den nationella lagstiftningen ska som nämnts uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Det får förutsättas att lagstiftaren i samband med tidigare författningsarbeten har gjort en proportionalitetsbedömning och bedömt att lagstiftningen syftar till att uppfylla ett mål av allmänt intresse. Kraven på bestämmelserna enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen får därmed anses redan vara uppfyllda.

Det lär även i övrigt finnas vissa gränser för vilka begränsningar som kan införas på nationell nivå. De specifika bestämmelserna enligt artikel 6.2 och 6.3 i dataskyddsförordningen lär t.ex. inte få innebära att det i praktiken blir omöjligt att genomföra behandling som är nödvändig för att enskilda ska kunna fullgöra en rättslig förpliktelse. Det är utredningens bedömning att det i registerförfattningarna inte finns några bestämmelser som ens närmar sig gränsen för det otillåtna.

9.4. Registerförfattningarnas syfte

Utredningens bedömning: Bestämmelser om registerförfatt-

ningars syfte påverkas inte av dataskyddsförordningen.

Dataskyddsförordningen syftar enligt artikel 1 till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Dataskyddsförordningen ska enligt skäl 10 säkerställa en enhetlig och hög skyddsnivå och undanröja hinder för flödet av personuppgifter inom EU. Medlemsstaterna tillåts dock att behålla eller införa nationell reglering för att närmare fastställa hur dataskyddsförordningens bestämmelser ska tillämpas när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av en rättslig förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning som anges i artikel 6.1 c och e.

I registerförfattningar förekommer ibland bestämmelser som anger det övergripande syftet med lagen. Sådana bestämmelser är ofta utformade på ett sätt som uttrycker den avvägning lagstiftaren gjort mellan intresset av skydd för den personliga integriteten och intresset av att den aktuella verksamheten ska kunna bedrivas på ett ändamålsenligt och effektivt sätt. Bestämmelser om syftet med en lag innehåller oftast inte någon materiell reglering utan utgör i stället en sorts förklaring till vad som är målet med lagens bestämmelser.

Dataskyddsförordningen innehåller inte några bestämmelser som tar sikte på vilket syfte som anges för nationella bestämmelser som kompletterar förordningen. Eftersom bestämmelser om syftet med en viss lagstiftning sällan har någon materiell betydelse, finns det inte något som hindrar att den typen av bestämmelser behålls i den nationella lagstiftningen.

9.5. Registerförfattningarnas tillämpningsområde

Utredningens bedömning: Bestämmelser i registerförfattningar

om inom vilken verksamhet samt på vilka typer av behandlingar och uppgifter författningen ska tillämpas påverkas inte av dataskyddsförordningen och bör inte ändras.

Om registerförfattningen omfattar verksamhet som faller under tillämpningsområdet för det nya dataskyddsdirektivet, krävs det dock särskilda överväganden.

Av artikel 2.1 i dataskyddsförordningen framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Med personuppgifter avses enligt artikel 4.1 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Tillämpningsområdet anges i dataskyddsdirektivet i relevanta delar på samma sätt som i dataskyddsförordningen.

I 5 § personuppgiftslagen används inte begreppet register, utan en modifierad formulering av dataskyddsdirektivets definition av ett register, nämligen en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Enligt 3 § personuppgiftslagen avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Formuleringarna i personuppgiftslagen är avsedda att motsvara vad som gäller enligt dataskyddsdirektivet.

Registerförfattningarna omfattar i allmänhet samma typer av behandlingar och personuppgifter som dataskyddsdirektivet, personuppgiftslagen och dataskyddsförordningen. Ibland är tillämpningsområdet inskränkt till att avse bara viss typ av behandling, t.ex. automatiserad, eller typ av personuppgift och ibland är tillämpningsområdet utvidgat till att avse ytterligare uppgifter, t.ex. uppgifter om avlidna eller juridiska personer. Registerförfattningar reglerar vidare bara behandling inom en viss i författningen angiven verksamhet.

Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning. Frågor som ligger utanför dataskyddsförordningens tillämpningsområde kan således regleras i en författning som kompletterar dataskyddsförordningen och en sådan författning behöver inte reglera alla typer av behandlingar eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer. Att medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter avseende avlidna personer framgår dessutom av skäl 27 till dataskyddsförordningen. De registerförfattningar som i dag gäller för uppgifter om avlidna personer eller juridiska personer kan således även fortsättningsvis tillämpas på sådana uppgifter. Utredningens slutsats är alltså att bestämmelser i registerförfattningar som reglerar vilka typer av behandlingar och uppgifter författningen ska tillämpas på inte behöver ändras med anledning av dataskyddsförordningen. Även bestämmelser som styr vilken verksamhet författningen ska tillämpas på kan som regel behållas.

Om författningen omfattar behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, kan dock en förändring av tillämpningsområdet krävas. Dataskyddsförordningen ska nämligen enligt artikel 2.2 d inte tillämpas på sådan behandling av personuppgifter. Sådan behandling omfattas i stället av det nya dataskyddsdirektivet. Det innebär att det finns myndigheter som kommer att behöva

tillämpa regleringen i dataskyddsförordningen, jämte den kompletterande nationella lagstiftningen, för behandling av personuppgifter i en del av verksamheten och den nationella reglering som genomför det nya dataskyddsdirektivet för behandling av personuppgifter i en annan del av verksamheten. Det gäller framför allt myndigheterna inom rättskedjan men även andra myndigheter kan ha uppdrag som i någon del innebär brottsbekämpning, lagföring eller verkställighet av straffrättsliga påföljder. Inom Socialdepartementets verksamhetsområde aktualiseras denna gränsdragning i samband med rättspsykiatrisk vård och viss vård inom socialtjänsten som innebär att straffrättsliga påföljder verkställs. Hur denna gränsdragningsfråga bör hanteras redogör utredningen för i de avsnitt där de berörda författningarna analyseras, se avsnitt 10.1.1, 10.9.1 och 10.10.1.

9.6. Registerförfattningarnas förhållande till annan dataskyddsreglering

Utredningens förslag: Registerförfattningarna ska innehålla en

upplysning om att författningarna kompletterar dataskyddsförordningen.

Dataskyddslagen bör gälla, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den. Det bör det upplysas om.

Om registerförfattningen vid viss behandling kompletteras av brottsdatalagen, ska det i registerförfattningen upplysas om det.

I registerförfattningarna finns det ofta en bestämmelse som anger hur författningen förhåller sig till personuppgiftslagen. I samband med att dataskyddsförordningen och den föreslagna dataskyddslagen börjar tillämpas kommer personuppgiftslagen att upphävas.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Registerförfattningarna kommer endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i registerförfattningarna.

Hänvisningen till dataskyddsförordningen ska vara dynamisk och gälla oavsett lydelse. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs.1 Eftersom dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen i det här fallet endast är att upplysa om att dataskyddsförordningen gäller, framstår det som lämpligast att tillämpa en dynamisk hänvisning.

Den föreslagna dataskyddslagen är tänkt att, på samma sätt som personuppgiftslagen, vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter2. Registerförfattningarna är normalt inte subsidiära i förhållande till annan lagstiftning. På Socialdepartementets verksamhetsområde finns det ingen registerförfattning som gäller i stället för personuppgiftslagen, utan författningarna gäller så att säga utöver den lagen och innehåller bara de särbestämmelser som ansetts nödvändiga på det aktuella området. Den regleringstekniken – att registerförfattningen gäller utöver den generella nationella regleringen av behandling av personuppgifter – kan och bör behållas. Eftersom dataskyddslagen som nämnts är tänkt att vara subsidiär, liksom personuppgiftslagen är i dag, behövs ingen materiell bestämmelse för att uppnå detta. Registerförfattningarna innehåller dock, som också nämnts, ändå ofta en bestämmelse om förhållandet till personuppgiftslagen, normalt en upplysning om att personuppgiftslagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, anser utredningen att det är nyttigt att uttryckligen upplysa om inte bara att registerförfattningen kompletterar dataskyddsförordningen utan också att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen. Registerförfattningarna bör därför innehålla en sådan upplysning.

När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.

1Prop. 2015/16:156 s. 34. 2SOU 2017:39 s. 8385.

En bestämmelse om förhållandet till dataskyddsförordningen och dataskyddslagen kan lämpligen utformas enligt följande mönster.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Bestämmelser om förhållandet till personuppgiftslagen finns även i vissa författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anslutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. Även sådana bestämmelser bör ändras i enlighet med vad som anges ovan. En upplysningsbestämmelse om förhållandet till dataskyddsförordningen och dataskyddslagen bör utformas på det sätt som anges ovan. Eftersom den typen av författningar även reglerar annat än behandling av personuppgifter, bör det dock läggas till att lagen i dessa fall kompletterar dataskyddsförordningen endast vid behandling av personuppgifter.

Vid behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, gäller som nämnts (avsnitt 9.5) inte dataskyddsförordningen utan det nya dataskyddsdirektivet. Utredningen om 2016 års dataskyddsdirektiv har föreslagit en brottsdatalag för att genomföra det nya dataskyddsdirektivet.3 Brottsdatalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning. En registerförfattning som gäller för behandling som omfattas av det nya dataskyddsdirektivet kommer alltså att kompletteras av brottsdatalagen i stället för dataskyddsförordningen och dataskyddslagen. Detta bör det också upplysas om i registerförfattningen. Det är inom Socialdepartementets

3SOU 2017:29.

verksamhetsområde aktuellt bara i fråga om patientdatalagen, se avsnitt 10.1.3.

Det förekommer vidare behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet. Ett exempel är behandling av personuppgifter inom hälso- och sjukvård i vissa delar av Försvarsmaktens verksamhet. Dataskyddsutredningen har emellertid föreslagit att sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och som därmed enligt artikel 2.2 a i dataskyddsförordningen inte heller omfattas av dataskyddsförordningen ändå ska regleras av dataskyddsförordningen och dataskyddslagen, om det inte finns avvikande bestämmelser i annan författning.4 Om en registerförfattning reglerar behandling av personuppgifter som inte omfattas av vare sig dataskyddsförordningen eller det nya dataskyddsdirektivet, kommer registerförfattningen således att kompletteras av dataskyddsförordningen, på grund av bestämmelsen i dataskyddslagen, och dataskyddslagen.

9.7. Personuppgiftsansvar

Utredningens bedömning: Bestämmelser i registerförfattningar

om vem som är personuppgiftsansvarig kan och bör behållas. Även bestämmelser om personuppgiftsansvar som i praktiken utesluter vissa från möjligheten att behandla personuppgifter kan och bör behållas, om behandlingen enligt artikel 6.1 e dataskyddsförordningen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella

4SOU 2017:39 s. 89.

rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Motsvarande gäller enligt artikel 2 d i dataskyddsdirektivet.

Det är således lika tillåtet enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig som enligt dataskyddsdirektivet. Om den personuppgiftsansvarige finns angiven i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.

Enligt skäl 45 till dataskyddsförordningen bör medlemsstaternas nationella rätt reglera frågan huruvida en personuppgiftsansvarig som utför en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation. Med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen och det skälet bör enligt utredningens bedömning även bestämmelser, som i praktiken förbjuder andra än den eller de som utpekats som personuppgiftsansvarig att utföra viss behandling av personuppgifter, behållas. Det gäller när behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e), men inte när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c).

Utredningens slutsats är att bestämmelser i registerförfattningar om vem som är personuppgiftsansvarig kan och bör behållas. Innebär bestämmelsen i praktiken att vissa utesluts från möjligheten att behandla personuppgifter, måste det dock undersökas om behandlingen grundas på artikel 6.1 e i dataskyddsförordningen, i vilket fall bestämmelsen är tillåten och bör behållas.

9.8. Begreppet allmänt intresse

9.8.1. Bestämmelser om allmänt intresse i dataskyddsförordningen och dataskyddsdirektivet

Begreppet allmänt intresse återkommer på flera ställen i dataskyddsförordningen. Personuppgifter får enligt artikel 6.1 e i dataskyddsförordningen behandlas om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Ett viktigt allmänt intresse motiverar enligt artikel 9.2 g i dataskyddsförordningen också undantag från förbudet att behandla känsliga personuppgifter. Vidare kan det enligt artikel 23.1 e i dataskyddsförordningen vara tillåtet att införa begränsningar av vissa skyldigheter och rättigheter enligt dataskyddsförordningen, om det sker för viktiga mål av generellt allmänt intresse. Viktiga skäl som rör allmänintresset kan enligt artikel 49.1 d i dataskyddsförordningen även motivera en överföring av personuppgifter till tredjeland.

I dataskyddsdirektivet används begreppet allmänt intresse på i huvudsak samma sätt som enligt dataskyddsförordningen (artikel 7 e, artikel 8.4 och artikel 26.1 d).

Vad som är ett allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförordningen. Innebörden av begreppet allmänt intresse har ännu inte heller närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter, men EU-domstolen har ansett att bestämmelserna i dataskyddsdirektivet om rättslig förpliktelse, allmänt intresse och myndighetsutövning är tillräckligt precisa för att ha s.k. direkt effekt.5

I dataskyddsdirektivets skäl 34 anges folkhälsa och socialskydd – inklusive sjukförsäkringssystemet, vetenskaplig forskning och offentlig statistik – som viktiga allmänna intressen som motiverar undantag från förbudet att behandla känsliga personuppgifter:

När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock

5 EU-domstolens dom av den 20 maj 2003, Österreichischer Rundfunk m.fl. C-465/00, C-138/01 och C-139/01, EU:C:2003:294.

åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.

Motsvarande skrivning finns inte i dataskyddsförordningen. Däremot framgår av skäl 45 till dataskyddsförordningen att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset.

Datalagskommittén har som exempel på arbetsuppgifter som kan vara av allmänt intresse nämnt arkivering, forskning, framställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar och registrering som sker av personer som har fått allmänt erkända utmärkelser, t.ex. Nobelpris.6 Datainspektionen har bl.a. ansett att förbättrande av kvaliteten inom hälso- och sjukvården innebär en verksamhet av allmänt intresse.7

I andra lagförarbeten har det ansetts vara ett viktigt allmänt intresse t.ex. att Rättsmedicinalverket kan upprätthålla och förbättra kvaliteten och enhetligheten i sitt arbete med uppföljning, utvärdering och kvalitetssäkring8, att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredsställande sätt9 och att Inspektionen för socialförsäkringen får behandla känsliga personuppgifter vid sin tillsyn och granskning10.

Dataskyddsutredningen har bedömt att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla arbetsuppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även obligatoriska arbetsuppgifter som utförs av kommuner och landsting, till följd av deras åligganden enligt lag eller förordning, bedöms av Dataskyddsutredningen vara av allmänt intresse i dataskyddsförordningens mening.11

Ett viktigt allmänt intresse motiverar som nämnts undantag från förbudet att behandla känsliga personuppgifter. I artikel 9.2 g i

6SOU 1997:39 s. 361. 7 Nationella kvalitetsregister, Datainspektionens rapport 2002:1 s. 9. 8Prop. 1998/99:72 s. 38. 9Prop. 2000/01:80 s. 144. 10SOU 2014:67 s. 112. 11SOU 2017:39 s. 124.

dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Motsvarande undantag från förbudet att behandla känsliga personuppgifter finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att undantag får göras i nationell rätt av hänsyn till ett viktigt allmänt intresse, förutsatt att sådana undantag förses med lämpliga skyddsåtgärder. Med stöd av undantaget har det i 19 § personuppgiftslagen införts en möjlighet att behandla känsliga personuppgifter för forsknings- och statistikändamål. I 20 § personuppgiftslagen har regeringen eller den myndighet som regeringen bestämmer fått bemyndigande att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Bemyndigandet har bl.a. utnyttjats genom att det har införts en bestämmelse i 8 § personuppgiftsförordningen om att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I övrigt har möjligheten till undantag utnyttjats i olika registerförfattningar, som medger behandling av känsliga personuppgifter.

Informationshanteringsutredningen ansåg i sitt betänkande med förslag till myndighetsdatalag att bestämmelsen i 8 § personuppgiftsförordningen kunde utsträckas till att omfatta även annan myndighetsverksamhet än ärendehandläggning, så länge det rör sig om behandling av känsliga personuppgifter i löpande text. Sådan behandling ansågs alltså vara ett viktigt allmänt intresse. Det ansågs däremot inte möjligt att motivera att det med hänsyn till ett viktigt allmänt intresse finns ett behov hos alla myndigheter att i verksamhet som inte utgör handläggning av ärenden bygga upp datoriserade uppgiftssamlingar, exempelvis i form av regelrätta register eller databaser, där känsliga personuppgifter får registreras i strukturerad form.12

12SOU 2015:39 s. 307.

Dataskyddsutredningen har mot bakgrund av den remisskritik som uttalats mot Informationshanteringsutredningens förslag haft som utgångspunkt att någon större utvidgning av myndigheternas möjligheter att behandla känsliga personuppgifter inte bör införas genom den föreslagna dataskyddslagen.13 Enligt 3 kap. 3 § förslaget till dataskyddslag får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.14

Enligt artikel 23.1 e i dataskyddsförordningen kan det vara tillåtet att i EU-rätten eller nationell rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för vissa skyldigheter och rättigheter enligt dataskyddsförordningen, om det sker för ”viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet”. Frågan är om den omständigheten att det i artikel 23.1 e talas om ett generellt allmänt intresse innebär något annat än begreppet allmänt intresse som anges i artikel 6.1 e i dataskyddsförordningen. Sannolikt är avsikten att tillägget generellt innebär att det krävs ett något mindre specifikt allmänt intresse än enligt artikel 6.1 e i dataskyddsförordningen. I avsaknad av ytterligare tolkningsdata går det dock inte att dra några säkra slutsatser om vad som avses.

I fråga om överföring av personuppgifter till tredjeland, kan viktiga skäl som rör allmänintresset enligt artikel 49.1 d i dataskyddsförordningen motivera en överföring även om det inte finns beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. I skäl 112 till dataskyddsförordningen tas internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårds-

13SOU 2017:39 s. 175. 14SOU 2017:39.

myndigheter upp som uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen.

9.8.2. Att bedriva verksamhet som ska finnas i enlighet med internationella rättighetsstadgor är ett viktigt allmänt intresse

Utredningens bedömning: Att bedriva verksamhet som ska finnas

i enlighet med internationella rättighetsstadgor – bl.a. hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten – är sådana allmänna intressen som avses i artikel 6.1 e, 9.2 g, 23.1 e och 49.1 d i dataskyddsförordningen.

I Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), rättighetsstadgan, anges rättigheter, friheter och principer som medlemsstaterna ska respektera, iaktta och främja vid tillämpning av EU-rätten. Enligt artikel 33 ska skyddet av familjen på det rättsliga, ekonomiska och sociala planet säkerställas. Enligt artikel 34.1 erkänner och respekterar unionen rätten till tillgång till social trygghet och sociala förmåner som garanterar skydd i sådana fall som moderskap, sjukdom, olyckor i arbetet, omsorgsbehov eller ålderdom samt vid arbetslöshet i enlighet med närmare bestämmelser i unionsrätten samt nationell lagstiftning och praxis. Vidare har var och en enligt artikel 35 rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i nationell lagstiftning och praxis. En hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.

Även i Europarådets sociala stadga anges mål som de stater som ratificerat stadgan, däribland samtliga medlemsstater i EU, har åtagit sig att med alla lämpliga medel försöka förverkliga. Det gäller bl.a. att var och en har rätt till respekt för sitt familjeliv (artikel 7) och att rätten att bilda familj ska garanteras i nationell rätt (artikel 9). Var och en har också rätt att komma i åtnjutande av alla åtgärder som kan bidra till att ge honom eller henne bästa möjliga hälsotillstånd, vilket inkluderar att så långt som möjligt undanröja orsakerna till ohälsa, att lämna råd och upplysningar för befrämjande av

god hälsa och uppmuntran till personligt ansvarstagande i hälsofrågor samt att så långt som möjligt förebygga uppkomsten av epidemier, folksjukdomar och andra sjukdomar samt olycksfall (artikel 11). Ett annat mål är att alla arbetstagare och deras anhöriga ska ha rätt till social trygghet, vilket ska uppnås genom ett socialt trygghetssystem (artikel 12). Den som saknar tillräckliga resurser och som inte heller kan få medel för sin försörjning från ett socialförsäkringssystem har rätt till nödvändig social hjälp och vid sjukdom den vård deras tillstånd kräver (artikel 13). Var och en har rätt att få tillgång till sociala tjänster och för detta syfte ska särskilda organ inrättas (artikel 14). Varje äldre person har rätt till socialt skydd (artikel 23) och var och en har rätt till skydd mot fattigdom och social utslagning (artikel 30).

De rättigheter, friheter, principer och mål som anges i rättighetsstadgan och i Europarådets sociala stadga har tagits med på grund av deras grundläggande och allmängiltiga karaktär. Samtliga medlemsstater i EU har åtagit sig att respektera, iaktta och främja dessa rättigheter, friheter, principer och mål, som mot bakgrund av detta måste anses vara av viktigt allmänt intresse respektive av generellt allmänt intresse. Såväl hälso- och sjukvård som socialförsäkringen och det sociala trygghetssystemet med bl.a. försörjningsstöd och stöd till funktionshindrade bör därmed anses utgöra allmänna intressen.

Det krävs en omfattande administration för att vidta åtgärder i syfte att tillhandahålla de rättigheter som föreskrivs i de internationella rättighetsstadgorna. Att de ansvariga institutionerna kan administrera sin verksamhet på ett ändamålsenligt sätt är en förutsättning bl.a. för att det ska gå att tillhandahålla en säker och trygg hälso- och sjukvård och för att de sociala trygghetssystemen ska kunna fungera. Även den administration som krävs för att tillhandahålla förmåner, vård och andra rättigheter, får därmed anses ligga inom ramen för vad som är ett allmänt intresse och viktigt allmänt intresse.

Med stöd av regleringen i internationella rättighetsstadgor, som omfattar alla medlemsstater i EU, anser utredningen således att bedrivandet av verksamhet med hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten, inklusive den administration dessa verksamheter kräver, är sådana allmänna intressen som avses i artikel 6.1 e, som

gör behandlingen tillåten, artikel 9.2 g, som gör behandling av även känsliga personuppgifter tillåten, artikel 23.1 g, som kan motivera en begränsning av de registrerades rättigheter, och artikel 49.1 d, som kan motivera en överföring av personuppgifter till tredjeland.

9.8.3. Redan gjorda bedömningar av allmänt intresse har alltjämt giltighet

Utredningens bedömning: Behandling av personuppgifter som

har tillåtits i en registerförfattning på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet, får också anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Bestämmelser om detta kan och bör behållas.

Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet reglerar behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Bestämmelser om detta kan och bör behållas.

Det finns inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.15

Utredningens förslag och analys bör som redan nämnts (avsnitt 6.1) bygga på de bedömningar och avvägningar som redan gjorts i samband med att registerförfattningarna införts. Det gäller även om bedömningarna inte alltid framgår uttryckligen av förarbetena. Det som enligt dataskyddsdirektivet har ansetts utgöra ett allmänt intresse respektive viktigt allmänt intresse, får därför också anses utgöra ett allmänt intresse respektive viktigt allmänt

15SOU 2017:39 s. 123.

intresse enligt dataskyddsförordningen. Detta innebär att när behandling av personuppgifter har tillåtits i en registerförfattning med stöd av artikel 7 e i dataskyddsdirektivet på den grunden att den ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, får behandlingen också anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Om behandling av känsliga personuppgifter har tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet, har det redan bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen är därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet. Det innebär att behandling av känsliga personuppgifter som har stöd i artikel 8.4 i dataskyddsdirektivet också, under förutsättning av proportionalitet och bestämmelser om skyddsåtgärder (se avsnitt 9.11.3), har stöd i både artikel 9.2 g och 6.1 e i dataskyddsförordningen.

Även om det inte anges något uttryckligt om det rättsliga stödet i förarbetena till en registerförfattning, är det ofta tydligt att den aktuella behandlingen inte kan stödja sig på annat än artikel 7 e respektive 8.4 i dataskyddsdirektivet.

9.9. Principer för behandling av personuppgifter

Utredningens bedömning: Artikel 5 i dataskyddsförordningen,

som slår fast grundläggande principer för behandling av personuppgifter, är tvingande och gäller t.ex. även när det av en registerförfattning framgår att personuppgifter får behandlas för ett visst ändamål. Detta innebär ingen skillnad i förhållande till vad som gäller enligt personuppgiftslagen.

I artikel 5 i dataskyddsförordningen finns ett antal principer som gäller för all behandling av personuppgifter. Det rör sig om principen om laglighet, korrekthet och öppenhet (a), principen om ändamålsbegränsning (b), principen om uppgiftsminimering (c), principen om korrekthet (d), principen om lagringsminimering (e) och principen om integritet och konfidentialitet (f). En närmare redogörelse av principernas innebörd finns i avsnitt 4.3.3. Principerna motsvarar i stort sett de principer som framgår av artikel 6 i dataskyddsdirektivet

och de grundläggande krav på behandling av personuppgifter som gäller enligt 9 § personuppgiftslagen.

Dataskyddsförordningen är direkt tillämplig och tvingande i de delar den inte tillåter nationell reglering. Enligt artikel 23 i dataskyddsförordningen är det under vissa förutsättningar möjligt att införa en nationell lagstiftningsåtgärd som begränsar tillämpningsområdet för artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Om någon begränsning inte har införts i den nationella lagstiftningen, ska dock artikel 5 tillämpas även när en registerförfattning är tillämplig.

Att artikel 5 i dataskyddsförordningen gäller vid sidan av regleringen i en registerförfattning innebär ingen förändring i förhållande till vad som gäller i dag. Även om personuppgiftslagen är subsidiär i förhållande till registerförfattningarna, har utgångspunkten för de allra flesta registerförfattningar varit att 9 § personuppgiftslagen huvudsakligen ska tillämpas.16 Att det av en registerförfattning framgår att personuppgifter får behandlas för ett visst ändamål, innebär således inte att t.ex. irrelevanta eller onödigt många personuppgifter får behandlas för ändamålet. Oavsett om ändamålet för behandling av personuppgifter har fastställts i författning eller inte är det alltid den personuppgiftsansvarige som enligt artikel 5.2 i dataskyddsförordningen ansvarar för och ska kunna visa att principerna i artikel 5 efterlevs.

I fråga om finalitetsprincipen (9 § första stycket d och andra stycket personuppgiftslagen) finns i registerförfattningar ofta en uttrycklig hänvisning till personuppgiftslagen. Denna hänvisning bör dock, i enlighet med vad som framgår av avsnitt 9.10.3, ses som ett förtydligande och inte som en materiell regel.

16 Se t.ex. prop. 2002/03:135 s. 131, prop. 2007/08:126 s. 63 och prop. 2008/09:145 s. 343.

9.10. Rättslig grund för behandling av personuppgifter

9.10.1. Laglig behandling av personuppgifter vid rättslig förpliktelse, allmänt intresse och myndighetsutövning

Utredningens bedömning: Ändamålsbestämmelser i register-

författningar som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning har stöd i dataskyddsförordningen. Någon ytterligare analys av vilket stöd redan befintliga ändamål har krävs inte för att konstatera att behandlingen är laglig och har nödvändigt författningsstöd. Ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter kan och bör behållas.

Ändamål och grund för behandling av personuppgifter

Behandling av personuppgifter är laglig enligt dataskyddsförordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1. i dataskyddsförordningen är uppfyllt. Det första alternativa villkoret är att den registrerade har lämnat sitt samtycke till behandlingen (a). Behandling av personuppgifter kan också ske om den är nödvändig för att fullgöra ett avtal (b) eller en rättslig förpliktelse (c), för att skydda intressen som är av grundläggande betydelse för en fysisk person (d) eller för att utföra en (arbets)uppgift av allmänt intresse eller som ett led i myndighetsutövning (e). Personuppgifter kan slutligen behandlas med stöd av en intresseavvägning (f).

Motsvarande krav på att behandlingen ska vara nödvändig finns i artikel 7 i dataskyddsdirektivet. EU-domstolen har uttalat att begreppet nödvändigt i dataskyddsdirektivet har en unionsrättslig innebörd. Kravet på nödvändighet enligt dataskyddsdirektivet har inte ansetts innebära att det ska vara omöjligt att utföra en uppgift om inte personuppgifter behandlas. Trots att en uppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan behandlingen anses nödvändig om den innebär effektivitetsvinster.17

17 Dom av den 16 december 2008, Huber C-524/06, EU:C:2008:724, och SOU 2017:39 s. 105106.

Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i artikel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen. En skillnad är dock att myndigheter enligt dataskyddsförordningen inte får behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina uppgifter.

I registerförfattningar anges ofta ändamål för vilka personuppgifter får behandlas. Behandling av personuppgifter för dessa ändamål måste vara förenlig med den grundläggande dataskyddslagstiftningen och det får därför förutsättas att man under författningsarbetet har funnit stöd för behandling av personuppgifter enligt ändamålen i artikel 7 i dataskyddsdirektivet. Bortsett från eventuella ändamål som stödjer sig på intresseavvägningar i myndigheters verksamhet, har ändamålen nu motsvarande stöd i dataskyddsförordningen. De ändamål som anges i registerförfattningarna har ofta stöd i någon av grunderna rättslig förpliktelse, allmänt intresse eller myndighetsutövning. Grunderna är ibland överlappande på så sätt att ett ändamål kan ha stöd i mer än en grund. Exempelvis kan en rättslig förpliktelse att föra ett visst register även anses utgöra en arbetsuppgift av allmänt intresse. Någon ytterligare analys av vilket stöd redan befintliga ändamål, som grundar sig på en rättslig förpliktelse, allmänt intresse eller myndighetsutövning (artikel 7 c och e i dataskyddsdirektivet), har i dataskyddsförordningen, krävs därför inte för att konstatera att behandlingen är laglig enligt dataskyddsförordningen. Det gör att sådana ändamålsbestämmelser kan och bör behållas.

Eftersom befintliga ändamålsbestämmelser i registerförfattningar som tillåter behandling av personuppgifter således inte behöver ändras, blir det inte aktuellt att göra en analys i förhållande till bestämmelserna i 2 kap. 6 § andra stycket och 20 och 21 §§regeringsformen om möjligheterna att med stöd av lag göra betydande intrång i den personliga integriteten.

Grunden för behandlingen ska fastställas rättsligt

Den grund för behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (allmänt intresse och myndighetsutövning) i dataskyddsförordningen ska enligt artikel 6.3 fastställas i enlighet med EU-rätten eller den nationella rätt som den

personuppgiftsansvarige omfattas av. Dataskyddsutredningen har konstaterat att detta innebär ett krav på att rättsliga förpliktelser och arbetsuppgifter av allmänt intresse och som ett led i myndighetsutövning ska vara rättsligt förankrade i unionsrätten eller i medlemsstatens nationella rätt för att de ska kunna åberopas som rättsliga grunder för behandling av personuppgifter. Någon särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas bedöms dock inte krävas. Inte heller behöver den rättsliga grunden vara fastställd i eller i enlighet med en av riksdagen beslutad lag. Grunden måste dock vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt.18 Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EU-domstolen och Europadomstolen.

Myndighetsutövning mot enskild måste alltid ha stöd i författning (8 kap. 2 § 2 och 3 § regeringsformen). Grunden för behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift som ett led i den personuppgiftsansvariges myndighetsutövning mot enskild är således redan fastställd i nationell rätt. Rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. I vissa fall kan den rättsliga förpliktelsen framgå av registerförfattningen, t.ex. bestämmelser om att ett visst register ska föras, att personuppgifter ska gallras, att uppgifter ska lämnas ut eller att patientjournaler ska föras. När behandling som tillåts enligt registerförfattning grundas på en rättslig förpliktelse eller myndighetsutövning får det förutsättas att författningsstödet för förpliktelsen respektive myndighetsutövningen identifierats när behandlingen tilläts. Det gör att utredningen kan utgå från att nödvändiga författningsbestämmelser finns när behandling har tillåtits i en registerförfattning med stöd av artikel 7 c eller, såvitt gäller myndighetsutövning, artikel 7 e i dataskyddsdirektivet.

Ändamålsbestämmelser i registerförfattningar inom Socialdepartementets verksamhetsområde grundar sig ofta på arbetsuppgifter av allmänt intresse (artikel 7 e i dataskyddsdirektivet). Arbetsuppgifterna härrör mestadels från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar, t.ex. hälso- och sjuk-

18SOU 2017:39 s. 108113.

vårdslagen (2017:30), läkemedelslagen (2015:315), socialtjänstlagen (2001:453), socialförsäkringsbalken och myndigheters instruktioner. Arbetsuppgifterna kan också anges i regeringsbeslut såsom regleringsbrev och andra regeringsuppdrag. Den rättsliga grunden för behandling av personuppgifter för arbetsuppgifter av allmänt intresse är således i de allra flesta fall fastställd genom någon annan rättsakt än registerförfattningen. Skulle så inte vara fallet, är den rättsliga grunden i vart fall fastställd genom registerförfattningens ändamålsbestämmelse. Något ytterligare rättsligt fastställande behövs inte enligt artikel 6.3 i dataskyddsförordningen.

Syftet med behandlingen vid rättslig förpliktelse ska vara fastställt

I fråga om rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen krävs enligt artikel 6.3 i dataskyddsförordningen att syftet med behandlingen är fastställt i den rättsliga grunden. Det framgår inte av dataskyddsförordningen att syftet ska vara fastställt i en registerförfattning som reglerar behandling av personuppgifter utan syftet kan enligt utredningens bedömning även finnas i exempelvis den författning som reglerar själva verksamheten. Den rättsliga förpliktelsen och syftet med behandlingen behöver inte heller framgå av samma författning. Oavsett hur detta har reglerats, får enligt utredningens bedömning det som krävs enligt artikel 6.3 i dataskyddsförordningen anses uppfyllt.

Syftet med behandlingen ska vara nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning

För behandling av personuppgifter för att utföra arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen finns det inget krav på att syftet med behandlingen av personuppgifter ska framgå av den rättsliga grunden; i stället ska syftet enligt artikel 6.3 vara nödvändigt för att utföra arbetsuppgiften av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Som konstaterats tidigare i detta avsnitt bör tidigare gjorda bedömningar av att en behandling av personuppgifter har lagligt stöd i artikel 7 i dataskyddsdirektivet godtas. Det får förutsättas att bedömningarna även innefattat ett ställningstagande till att syftet med behandling av personuppgifter för ändamålet är nödvändigt för att utföra den arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning som utgör grund för behandlingen. Eftersom ett sådant ställningstagande behövs för att det ur ett integritetsperspektiv ska kunna bedömas vara motiverat att över huvud taget behandla personuppgifterna, är det rimligt att förutsätta att ett sådant ställningstagande redan finns. Några nya bedömningar av syftet med behandlingen krävs därför inte.

Det sagda gäller också sådana bestämmelser i registerförfattningar om s.k. sekundära ändamål som tillåter utlämnande generellt till andra aktörer med stöd av bestämmelser i andra författningar om att uppgifter får lämnas ut, t.ex. bestämmelser om att uppgifter får lämnas ut utan hinder av sekretess eller att uppgifter får lämnas ut elektroniskt. Införandet av dessa bestämmelser har föregåtts av avvägningar mellan effektivitet och integritet och syftet med sådana utlämnanden får därför förutsättas vara nödvändigt för att utföra arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning.

Proportionalitet och mål av allmänt intresse

Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter enligt artikel 6.1 c och e i dataskyddsförordningen måste enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Det får förutsättas att de ändamål som fastställts i befintliga registerförfattningar med stöd av artikel 7 c och e i dataskyddsdirektivet i samband med tidigare författningsarbeten har bedömts relevanta och proportionerliga i förhållande till det integritetsintrång de kan innebära och att det finns mål av allmänt intresse. Kraven på bestämmelserna enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen får därmed anses redan vara uppfyllda.

9.10.2. Samtycke som rättslig grund

Utredningens bedömning: Bestämmelser i registerförfattningar

som tilldelar den registrerades samtycke betydelse kan och bör behållas.

Om bestämmelsen omfattar enskildas behandling av personuppgifter som inte grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, krävs dock särskilda överväganden.

Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter. Av artikel 6.1 a i dataskyddsförordningen och artikel 7 a i dataskyddsdirektivet följer att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycke definieras i artikel 4.11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Definitionen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet.

I artikel 7 och 8 i dataskyddsförordningen finns vissa ytterligare bestämmelser om samtycke som rättslig grund för behandling av personuppgifter, som inte har någon uttrycklig motsvarighet i dataskyddsdirektivet och personuppgiftslagen. Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Någon motsvarande skrivning fanns inte i skälen till dataskyddsdirektivet. Det kan alltså inte uteslutas att kraven på samtycke i vissa situationer när samtycke utgör den rättsliga grunden för behandling av personuppgifter har skärpts något i förhållande till vad som anses gälla i dag, jämför skäl 171 till dataskyddsförordningen som innehåller skrivningar som verkar förutsätta att ett samtycke enligt dataskyddsdirektivet inte alltid uppfyller villkoren i dataskyddsförordningen.

Artikel 29-gruppen har dock i ett yttrande gjort vissa uttalanden avseende dataskyddsdirektivets krav på att samtycke ska ha lämnats frivilligt. I yttrandet anges att typen av registeransvarig kan vara avgörande för valet av rättslig grund för behandling av personuppgifter. Detta gäller framför allt registeransvariga inom den offentliga sektorn, där behandlingen av personuppgifter normalt är knuten till fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse. Att använda samtycke som rättslig grund i dessa fall är inte lämpligt. Detta är särskilt tydligt när det gäller hur personuppgifter behandlas av offentliga myndigheter som har officiella maktbefogenheter, t.ex. rättsvårdande myndigheter som agerar inom ramen för sina uppdrag i samband med polisiära och rättsliga aktiviteter. I samma yttrande anges att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt. 19

Även enligt Datainspektionen kan det starkt ifrågasättas om kravet på att samtycket lämnats frivilligt är uppfyllt om myndigheter skulle kräva samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster. I de fall där den enskilde inte har någon verklig valmöjlighet måste den personuppgiftsansvarige stödja behandlingen av personuppgifter på någon annan grund.20 Samtycke kan dock enligt ovan nämnda yttrande från Artikel 29-gruppen i undantagsfall vara en giltig grund för stater när de behandlar personuppgifter, men en noggrann kontroll bör göras för att se om samtycket faktiskt är tillräckligt frivilligt.

Avvägningar angående huruvida det är lämpligt för en myndighet eller någon annan aktör att grunda en behandling av personuppgifter i ett särskilt fall på ett giltigt samtycke bör således redan ha gjorts av lagstiftaren i de fall det finns bestämmelser om samtycke i registerförfattningar. Mot bakgrund av att kravet på frivillighet gäller även enligt dataskyddsdirektivet och de ovan redovisade uttalandena från Artikel 29-gruppen är det utredningens bedömning att någon ytterligare analys av lämpligheten av att grunda en behandling på ett giltigt samtycke inte behöver göras i de fall sådana bestämmelser finns i registerförfattningarna.

19 Yttrande 15/2011 om definitionen av begreppet ”samtycke” s. 13–14 och 16–17. 20 Samtycke enligt personuppgiftslagen – Datainspektionen informerar s. 6.

Bestämmelsen i artikel 6.1 a i dataskyddsförordningen om att behandling är laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål är direkt tillämplig och inte försedd med någon möjlighet till nationell begränsning. Det är därför inte tillåtet att förbjuda enskilda att behandla personuppgifter med stöd av ett giltigt samtycke från den registrerade annat än när det gäller känsliga personuppgifter (artikel 9.2 a) och personuppgifter om lagöverträdelser (artikel 10). Detta motsvarar vad som gäller i dag.

Däremot kan myndigheter trots dataskyddsförordningen förbjudas att använda möjligheten att behandla personuppgifter med stöd av samtycke (se avsnitt 9.2). Så har ofta skett genom en registerförfattning med ändamålsbestämmelser. Ändamålsbestämmelserna ersätter nämligen normalt de rättsliga grunderna enligt 10 § personuppgiftslagen; personuppgifter får inom registerförfattningens tillämpningsområde behandlas bara för de angivna ändamålen (och ibland även sådana ändamål som inte är oförenliga med de angivna ändamålen, se avsnitt 9.10.3 om finalitetsprincipen) oberoende av den registrerades samtycke. Den ordningen kan alltså behållas.

I vissa registerförfattningar förekommer det att myndigheter och enskilda uttryckligen tillåts att med stöd av samtycke behandla personuppgifter för andra ändamål eller i andra fall än de i författningen angivna. Även sådana bestämmelser kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen och skäl 8 till dataskyddsförordningen om att det är tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. Eftersom det anses att den registrerades samtycke inte ger rätt att behandla personuppgifter i strid mot de grundläggande kraven på behandling (i artikel 5 i dataskyddsförordningen), gäller dock att bestämmelsen inte kan ge stöd för att t.ex. behandla sådana personuppgifter som inte är korrekta i förhållande till de ändamål som anges i författningen eller som samtycket avser (artikel 5.1 d).

Det förekommer även bestämmelser i registerförfattningar om att en behandling för vissa ändamål bara får utföras med den registrerades samtycke trots att den behandling som författningen reglerar stödjer sig på en annan rättslig grund än samtycke, t.ex. en arbetsuppgift av allmänt intresse. En sådan begränsning är tillåten för myndigheter, se avsnitt 9.2. Om de angivna ändamålen för den behandling av personuppgifter som regleras i registerförfattningen

är sådana som avses i artikel 6.1 c eller e i dataskyddsförordningen (rättslig förpliktelse eller arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning), får bestämmelserna anses tillåtna såsom preciseringar även för enskilda enligt artikel 6.2 och 6.3 i dataskyddsförordningen (se avsnitt 9.3).

Om det däremot i någon registerförfattning finns bestämmelser som omfattar enskildas behandling av personuppgifter och den grundläggande behandlingen av personuppgifterna inte grundar sig på artikel 6.1 c eller e i dataskyddsförordningen kan en sådan bestämmelse inte anses tillåten med hänvisning till de ovan angivna skälen. För det fall det finns sådana bestämmelser krävs det i stället särskilda överväganden för att bedöma om dessa kan behållas.

Bestämmelser som innebär krav på samtycke för en viss åtgärd, t.ex. direktåtkomst, när den behandling som författningen reglerar stödjer sig på en annan rättslig grund kan enligt utredningens bedömning i vissa fall utgöra en integritetshöjande åtgärd, dvs. en slags skyddsåtgärd. Utredningen berör den typen av bestämmelser i avsnitt 9.16.2.

9.10.3. Finalitetsprincipen

Utredningens bedömning: Bestämmelser i registerförfattningar

med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen kan och bör behållas i sak.

I registerförfattningar förekommer hänvisningar till 9 § första stycket d personuppgiftslagen, den s.k. finalitetsprincipen – att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Den uttryckliga hänvisningen till finalitetsprincipen tillkom första gången efter att Lagrådet anfört att uppbyggnaden och utformningen av ändamålsbestämmelserna i förslaget till lag om behandling av personuppgifter inom socialförsäkringens administration gav intryck av att de angivna ändamålen var uttömmande. Att det fanns en avsikt att även andra efterkommande behandlingar skulle få företas förutsatt att det inte kunde anses oförenligt med de ursprungliga ändamålen

ansågs inte framgå av den föreslagna lagtexten. Regeringen föreslog då ett förtydligande – en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen. Mot bakgrund av att motsvarande förtydligande vid den tiden saknades i andra registerförfattningar, betonade regeringen att det inte var fråga om en materiell regel, utan endast ett förtydligande.21

Finalitetsprincipen finns uttryckt i artikel 5.1 b och 6.4 i dataskyddsförordningen. Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, samt att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. I enlighet med den bedömning utredningen gör i avsnitt 9.16.1 utgör artikel 89.1 i dataskyddsförordningen en precisering av principen om uppgiftsminimering i artikel 5.1 och de allmänna bestämmelserna om säkerhetsåtgärder i dataskyddsförordningen, vilka är direkt tillämpliga. Skyldigheten för den personuppgiftsansvarige att iaktta principen om uppgiftsminimering och vidta säkerhetsåtgärder regleras även i dataskyddsdirektivet. Det är därför utredningens bedömning att regleringen i artikel 5.1 b i dataskyddsförordningen motsvarar den som finns i artikel 6.1 b i dataskyddsdirektivet (för bedömning avseende ändrad formulering av ändamålen se avsnitt 9.17.2).

I artikel 6.4 i dataskyddsförordningen anges vilken bedömning den personuppgiftsansvarige ska göra för att fastställa om en vidarebehandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. I artikeln anges vad den personuppgiftsansvarige ska beakta om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1 i dataskyddsförordningen. Den personuppgiftsansvarige ska beakta kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personupp-

21Prop. 2002/03:135 s. 56.

gifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 i dataskyddsförordningen eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10 i dataskyddsförordningen, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Av skäl 50 till dataskyddsförordningen framgår att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet.

Finalitetsprincipen kommer således att finnas kvar även med dataskyddsförordningen. Eftersom utredningen avser att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget, krävs att det är tydligt att de uppräknade ändamålen, när så har gällt tidigare, inte är uttömmande. Bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen kan och bör därför behållas. Det bör dock noteras att artikel 13.3 och 14.4 i dataskyddsförordningen i regel innebär att de registrerade på förhand måste informeras om tilltänkt återanvändning av deras personuppgifter.

En bestämmelse som klargör att de i registerförfattningen angivna ändamålen inte är uttömmande utan att också sådan behandling som inte strider mot finalitetsprincipen är tillåten kan lämpligen utformas enligt följande.

Att personuppgifter som behandlas för ändamål som anges i XX § även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.

Mot bakgrund av den bedömning utredningen har gjort ovan saknas det skäl att i bestämmelsen hänvisa till artikel 89.1 i dataskyddsförordningen. Den personuppgiftsansvarige måste dock naturligtvis beakta såväl den bestämmelsen som de övriga bestämmel-

serna om uppgiftsminimering och säkerhet som utredningen berört ovan när denne utför behandling av personuppgifter.

9.11. Känsliga personuppgifter

9.11.1. Förbud mot att behandla känsliga personuppgifter och möjligheterna till undantag

Utredningens bedömning: Det är möjligt att bara delvis tillåta

behandling av känsliga personuppgifter som omfattas av något av undantagen i artikel 9.2 i dataskyddsförordningen som kräver stöd i nationell rätt.

Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter. Dataskyddsutredningen konstaterar dock att begreppet känsliga personuppgifter, som används i personuppgiftslagen, är tydligare och dessutom inarbetat på såväl nationell nivå som EU-nivå.22 Eftersom Dataskyddsutredningen använder sig av begreppet känsliga personuppgifter i den generella regleringen, kommer även utredningen att använda sig av begreppet.

Motsvarande förbud att behandla känsliga personuppgifter finns i artikel 8.1 i dataskyddsdirektivet, som dock innehåller något färre kategorier av personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydligt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Dataskyddsdirektivets förbud har kommit till uttryck i 13 § personuppgiftslagen, som innehåller en uppräkning av samma kategorier som i dataskyddsdirektivet.

22SOU 2017:39 s. 162.

Förbudet att behandla känsliga personuppgifter bottnar i artikel 6 i Europarådets dataskyddskonvention (nr 108), som förbjuder automatiserad behandling av uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott, om inte den nationella lagen ger ett ändamålsenligt skydd.

Huvudregeln är alltså enligt artikel 9.1 i dataskyddsförordningen att behandling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras med ett antal undantag i artikel 9.2, som anger när behandling av känsliga personuppgifter trots allt kan tillåtas. Vissa av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske, se avsnitt 9.11.4 och 9.11.5.

Känsliga personuppgifter kan behandlas med stöd av samtycke (a) och för att skyldigheter och rättigheter ska kunna tillvaratas inom arbetsrätten och på områdena social trygghet och socialt skydd i den omfattning detta är tillåtet enligt unionsrätten, nationell rätt eller kollektivavtal (b). Det är också tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen när den registrerade är förhindrad att ge sitt samtycke (c). Ideella verksamheter med politiskt, filosofiskt, religiöst eller fackligt syfte får behandla känsliga personuppgifter om sina medlemmar och vissa andra personer (d). Vidare får känsliga personuppgifter behandlas om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (e). Ytterligare ett undantag avser behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller är en del av domstolarnas dömande verksamhet (f). Behandling av känsliga personuppgifter får ske av hänsyn till ett, på grundval av EU-rätten eller nationell rätt, viktigt allmänt intresse (g). Behandling av känsliga personuppgifter får också ske i anslutning till hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsstaternas nationella rätt under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (h och artikel 9.3). Även ett allmänt intresse på folkhälsoområdet, på grundval av EUrätten eller nationell rätt, ger rätt att behandla känsliga personuppgifter (i). Slutligen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (j). Medlemsstaterna får be-

hålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa (9.4).

En fråga är om möjligheterna att i nationell rätt göra undantag från förbudet att behandla känsliga personuppgifter måste utnyttjas fullt ut i den nationella rätten för att kunna användas. I artikel 9.4 anges att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, men endast för behandling av vissa kategorier av känsliga personuppgifter, nämligen genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta skulle kunna tyda på att det inte är tillåtet att behålla ytterligare villkor för övriga kategorier av känsliga personuppgifter. En sådan tolkning synes dock inte rimlig. Dataskyddsförordningens huvudregel om förbud mot behandling av känsliga personuppgifter har tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Att det då endast ska vara möjligt att ha en nationell reglering som antingen helt förbjuder behandling av sådana uppgifter eller tillåter all behandling som kan tillåtas enligt någon av de möjligheter till nationellt grundade undantag som finns i artikel 9.2 a–j synes inte förenligt med intresset av att skydda den personliga integriteten. När det gäller behandling som sker med stöd av någon av de rättsliga grunderna fullgörande av rättslig förpliktelse och utförande av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning framgår det dessutom av artikel 6.2 och 6.3 att medlemsstaterna får ha särskilda bestämmelser om bl.a. vilken typ av uppgifter som ska behandlas (se avsnitt 9.3). Det är därför utredningens bedömning att det är möjligt att bara delvis tillåta behandling av känsliga personuppgifter som omfattas av något av undantagen som kräver nationell lagstiftning. Det innebär att det är möjligt att behålla sökbegränsningar och andra skyddsåtgärder som avser känsliga personuppgifter och att tillåta behandling av bara vissa kategorier av känsliga personuppgifter.

Möjligheterna att göra undantag från förbudet mot behandling av känsliga personuppgifter motsvarar i stora delar regleringen i dataskyddsdirektivet. Vissa skillnader finns dock. Att undantaget i artikel 9.2 b i dataskyddsförordningen som gäller arbetsrätt även omfattar rättigheter på områdena social trygghet och socialt skydd är en nyhet i förhållande till artikel 8.2 b i dataskyddsdirektivet. Undantaget för behandling som är nödvändig av hänsyn till ett

viktigt allmänt intresse i artikel 8.4 i dataskyddsdirektivet har i artikel 9.2 g i dataskyddsförordningen försetts med ytterligare krav som måste vara uppfyllda för att behandlingen ska vara tillåten. Tillämpningsområdet för hälso- och sjukvårdsundantaget i artikel 8.3 i dataskyddsdirektivet har i artikel 9.2 h i dataskyddsförordningen utökats något samtidigt som ett krav på att uppgifterna behandlas av eller under ansvar av någon som omfattas av tystnadsplikt har införts. Undantaget i artikel 9.2 i i dataskyddsförordningen som tar sikte på folkhälsoområdet är nytt. Vad dessa skillnader innebär återkommer utredningen till nedan. Ytterligare en nyhet är undantaget för arkivändamål, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i artikel 9.2 j i dataskyddsförordningen.

9.11.2. Undantag vid fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd

I artikel 9.2 b i dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. Områdena social trygghet respektive socialt skydd är nya i förhållande till dataskyddsdirektivet, och det framgår inte av artikeln eller av skälen till dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området. Dataskyddsutredningen gör dock bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivar- eller arbetstagarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Denna bedömning görs mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd före-

kommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten.23 Utredningen har inte anledning att göra en annan bedömning än den Dataskyddsutredningen gjort.

9.11.3. Undantag för viktiga allmänna intressen

Utredningens bedömning: Bestämmelser i registerförfattningar

som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i dataskyddsförordningen och kan och bör behållas.

I artikel 9.2 g i dataskyddsförordningen anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Motsvarande bestämmelse finns i artikel 8.4 i dataskyddsdirektivet, varav framgår att medlemsstaterna får besluta om undantag från förbudet att behandla känsliga personuppgifter under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse.

En reglering av ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen kan ske i registerförfattningar, vilket ger möjlighet att göra lämpliga avvägningar på varje område. Dataskyddsutredningen har dessutom bedömt att det utöver detaljerad reglering i registerförfattningar är möjligt att införa en generell reglering som ger myndigheter möjlighet att behandla känsliga personuppgifter även när det inte finns särskilt stöd i en registerlagstiftning. Enligt 3 kap. 3 § förslaget till dataskyddslag ska känsliga personuppgifter få behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myn-

23SOU 2017:39 s. 169171.

digheten och behandlingen krävs enligt lag, eller i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I syfte att begränsa de integritetsrisker som den generella bestämmelsen kommer att medföra, föreslår Dataskyddsutredningen i 3 kap. 4 § samma lagförslag också ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter vid behandling som sker enbart med stöd av 3 kap. 3 §.24

Viktigt allmänt intresse

Det finns i enlighet med vad som konstaterats i avsnitt 9.8.3 inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Detta innebär att när behandling av känsliga personuppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet – och inte med stöd av artikel 8.2 eller 8.3 i dataskyddsdirektivet – har det redan, även om övervägandena inte alltid framgår uttryckligen av förarbetena, bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet. Därför bör det utan vidare prövning av utredningen anses att den i registerförfattningen reglerade behandlingen kan stödjas på artikel 6.1 e i dataskyddsförordningen och, under förutsättning av proportionalitet och bestämmelser om skyddsåtgärder (se nedan), i enlighet med artikel 9.2 g innefatta känsliga personuppgifter i samma utsträckning som i dag.

Proportionerlig i förhållande till syftet

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsförordningen stå i proportion till det eftersträvade syftet. Något uttryckligt krav på proportionalitet finns inte i dataskyddsdirektivet. Det framgår inte av dataskyddsförordningen hur proportionalitetsbedömningen ska gå till.

24SOU 2017:39.

Det får förutsättas att det har gjorts en proportionalitetsbedömning när undantag från förbudet att behandla känsliga personuppgifter har gjorts i särskilda registerförfattningar med stöd av artikel 8.4 i dataskyddsdirektivet. Det är därför utredningens bedömning att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller det proportionalitetskrav som gäller enligt dataskyddsförordningen.

Förenlig med det väsentliga innehållet i rätten till dataskydd

Den behandling av känsliga personuppgifter som kan tillåtas av hänsyn till ett viktigt allmänt intresse måste enligt artikel 9.2 g i dataskyddsförordningen vara förenlig med det väsentliga innehållet i rätten till dataskydd. Något uttryckligt motsvarande krav finns inte i dataskyddsdirektivet. Det framgår inte av dataskyddsförordningen vad kravet närmare innebär.

Utgångspunkten vid införandet av registerförfattningar har generellt varit att i författningarna bara göra de undantag i förhållande den generella dataskyddsregleringen i personuppgiftslagen, och därmed också dataskyddsdirektivet, som ansetts nödvändiga på det aktuella området. Vid införandet av registerförfattningar har också åtagandena enligt Europarådets dataskyddskonvention behövt iakttas. Det är därför utredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller det nya uttryckliga kravet på att vara förenliga med det väsentliga innehållet i rätten till dataskydd.

Lämpliga skyddsåtgärder

Ett undantag med stöd av artikel 9.2 g i dataskyddsförordningen förutsätter en reglering i nationell rätt. Regleringen ska omfatta bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Någon exemplifiering av utformningen av sådana åtgärder, som säkerställer den registrerades grundläggande rättigheter och intressen, finns

inte i dataskyddsförordningen. Vad lämpliga och särskilda skyddsåtgärder kan bestå i framgår av avsnitt 9.16.2.

Enligt artikel 8.4 i dataskyddsdirektivet krävs ”lämpliga skyddsåtgärder” för att göra undantag från förbudet att behandla känsliga personuppgifter.

Det finns inget som tyder på att kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen skulle innebära något annat än kravet på lämpliga skyddsåtgärder i dataskyddsdirektivet. En nyhet i dataskyddsförordningen är dock att det krävs att det finns bestämmelser om sådana åtgärder i medlemsstatens nationella rätt.

Registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet innehåller regelmässigt olika uttryckliga bestämmelser om det som bedömts vara lämpliga skyddsåtgärder enligt dataskyddsdirektivet. Det kan vara fråga om bestämmelser om sökbegränsningar, restriktioner för elektronisk åtkomst, behörighetstilldelning och loggkontroll, restriktioner för vad som får vara mer allmänt tillgängligt i den aktuella organisationen osv.

Det är mot den bakgrunden utredningens bedömning att registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av artikel 8.4 i dataskyddsdirektivet utan vidare prövning uppfyller kravet i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Bestämmelser som tillåter behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse finns också i författningar som i huvudsak innehåller reglering av en viss verksamhet men som i anlutning till den regleringen också anger vad som gäller i fråga om viss behandling av personuppgifter. När det gäller sådana författningar är det inte lika självklart att det regelmässigt finns uttryckliga bestämmelser om skyddsåtgärder. En bedömning av om sådana bestämmelser finns måste därför göras i dessa fall.

9.11.4. Undantag för hälso- och sjukvård samt social omsorg

Utredningens bedömning: Bestämmelser i registerförfattningar

som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvård samt inom social omsorg är förenliga med dataskyddsförordningen och kan och bör behållas.

Dessa registerförfattningar bör kompletteras med en bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Behandling av känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet.

Motsvarande bestämmelse finns i artikel 8.3 i dataskyddsdirektivet. Där anges att känsliga personuppgifter får behandlas när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård.

De verksamheter som avses

Några ytterligare verksamhetstyper – förebyggande yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, social omsorg och förvaltning av social omsorg och av deras system – har alltså lagts till i undantaget för hälso- och sjukvård m.m. i dataskyddsförordningen, i jämförelse med regleringen i dataskyddsdirektivet. Detta är en utvidgning jämfört med dataskyddsdirektivet.

En nyhet är alltså att social omsorg lagts till. Vad som avses med social omsorg framgår inte av dataskyddsförordningen. Dataskyddsutredningen anger att det sannolikt är uppgifter som utförs av

socialtjänsten som omfattas av begreppet.25 Utredningen instämmer i den bedömningen och anser att social omsorg innefattar sådan verksamhet som avses i 2 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Begreppet vård eller behandling har ersatts med begreppet tillhandahållande av hälso- och sjukvård. Skälen till dataskyddsförordningen ger inte någon ledning i frågan om någon ändring i sak är avsedd. Enligt utredningens bedömning får begreppet tillhandahållande av hälso- och sjukvård anses innefatta det som avses med vård eller behandling enligt dataskyddsdirektivet.

Begreppet administration av hälso- och sjukvård har ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. I skäl 53 till dataskyddsförordningen finns det en uppräkning av vad som ska anses innefattas i detta begrepp:

[…] behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet.

Mot bakgrund av den ganska omfattande uppräkningen synes i vart fall det som innefattades i begreppet administration av hälso- och sjukvård omfattas.

Eftersom uppräkningen av verksamheter inte har inskränkts utan utökats i förhållande till dataskyddsdirektivets reglering, är tidigare bedömningar av vilka verksamheter det är tillåtet att göra undantag för fortfarande relevanta. I förarbeten angående läkemedelslagstiftningen har det ansetts rimligt att inte ge bestämmelsen i 18 § första stycket personuppgiftslagen, som innehåller samma uppräkning som i dataskyddsdirektivet, en alltför snäv räckvidd varvid det har angetts att även aktiviteter med bäring på hälso- och

25SOU 2017:39 s. 184.

sjukvård utanför det primära vårdområdet måste kunna inbegripas.26Det har vidare i litteraturen ansetts att uppräkningen av syften i 18 § första stycket personuppgiftslagen i praktiken torde täcka nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet.27 I förarbetena till lagen om receptregister, som förs bl.a. för ändamålet att registrera underlag för tillämpningen av bestämmelserna om läkemedelsförmåner, har det dock ansetts osäkert om 18 § personuppgiftslagen ger tillräckligt stöd för den behandling som avses i den lagen.28

Formuleringen i dataskyddsdirektivet om att behandlingen ska vara nödvändig med hänsyn till de i artikeln uppräknade verksamheterna har i dataskyddsförordningen ersatts med att behandlingen ska vara nödvändig av skäl som hör samman med dessa verksamheter. Av skäl 53 till dataskyddsförordningen framgår att avsikten är att harmonisera villkoren för behandling av uppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen utförs för vissa hälsorelaterade syften. Den ändrade formuleringen tydliggör att behandlingen måste ske för ändamål som hör samman med någon av dessa verksamheter.

Stöd i lagstiftningen

Artikel 9.2 h i dataskyddsförordningen verkar enligt ordalagen inte förutsätta någon nationell reglering förutom själva grundvalen för den aktuella verksamheten, vilket förefaller naturligt eftersom det i alla medlemsstater ju, i enlighet med bl.a. rättighetsstadgan (se avsnitt 9.8.2), bedrivs hälso- och sjukvård och social omsorg och då sådan verksamhet till sin natur gör det nödvändigt att behandla känsliga personuppgifter på ett sätt som omfattas av dataskyddsförordningen. Ordalydelsen i artikel 9.2 h i dataskyddsförordningen förefaller alltså inte kräva att undantaget i sig måste föreskrivas i nationell rätt. I Sverige finns det redan författningar som reglerar hälso- och sjukvårdsverksamhet, bl.a. hälso- och sjukvårdslagen (2017:30) och patientsäkerhetslagen (2010:659). Verksamhet inom

26Prop. 2005/06:70 s. 144. 27 Öman & Lindblom, Personuppgiftslagen (15 september 2016, Zeteo), kommentaren till 18 § under rubriken Behandling för hälso- och sjukvårdsändamål – första stycket. 28Prop. 2008/09:145 s. 305.

området social omsorg regleras bl.a. av socialtjänstlagen (2001:453). Den reglering som redan finns av hälso- och sjukvårdsverksamhet och verksamhet inom social omsorg synes uppfylla kraven enligt ordalagen i artikel 9.2 h i dataskyddsförordningen på att själva sakverksamheten – hälso- och sjukvården och den sociala omsorgen – ska ha sin grundval i nationell rätt. Även om det skulle anses att artikel 9.2 h kräver att det finns nationella bestämmelser som tillåter själva behandlingen av känsliga personuppgifter inom hälso- och sjukvården och den sociala omsorgen29, är också det kravet redan uppfyllt genom befintlig reglering. Registerförfattningarna på de berörda områdena innehåller nämligen uttryckliga bestämmelser om att känsliga personuppgifter, eller alla slags personuppgifter inklusive känsliga, får behandlas under vissa förutsättningar.

Bedrivandet av hälso- och sjukvård och social omsorg får utan vidare anses vara en arbetsuppgift av allmänt intresse (se avsnitt 9.8.2), som i vissa fall också är förknippad med rättsliga förpliktelser. De bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvården och inom social omsorg får enligt utredningens bedömning därför anses, om inte nödvändiga så ändå, tillåtna som nationella preciseringar med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de enbart avser en myndighets behandling av personuppgifter (se avsnitt 9.2 och 9.3).

Tystnadsplikt krävs

En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet samt inom social omsorg ska vara tillåten är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt. Detta är, i vart fall i förhållande till den svenska versionen av dataskyddsdirektivet, en inskränkning jämfört med vad som gäller i dag.30 Dataskydds-

29 Jämför SOU 2017:39 s. 162165 och skäl 52 till dataskyddsförordningen. 30 Det har dock framförts synpunkter på att den svenska versionen av direktivet är felöversatt, se SOU 2006:82 s. 175 och Elisabeth Rynning i Förvaltningsrättslig tidskrift 2003 s. 112. Av den engelska versionen framgår att kravet på tystnadsplikt gäller utöver att behandlingen ska ske för de angivna syftena.

direktivet anger i stället den omständigheten att uppgifterna behandlas av någon som omfattas av tystnadsplikt som en självständig grund för behandling av känsliga personuppgifter.

Syftet med artikel 9.3 i dataskyddsförordningen får antas vara att de personer i bl.a. hälso- och sjukvårdsverksamhet som tar del av – dvs. behandlar – känsliga personuppgifter ska ha tystnadsplikt enligt t.ex. nationell rätt, eller i vart fall arbeta under någon som har sådan tystnadsplikt. Den fysiska personen behöver inte själv vara personuppgiftsansvarig. Däremot måste den personuppgiftsansvarige se till att en person som omfattas av tystnadsplikt är den som antingen själv behandlar uppgifterna eller åtminstone ansvarar för behandlingen.

Bestämmelser om tystnadsplikt för personer verksamma inom hälso- och sjukvården finns redan i t.ex. 25 kap. offentlighets- och sekretesslagen (2009:400) och patientsäkerhetslagen (2010:659). Tystnadsplikten enligt patientsäkerhetslagen omfattar hela hälso- och sjukvårdspersonalen enligt den vida definitionen i 1 kap. 4 § patientsäkerhetslagen. För författningsreglerad social omsorg i offentlig och privat regi gäller sekretess enligt 26 kap. offentlighets- och sekretesslagen, 15 kap. socialtjänstlagen (2001:453) och 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade. Det finns således redan tystnadsplikt enligt författning. Det kan inte anses ankomma på utredningen att föreslå nya bestämmelser om tystnadsplikt.

Kravet i artikel 9.3 i dataskyddsförordningen på tystnadsplikt enligt bl.a. nationell rätt är direkt tillämpligt. Någon ytterligare författningsbestämmelse behövs därför inte med anledning av dataskyddsförordningen. Utredningen anser emellertid att den nationella regleringen blir tydligare om kravet framgår också av berörda registerförfattningar. Bestämmelser som påminner om det kravet bör därför tas in i registerförfattningar för hälso- och sjukvårdsområdet och socialtjänsten som tillåter behandling av känsliga personuppgifter med stöd av undantaget i artikel 9.2 h i dataskyddsförordningen. Hänvisningen till artikel 9.3 i dataskyddsförordningen bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom det rör sig om en ren upplysning om att en annan, direkt tillämplig, bestämmelse gäller.

9.11.5. Undantag för folkhälsoområdet

Enligt artikel 9.2 i i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det ska då ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

Dataskyddsdirektivet innehåller inte någon bestämmelse som särskilt tar sikte på folkhälsoområdet. Behandling av känsliga personuppgifter på folkhälsoområdet sker i dag med stöd av bestämmelser som har sin grund i artikel 8.4 (allmänt intresse) eller artikel 8.3 (hälso- och sjukvård) i dataskyddsdirektivet.

I artikel 9.2 i i dataskyddsförordningen ges exempel på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det kan enligt artikeln röra sig om behov av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller att säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. Av skäl 54 till dataskyddsförordningen framgår att begreppet folkhälsa bör tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008, nämligen så att det avser alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Artikel 9.2 i i dataskyddsförordningen innehåller ett krav på att behandlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt. Ordalydelsen i artikel 9.2 i i dataskyddsförordningen förefaller, i likhet med vad utredningen anfört i avsnitt 9.11.4 angående hälso- och sjukvårdsundantaget, inte kräva att undantaget i sig föreskrivs i nationell rätt. Enligt utredningens bedömning synes kravet på att behandlingen av personuppgifter ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt vara uppfyllt om själva sakverksamheten – den verksamhet som motiverar behandling av personuppgifter – regleras i nationell rätt. I vart fall måste, enligt utredningens bedömning, en reglering i registerförfattning av när själva behand-

lingen av känsliga personuppgifter får ske på folkhälsoområdet uppfylla kravet på grundval i nationell rätt. Därutöver ska det i den nationella rätten ha fastställts lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Vad lämpliga och specifika skyddsåtgärder kan bestå i framgår av avsnitt 9.16.2. Oavsett hur kravet på att behandlingen ska ske på grundval av nationell rätt ska tolkas bedömer utredningen att det inte är oförenligt med dataskyddsförordningen att reglera ett undantag som grundar sig på artikel 9.2 i i dataskyddsförordningen i nationell lagstiftning.31 Bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av folkhälsoundantaget får enligt utredningens bedömning nämligen anses, om inte nödvändiga så ändå, tillåtna som nationella preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen, under förutsättning att den behandling av personuppgifter som regleras i registerförfattningen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen, eller därför att de enbart avser en myndighets behandling av personuppgifter (se avsnitt 9.2 och 9.3).

9.11.6. Fler uppgifter blir känsliga personuppgifter

Utredningens bedömning: Bestämmelser i särskilda register-

författningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla kategorier av känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten, bör någon eller några av de nya kategorierna få behandlas.

Bestämmelser i särskilda registerförfattningar om s.k. skyddsåtgärder med restriktioner för behandling av känsliga person-

31 Jämför SOU 2017:39 s. 162165 och 188 samt skäl 52 till dataskyddsförordningen.

uppgifter enligt nuvarande definition bör som utgångspunkt utvidgas till att avse också de nya kategorierna av känsliga personuppgifter. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att skyddsåtgärderna inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas.

Dataskyddsförordningen innebär att fler kategorier av uppgifter än enligt dataskyddsdirektivet blir att betrakta som känsliga personuppgifter, som det enligt huvudregeln är förbjudet att behandla. Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning har tillkommit som nya kategorier i dataskyddsförordningen. Som anges i avsnitt 7.5 är det dock utredningens bedömning att flera av de uppgifter som ryms inom de nya kategorierna redan i dag är att betrakta som känsliga personuppgifter, eftersom de ryms inom någon av de nuvarande kategorierna. Kategorierna av känsliga personuppgifter kommer därmed i viss mån att överlappa varandra. Tillägget av nya kategorier medför dock en begränsning av möjligheterna att behandla personuppgifter i jämförelse med vad som gäller enligt dataskyddsdirektivet för sådana uppgifter som inte redan omfattas av någon av de befintliga kategorierna av känsliga personuppgifter. De personuppgifter som ryms inom de nya kategorierna kommer, liksom övriga kategorier av känsliga personuppgifter, endast att få behandlas under de förutsättningar som gäller enligt artikel 9.2 och 9.3 i dataskyddsförordningen.

Bestämmelser som tillåter behandling av känsliga personuppgifter

Är enligt registerförfattningen behandling av samtliga kategorier av känsliga personuppgifter, enligt nuvarande definition, tillåten, bör enligt utredningens mening behandling också av de nya kategorierna tillåtas utan vidare utredning om behovet. Har det vid införandet av registerförfattningen gjorts bedömningen att alla slags personuppgifter (utom möjligen uppgifter om lagöverträdelser) får behandlas om det är nödvändigt med hänsyn till ändamålen, bör nämligen den bedömningen godtas.

I de fall en registerförfattning tillåter behandling endast av någon eller några av kategorierna av känsliga personuppgifter, bör däremot utgångspunkten vara att behandling av de nya kategorierna inte ska tillåtas. Om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten, bör dock även någon eller några av de nya kategorierna av uppgifter få behandlas. En bedömning av om det är nödvändigt att behandla de nya kategorierna av känsliga personuppgifter behöver alltså göras i förhållande till den verksamhet som är aktuell. I några av de författningar som ingår i utredningens översyn finns det bestämmelser som innebär att, i fråga om känsliga personuppgifter, endast uppgifter som rör hälsa får behandlas. Som anges ovan kan de nya kategorierna av känsliga personuppgifter i vissa fall även utgöra uppgifter om hälsa. Om utredningen kommer fram till att det i en verksamhet är nödvändigt att behandla de nytillkomna kategorierna, behöver därför en bedömning också göras av om det är tillräckligt att i bestämmelsen förtydliga att även sådana nya kategorier som samtidigt utgör en uppgift om hälsa får behandlas.

Bestämmelser om skyddsåtgärder för känsliga personuppgifter

De skyddsåtgärder som förekommer i registerförfattningarna är ibland begränsade till att avse behandling av känsliga personuppgifter eller vissa av de nuvarande kategorierna av känsliga personuppgifter, t.ex. i fråga om sökbegränsningar. Enligt utredningens bedömning bör utgångspunkten vara att även de nya kategorierna av känsliga personuppgifter ska omfattas av dessa skyddsåtgärder. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. En bedömning av om det är nödvändigt behöver alltså göras i förhållande den verksamhet som är aktuell. Om utredningen kommer fram till att det i en verksamhet är nödvändigt att befintliga skyddsåtgärder inte omfattar några av de nytillkomna kategorierna, behöver en bedömning också göras av om det är tillräckligt att i bestämmelsen, på samma sätt som beskrivits ovan, förtydliga att bara sådana nya kategorier som samtidigt utgör en uppgift om hälsa omfattas.

Hänvisa till definitionen i dataskyddsförordningen

För att definiera vilka kategorier av personuppgifter som är att anse som känsliga personuppgifter, bör en hänvisning göras till artikel 9.1 i dataskyddsförordningen. En sådan hänvisning bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelsen, eftersom terminologin som används i den nationella reglering som kompletterar dataskyddsförordningen lämpligen bör följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.

9.12. Uppgifter om lagöverträdelser

Utredningens bedömning: Bestämmelser i registerförfattningar

som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör behållas. Myndigheters möjligheter att behandla sådana uppgifter påverkas inte av dataskyddsförordningen.

Bestämmelser i registerförfattningar som begränsar möjligheten att behandla uppgifter om lagöverträdelser enligt nuvarande definition kan och bör behållas. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. I annat fall är det endast tillåtet att begränsa behandling av sådana uppgifter om lagöverträdelser som omfattas av den nya definitionen i artikel 10 i dataskyddsförordningen.

Av artikel 10 i dataskyddsförordningen framgår att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det framgår också att ett fullständigt register över brottmålsdomar endast får föras under kontroll av en myndighet.

Bestämmelsen i dataskyddsförordningen skiljer sig något från artikel 8.5 i dataskyddsdirektivet. Enligt dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser, brottmålsdomar eller

säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Dataskyddsdirektivets reglering omfattar således även uppgifter om friande brottmålsdomar. I fråga om register över fällande domar i brottmål är regleringen densamma. Därutöver anges i dataskyddsdirektivet att medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet. I dataskyddsförordningen saknas denna skrivning.

Bestämmelsen i dataskyddsdirektivet har kommit till uttryck i 21 § personuppgiftslagen. Där anges att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Ändringen från brottmålsdomar till fällande domar i brottmål innebär en begränsning av bestämmelsens tillämpningsområde till att omfatta enbart fällande brottmålsdomar. Det utökar möjligheterna för andra än myndigheter att behandla uppgifter om brottmålsdomar, men påverkar inte myndigheternas möjligheter.

Vad gäller ändringen från lagöverträdelser till överträdelser gör Dataskyddsutredningen bedömningen att någon förändring i sak inte har varit avsedd genom det justerade ordvalet.32 Utredningen gör samma bedömning. Dataskyddsförordningens bestämmelse medför således inte någon förändring av möjligheterna att behandla personuppgifter om lagöverträdelser i förhållande till vad som gällt enligt dataskyddsdirektivet.

Dataskyddsutredningen har föreslagit en ny bestämmelse i 3 kap. 10 § förslaget till dataskyddslag som innebär att den myndighet som regeringen bestämmer i enskilda fall får besluta att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas av andra än myndigheter. Regeringen eller den myndighet som regeringen bestämmer föreslås också enligt 3 kap. 12 § förslaget till dataskyddslag få meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter. Sådana föreskrifter finns

32SOU 2017:39 s. 193.

i förslaget till den anknytande förordningen, där också Datainspektionen föreslås vara den myndighet som såväl i enskilda fall som genom generella föreskrifter får besluta om vilka andra än myndigheter som får behandla de aktuella personuppgifterna.33 De personuppgifter som omfattas av bestämmelserna skiljer sig något från vad som omfattas av personuppgiftslagens reglering på grund av den ändrade regleringen i dataskyddsförordningen. Användningen av begreppet fällande domar i brottmål innebär att friande brottmålsdomar inte omfattas av förbudet. Regleringen innebär också att det inte kommer att finnas något förbud mot behandling av personuppgifter om administrativa frihetsberövanden motsvarande det som i dag finns i 21 § personuppgiftslagen. Dataskyddsutredningen har konstaterat att det inte är helt klart i vilken utsträckning uppgifter som rör misstankar om brott omfattas av artikel 10 i dataskyddsförordningen.34

Personuppgifter om lagöverträdelser får således behandlas av en myndighet under förutsättning att det finns lagligt stöd för behandlingen enligt artikel 6.1 i dataskyddsförordningen. Det krävs inga särskilda ställningstaganden för myndigheters behandling av sådana personuppgifter utöver de ställningstaganden som har gjorts i avsnitt 9.10 om rättslig grund för behandling av personuppgifter. Några särskilda analyser av myndigheters behandling av uppgifter om lagöverträdelser i förhållande till dataskyddsförordningen är således inte nödvändig.

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder utan kontroll av en myndighet kan enligt artikel 10 i dataskyddsförordningen tillåtas i den nationella rätten om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett krav på lämpliga och specifika skyddsåtgärder finns också i artikel 8.5 i dataskyddsdirektivet. Kraven på skyddsåtgärder får enligt utredningens bedömning anses innebära detsamma i dataskyddsförordningen och dataskyddsdirektivet. För att andra personuppgiftsansvariga än myndigheter fortsättningsvis ska få behandla sådana uppgifter som anges i artikel 10 gäller således samma förutsättningar som i dag. Någon ny analys av tillämpliga skyddsåtgärder

33SOU 2017:39. 34SOU 2017:39 s. 193.

krävs därför inte. Bestämmelser som tillåter enskilda att behandla uppgifter om lagöverträdelser kan och bör därför behållas.

Registerförfattningar innehåller inte så sällan, såsom lämpliga och specifika skyddsåtgärder i de fall enskildas behandling omfattas, bestämmelser som begränsar möjligheterna att behandla sådana uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen. Det kan t.ex. röra sig om sökbegränsningar. Dessa begränsningar omfattar alltså även uppgifter om friande domar i brottmål och administrativa frihetsberövanden. Trots att det för myndigheters behandling inte finns något motsvarande krav på skyddsåtgärder omfattas även dessa av begränsningarna i de fall registerförfattningen tillämpas på såväl myndigheters som enskildas behandling.

Det är enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter som de hittills inte har bedömts ha behov av att behandla bara därför att dataskyddsförordningen gör det möjligt. Dataskyddsförordningen hindrar inte heller att medlemsstaterna i nationell rätt har mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter (se avsnitt 9.2). Även behandling som utförs av privata subjekt kan regleras i mer specifika bestämmelser så länge behandlingen stödjer sig på någon av de rättsliga grunderna fullgörande av rättslig förpliktelse eller utförande av arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (se avsnitt 9.3). Det är därför under dessa förutsättningar tillåtet att behålla begränsningarna för de personuppgifter som avses i 21 § personuppgiftslagen men som inte omfattas av artikel 10 i dataskyddsförordningen. Av samma skäl kan även bestämmelser om skyddsåtgärder behållas. Begränsningar av enskildas behandling av personuppgifter, som omfattas av artikel 10 i dataskyddsförordningen, är dessutom tillåtna i form av skyddsåtgärder enligt samma artikel.

Bestämmelser i registerförfattningar som begränsar möjligheten att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden kan och bör därför behållas, trots att definitionen av uppgifter om lagöverträdelser i registerförfattningarna inte blir enhetlig med den som finns i dataskyddsförordningen och den föreslagna dataskyddslagen. Omfattar bestämmelsen enskildas behandling, måste det dock först konstateras att behand-

lingen har en sådan rättslig grund att det är tillåtet med mer specifika bestämmelser. Om så inte är fallet, får begränsningarna inte gälla för uppgifter om friande domar i brottmål eller administrativa frihetsberövanden, eftersom sådana uppgifter inte omfattas av dataskyddsförordningens krav på begränsningar.

9.13. Personnummer

Utredningens bedömning: Bestämmelser om personnummer och

samordningsnummer i registerförfattningar kan och bör behållas.

Av artikel 8.7 i dataskyddsdirektivet framgår att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. I Sverige gäller enligt 22 § personuppgiftslagen att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

Dataskyddsförordningen ställer inget krav på att medlemsstaterna ska bestämma under vilka förutsättningar nationella identifikationsnummer (personnummer) får behandlas. I stället anges i artikel 87 i dataskyddsförordningen att medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. I ett tillägg anges, till skillnad från vad som gäller enligt dataskyddsdirektivet, att sådana uppgifter i sådana fall endast ska användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.

Dataskyddsutredningen har i sitt förslag till dataskyddslag föreslagit en bestämmelse med samma innehåll som 22 § personuppgiftslagen. Dataskyddsutredningen har dessutom föreslagit att regeringen ska få meddela ytterligare föreskrifter om i vilka fall behandling av person- och samordningsnummer är tillåten. Sådana föreskrifter kan meddelas i sektorsspecifika författningar.35

35SOU 2017:39 s. 199200.

Registerförfattningar innehåller normalt inte några särskilda villkor om när personnummer får eller inte får behandlas. Ibland kan det av en registerförfattning dock uttryckligen framgå att personnummer får registreras, t.ex. i en databas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar. Dessa typer av bestämmelser kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor om behandlingen av personnummer. I sådant fall behöver det inte iakttas några lämpliga skyddsåtgärder enligt artikel 87 i dataskyddsförordningen. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor och skulle artikel 87 i dataskyddsförordningen då innebära krav på nationell rätt om iakttagande av lämpliga skyddsåtgärder, är de bestämmelser som redan finns i den aktuella registerförfattningen att anse som lämpliga skyddsåtgärder (se avsnitt 9.16.2).

9.14. Överföring till tredjeland

Utredningens bedömning: Bestämmelser i registerförfattningar

som tillåter överföring av personuppgifter till tredjeland behöver inte ändras, om det finns stöd för överföringen i dataskyddsförordningen.

Som allmän princip gäller enligt artikel 44 i dataskyddsförordningen att överföring av personuppgifter till ett tredjeland eller en internationell organisation bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i dataskyddsförordningen, uppfyller villkoren i artikel 45–49.

Av artikel 25.1 i dataskyddsdirektivet, som är utformad som en huvudregel, framgår att medlemsstaterna ska föreskriva att överföringen av personuppgifter till tredjeland endast får ske om ifrågavarande tredjeland säkerställer en adekvat skyddsnivå. Någon motsvarande generell bestämmelse som tillåter överföring till tredjeland vid adekvat skyddsnivå i det landet finns inte i dataskyddsförordningen. Kravet på adekvat skyddsnivå har kommit till uttryck i 33 § personuppgiftslagen. Enligt den paragrafen är det förbjudet att till tredjeland föra över personuppgifter, om landet inte har en adekvat nivå för skyddet av personuppgifterna.

Av artikel 45 i dataskyddsförordningen framgår att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. Artikeln förutsätter alltså ett beslut från kommissionen. Motsvarande bestämmelse finns i artikel 25.6 i dataskyddsdirektivet.

I avsaknad av ett beslut från kommissionen får en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt artikel 46 i dataskyddsförordningen endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga. Lämpliga skyddsåtgärder får bl.a. ta formen av bindande företagsbestämmelser, för vilka förutsättningarna anges i artikel 47 i dataskyddsförordningen. Motsvarande undantag finns i artikel 26.2 i dataskyddsdirektivet.

Artikel 48 i dataskyddsförordningen slår fast att domstolsbeslut eller beslut från myndigheter i tredjeland om krav på att lämna ut personuppgifter får erkännas eller genomföras endast om det grundar sig på en internationell överenskommelse, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat. Någon motsvarande bestämmelse finns inte i dataskyddsdirektivet.

Om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45 eller vidtagna lämpliga skyddsåtgärder enligt artikel 46, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om minst ett av flera – i artikel 49 i dataskyddsförordningen angivna – villkor är uppfyllt. Personuppgifter får överföras om överföringen sker med stöd av samtycke från den registrerade (a), om överföringen är nödvändig för att fullgöra ett avtal mellan den personuppgiftsansvarige och den registrerade eller en annan fysisk eller juridisk person som agerar i den registrerades intresse (b och c), om överföringen är nödvändig av viktiga skäl som rör allmänintresset (d), om överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk (e), om överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (f), eller om överföringen görs från ett register som enligt unionsrätten eller med-

lemsstaternas nationella rätt är avsett att ge allmänheten information (g). Motsvarande villkor anges i artikel 26.1 i dataskyddsdirektivet, och i 34 § personuppgiftslagen finns några av villkoren uppräknade som undantag till huvudregeln i 33 § att personuppgifter inte får överföras till tredjeland utan adekvat skyddsnivå.

Bestämmelsen i 34 § personuppgiftslagen omfattar inte undantag som motiveras av viktiga allmänna intressen. Av artikel 26.1 d i dataskyddsdirektivet följer dock att om överföringen är nödvändig eller bindande enligt författning kan skäl som rör viktiga allmänna intressen utgöra grund för överföring av personuppgifter till tredjeland. Undantag som grundar sig på viktiga allmänna intressen – eller i övrigt i andra fall än som avses i 34 § personuppgiftslagen – måste alltså framgå av annan författning än personuppgiftslagen, eftersom förbudet mot överföring i 33 § personuppgiftslagen annars gäller. Av detta skäl finns det ibland bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland. I 35 § andra stycket personuppgiftslagen bemyndigas också regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse.

Av artikel 49.3 i dataskyddsförordningen framgår att åtgärder som vidtas av offentliga myndigheter som ett led i myndighetsutövning inte får vidtas med stöd av samtycke eller för att överföringen är nödvändig för att fullgöra ett avtal mellan den personuppgiftsansvarige och den registrerade eller en annan fysisk eller juridisk person som agerar i den registrerades intresse. Detta är nytt i förhållande till dataskyddsdirektivet. Nytt är också kravet på att allmänintresset, om överföringen sker för att den är nödvändig av viktiga skäl som rör allmänintresset, enligt artikel 49.4 i dataskyddsförordningen ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av.

I artikel 49.5 i dataskyddsförordningen ges möjlighet att i unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation, om beslut om adekvat skyddsnivå saknas.

Om en överföring inte har stöd i artikel 45 eller 46 och inget av undantagen i artikel 49.1 första stycket i dataskyddsförordningen är tillämpligt, får en överföring till ett tredjeland eller en interna-

tionell organisation enligt artikel 49.1 andra stycket äga rum endast om överföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter.

Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredjeland. En bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild, bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c och e i dataskyddsförordningen. Bestämmelser i registerförfattningar som anger när överföring av personuppgifter till tredjeland är tillåten behöver därför inte ändras under förutsättning att de i sak inte strider mot dataskyddsförordningen.

Enligt artikel 96 i dataskyddsförordningen ska de internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta datum, fortsätta att gälla tills de ändras, ersätts eller återkallas. Det innebär att det inte med anledning av dataskyddsförordningen krävs någon anpassning av författningar om tillämpning av konventioner om t.ex. social trygghet, även om författningarna reglerar överföring av personuppgifter till tredjeland.

9.15. Den registrerades rättigheter

9.15.1. Utökade rättigheter för registrerade

Utredningens bedömning: Bestämmelser i registerförfattningar

om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagens bestämmelser om rättelse bör upphävas.

Information som ska lämnas självmant

Regleringen i dataskyddsförordningen

Av artikel 13.1 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om den personuppgiftsansvarige, dataskyddsombudet, ändamål och rättslig grund för behandlingen, de intressen som en eventuell behandling som sker med stöd av en intresseavvägning enligt artikel 6.1 f baseras på, mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt uppgifter om överföring till tredjeland eller en internationell organisation. Vidare följer av artikel 13.2 i dataskyddsförordningen att information ska lämnas om lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och dataportabilitet, rätten att – om behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a – återkalla samtycket utan att detta påverkar lagligheten av behandling som skett innan samtycket återkallades, rätten att inge klagomål till

en tillsynsmyndighet, uppgift om huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och följderna av att uppgifterna inte lämnas samt uppgift om automatiserat beslutsfattande, inbegripet profilering. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de samlades in, ska den personuppgiftsansvarige enligt artikel 13.3 i dataskyddsförordningen före den behandlingen ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2. Punkterna 1, 2 och 3 ska enligt artikel 13.4 i dataskyddsförordningen inte tillämpas om den registrerade redan förfogar över informationen.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Utöver den information som anges i artikel 13 ska även information om de kategorier av personuppgifter som behandlingen gäller lämnas. I stället för information om skyldigheten att tillhandahålla personuppgifterna gäller att information ska lämnas om varifrån uppgifterna kommer. När det gäller den tidpunkt inom vilken informationen ska lämnas anges i artikel 14.3 i dataskyddsförordningen att den personuppgiftsansvarige ska lämna informationen inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas. Det finns också möjlighet att lämna information först vid tidpunkten för den första kommunikationen med den registrerade eller först när personuppgifterna lämnas ut för första gången. Information behöver inte lämnas om den registrerade redan har tillgång till informationen. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån informationsskyldigheten sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga skyddsåtgärder. Om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, behöver information inte heller lämnas.

Information ska inte heller lämnas om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

Av artikel 12.1 i dataskyddsförordningen följer att den personuppgiftsansvarige ska tillhandahålla informationen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

Regleringen i den föreslagna dataskyddslagen

Dataskyddsutredningen har föreslagit att ett undantag från skyldigheten att lämna information enligt artikel 13 och 14 i dataskyddsförordningen ska införas i 5 kap. 1 § dataskyddslagen. Undantaget innebär att skyldigheten att lämna information inte gäller uppgifter som inte får lämnas ut till den registrerade enligt lag, författning eller beslut som meddelats med stöd av författning. En personuppgiftsansvarig som inte är en myndighet ska i motsvarande fall som avses i offentlighets- och sekretesslagen få vägra att lämna ut uppgifter. Bestämmelsen motsvarar det undantag som i dag finns i 27 § personuppgiftslagen. Sekretess och tystnadsplikt föreslås alltså precis som i dag gå före informationsplikten.36

Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen

Dataskyddsförordningens bestämmelser om information är mer utförliga än de som finns i artikel 10 och 11 i dataskyddsdirektivet. Den registrerade har således en rätt att få mer information än vad som gäller enligt dataskyddsdirektivet. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid,

36SOU 2017:39 s. 204206.

rätten att återkalla ett samtycke och rätten att inge klagomål är exempel på information som tillkommit. En annan nyhet är att den personuppgiftsansvarige är skyldig att informera innan denne ytterligare behandlar personuppgifterna för ett annat syfte än det för vilket de samlades in.

Regleringen av vid vilken tidpunkt information ska lämnas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt dataskyddsdirektivet är att informationen ska lämnas vid tiden för registreringen, medan dataskyddsförordningen föreskriver att det ska ske inom en rimlig tid från erhållandet av uppgifterna. Enligt dataskyddsförordningen finns det också möjlighet att informera först i samband med den första kommunikationen med den registrerade.

Bestämmelsen i artikel 12.1 i dataskyddsförordningen om i vilken form information ska lämnas saknar motsvarighet i dataskyddsdirektivet. Bestämmelsen innebär att den registrerades rättigheter utökas.

Bestämmelser i registerförfattningar om att information utöver vad som följer av dataskyddsförordningen ska lämnas självmant

Det förekommer att det i registerförfattningar finns bestämmelser som preciserar personuppgiftslagens reglering av vilken information den personuppgiftsansvarige självmant på ett eller annat sätt ska lämna till den registrerade. Bestämmelserna har införts för att det ska bli tydligare vilken information som ska lämnas.37

Sådana bestämmelser i registerförfattningar som innebär att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan behållas om skyldigheten avser myndigheter (se avsnitt 9.2) eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se avsnitt 9.3). Utredningen anser därför att sådana bestämmelser bör behållas. Om bestämmelserna kräver att informationen ska innehålla sådana upplysningar som ska lämnas

37 Se t.ex. prop. 2008/09:145 s. 363 och prop. 2007/08:126 s. 208.

enligt dataskyddsförordningens bestämmelser om information, bör dock dessa krav tas bort. Att bestämmelserna rensas på informationskrav innebär inte någon skillnad i sak, eftersom samma krav gäller enligt dataskyddsförordningen. För att bestämmelserna om information i registerförfattningarna inte ska leda till den felaktiga slutsatsen att de reglerar all den information som behöver lämnas självmant, bör bestämmelserna kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen. Hänvisningen till dataskyddsförordningens bestämmelser om information bör vara av dynamisk karaktär, dvs. avse vid var tid gällande lydelse av bestämmelserna, eftersom det bara gäller en upplysning och dataskyddsförordningen är direkt tillämplig.

Information som ska lämnas på begäran (registerutdrag)

Regleringen i dataskyddsförordningen

Den registrerades rätt till tillgång regleras i artikel 15 i dataskyddsförordningen. Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna. Den registrerade har också rätt till viss information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller, mottagarna eller de kategorier av mottagare till vilka personuppgifterna lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet, varifrån uppgifterna kommer samt automatiserat beslutsfattande, inbegripet profilering.

Den personuppgiftsansvarige ska enligt artikel 15.3 i dataskyddsförordningen förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form, ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Av skäl 63 till dataskyddsförordningen framgår att den registrerade bör kunna utöva sin rätt att få tillgång med rimliga intervall.

Enligt artikel 12.1 i dataskyddsförordningen ska informationen tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det, får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. I artikel 12 i dataskyddsförordningen finns även vissa andra krav som den personuppgiftsansvarige har att iaktta, bl.a. avseende den tid inom vilken information ska lämnas till den registrerade. Där finns också en bestämmelse om att den personuppgiftsansvarige har möjlighet att ta ut en avgift eller vägra att tillmötesgå en begäran enligt artikel 15 i dataskyddsförordningen, om denna är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art.

Regleringen i den föreslagna dataskyddslagen

Dataskyddsutredningens förslag till undantag för uppgifter som på grund av sekretess och tystnadsplikt inte får lämnas ut till den registrerade föreslås omfatta även information som ska lämnas på begäran enligt artikel 15 i dataskyddsförordningen. Regleringen kommer alltså, om förlaget genomförs, att motsvara vad som gäller enligt 27 § personuppgiftslagen. 38

Dataskyddsutredningen har även föreslagit att rätten till tillgång i artikel 15 i dataskyddsförordningen inte ska gälla personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget ska inte gälla om uppgifterna har lämnats ut till tredje part eller om de behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål. Undantaget ska inte heller gälla personuppgifter i löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.39 Varken Dataskyddsutredningen eller Forskningsdatautredningen har föreslagit något undantag avseende uppgifter som behandlas enbart för

38SOU 2017:39 s. 204206. 39SOU 2017:39 s. 206207.

forskningsändamål.40 Bestämmelsen motsvarar i övrigt 26 § tredje stycket personuppgiftslagen.

Skillnader i förhållande till regleringen i dataskyddsdirektivet och personuppgiftslagen

Den registrerades rätt till tillgång till personuppgifter om sig själv regleras i artikel 12 i dataskyddsdirektivet som har genomförts genom 26 § personuppgiftslagen. Dessa bestämmelser innehåller inte lika omfattande krav som dataskyddsförordningen. I förhållande till dataskyddsdirektivet och personuppgiftslagen innebär dataskyddsförordningens reglering en utökad rätt till information om lagringstid, rätten till rättelse, radering, begränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland.

Bestämmelserna om när uppgifterna ska lämnas skiljer sig också något åt. I dataskyddsförordningen anges den maximala tidsperiod som kan accepteras innan det krävs en åtgärd av den personuppgiftsansvarige, medan det av dataskyddsdirektivet endast framgår att informationen ska ges utan större tidsutdräkt. I personuppgiftslagen anges att information ska ges inom en månad från det att ansökan gjordes eller senast inom fyra månader, om det finns särskilda skäl.

Hur ofta informationen ska lämnas anges på samma sätt i såväl dataskyddsdirektivet som i dataskyddsförordningen, dvs. med rimliga intervall. I personuppgiftslagen har dock införts en skyldighet att lämna information gratis bara en gång per kalenderår. Lagstiftaren har alltså ansett att en gång per kalenderår utgör ett rimligt intervall enligt dataskyddsdirektivet. Eftersom personuppgiftslagens bestämmelse kommer att upphöra att gälla i samband med att dataskyddsförordningen börjar tillämpas, är det dataskyddsförordningens bestämmelse om rimliga intervall som ska tillämpas i fortsättningen.

Bestämmelserna i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya. Personuppgiftslagen innehåller å sin sida vissa formkrav på ansökan om registerutdrag

40 Jämför SOU 2017:39 s. 207 och SOU 2017:50 s. 222-224.

som inte finns i dataskyddsdirektivet eller dataskyddsförordningen – att ansökan ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. I dataskyddsförordningen finns däremot en ny möjlighet att begära ytterligare information som är nödvändig för att bekräfta den registrerades identitet.

Rätten till rättelse, radering och begränsning av behandling

Den registrerade har enligt artikel 16–19 i dataskyddsförordningen rätt till rättelse, radering och begränsning av behandling.

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Det finns också en möjlighet att få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande yttrande. Rätten till komplettering är ny i förhållande till dataskyddsdirektivet.

Rätten till radering, också kallad rätten att bli bortglömd, följer av artikel 17 i dataskyddsförordningen. Det finns inte någon definition av begreppet radering i dataskyddsförordningen. Det finns inte heller något skrivet i skälen till dataskyddsförordningen om vad som avses med begreppet. Begreppet får enligt vanligt språkbruk anses innebära samma sak som begreppet utplåning som används i dataskyddsdirektivet. Rätten till radering är dock betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirektivet. Rättigheten är inte obegränsad. Enligt artikel 17.3 b i dataskyddsförordningen gäller den t.ex. inte när behandling av personuppgifter är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt, eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.

Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, vilket har ersatt den åtgärd som enligt dataskyddsdirektivet benämns som blockering. Den registrerade har rätt att kräva att behandlingen begränsas om han eller hon bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta (artikel 18.1 a). Begränsning kan också krävas om be-

handlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning (artikel 18.1 b). Om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, kan den registrerade kräva att behandlingen begränsas om han eller hon behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 18.1 c). Slutligen kan begränsning krävas om den registrerade har invänt mot behandling i enlighet med artikel 21.1 i dataskyddsförordningen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1 d). Av artikel 18.2 i dataskyddsförordningen följer att om behandlingen har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. Vidare anges i artikel 18.3 i dataskyddsförordningen att en registrerad som har fått behandling begränsad ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör. Bestämmelserna innebär i förhållande till dataskyddsdirektivet bl.a. en ny skyldighet att på begäran bevara personuppgifter och en skyldighet att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna.

Slutligen, enligt artikel 19 i dataskyddsförordningen, ska den personuppgiftsansvarige underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse eller radering av personuppgifter eller begränsning av behandling som skett i enlighet med artikel 16, 17.1 och 18 i dataskyddsförordningen, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Det motsvarar i huvudsak vad som gäller enligt dataskyddsdirektivet. Den personuppgiftsansvarige ska på den registrerades begäran dessutom informera den registrerade om dessa mottagare. Detta är en nyhet i förhållande till dataskyddsdirektivet.

I artikel 12 i dataskyddsförordningen finns det bestämmelser om bl.a. tidsfrister för att informera den registrerade om vad som hänt med anledning av en begäran om en åtgärd.

Dataskyddsdirektivets reglering av dessa rättigheter är inte alls lika omfattande. I artikel 12 b i dataskyddsdirektivet anges endast att medlemsstaterna ska säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga. Enligt artikel 12 c i dataskyddsdirektivet ska varje registrerad vidare ha rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

Dataskyddsdirektivets bestämmelser har kommit till uttryck i 28 § personuppgiftslagen som anger att personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen, på begäran av den registrerade snarast ska rättas, blockeras eller utplånas.

Registerförfattningar, utom sådana som reglerar registrering som medför rättsverkningar, innehåller sällan några särskilt utformade bestämmelser om rättelse utan hänvisar i stället till personuppgiftslagens bestämmelser. När registerförfattningarna hänvisar till personuppgiftslagens bestämmelser om rättelse avses även åtgärderna blockering och utplåning. Skälet till att det i registerförfattningar ofta finns en hänvisning till personuppgiftslagens bestämmelser om rättelse är att bestämmelserna annars inte skulle vara tillämpliga. Detta eftersom 28 § personuppgiftslagen enligt sin ordalydelse endast gäller personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. För att bestämmelserna ska vara tillämpliga även när personuppgifter behandlats i strid med registerförfattningar, krävs därför att de anges gälla på motsvarande sätt vid behandling av personuppgifter enligt den aktuella författningen.

Bestämmelser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om rättelse kan inte behållas när personuppgiftslagen upphävs. Eftersom dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga och inte specifikt begränsade till behandling i strid med dataskyddsförordningen, behövs det ingen hänvisning till dessa bestämmelser. Bestämmelser i registerförfattningar med hän-

visningar till personuppgiftslagens bestämmelser om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Rätten att göra invändningar

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse respektive myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

I dataskyddsdirektivet regleras rätten att göra invändningar i artikel 14 a. Av bestämmelsen framgår att medlemsstaterna ska tillförsäkra den registrerade en rätt att, i de fall behandlingen sker med stöd av grunderna allmänt intresse, myndighetsutövning eller intresseavvägning när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation, motsätta sig behandling av personuppgifter som rör honom eller henne. Regleringen i dataskyddsförordningen skiljer sig alltså från den i dataskyddsdirektivet på så sätt att det inte längre är den registrerade som ska ha berättigade skäl, utan i stället den personuppgiftsansvarige som ska kunna redogöra för varför behandlingen ska få äga rum.

En annan betydande skillnad mellan dataskyddsförordningen och dataskyddsdirektivet är möjligheten att i nationell rätt reglera undantag från rätten att motsätta sig behandlingen. Enligt dataskyddsdirektivet gäller rätten att motsätta sig behandling utom när den nationella lagstiftningen föreskriver något annat. Några särskilda villkor för att införa sådana begränsningar i nationell rätt ställs inte upp. Medlemsstaterna har, såsom vi tolkat dataskyddsdirektivet i Sverige, därför enkelt kunnat reglera bort rättigheten i nationell rätt. Datalagskommittén såg inte tillräckliga skäl för att föreslå en generell rätt att motsätta sig behandling av personuppgifter; i stället har i personuppgiftslagen införts en mycket begrän-

sad möjlighet för den registrerade att göra invändningar. Av 12 § andra stycket personuppgiftslagen följer att en registrerad bara kan motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen om behandlingen avser ändamål som rör direkt marknadsföring eller om behandlingen sker med stöd av samtycke. Om behandlingen sker med stöd av samtycke, är det dessutom enbart behandling av ytterligare personuppgifter efter att samtycket tagits tillbaka, som den registrerade slipper. Även en del registerförfattningar innehåller bestämmelser om att den registrerade inte har möjlighet att motsätta sig sådan behandling som är tillåten enligt författningen.

Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i artikel 23.1 (se avsnitt 9.15.2). Medlemsstaterna kan således inte längre genom generella bestämmelser begränsa rätten att invända mot behandling. Eventuella nationella begränsningar måste i stället utgå från avvägningar i fråga om nödvändighet och proportionalitet samt grunda sig på något av de mål som anges i artikel 23.1 i dataskyddsförordningen.

Automatiserat och individuellt beslutsfattande

I artikel 22 i dataskyddsförordningen finns det bestämmelser om automatiserat beslutsfattande. Huvudregeln enligt artikel 22.1 i dataskyddsförordningen är att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Enligt skäl 71 till dataskyddsförordningen kan det röra sig om t.ex. ”ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt”. Profilering definieras i artikel 4.4 i dataskyddsförordningen som ”varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation,

hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”.

I dataskyddsdirektivet finns motsvarande bestämmelser om automatiserade beslut; där kallade databehandlade beslut. Av artikel 15.1 i dataskyddsdirektivet framgår att medlemsstaterna ska ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande.

Det framgår inte tydligt om det finns en skillnad i tillämpningsområdet mellan artikel 22.1 i dataskyddsförordningen och artikel 15.1 i dataskyddsdirektivet. Artikel 15.1 i dataskyddsdirektivet omfattar enbart beslut som grundas på profilering medan formuleringen ”beslut som enbart grundas på automatiserad behandling, inbegripet profilering,” i artikel 22.1 i dataskyddsförordningen kan tolkas som att artikeln omfattar även andra beslut än sådana som grundas enbart på profilering. Även skäl 71 till dataskyddsförordningen är otydligt i fråga om vad som avses. I den uppräkning av rättigheter som kan begränsas enligt artikel 23 i dataskyddsförordningen som finns i skäl 73 nämns däremot endast profileringsbaserade beslut. Detta tyder på att det bara är beslut grundade enbart på profilering som avses i artikel 22.1 i dataskyddsförordningen. Även kommissionens förslag till dataskyddsförordning (artikel 20) gällde endast åtgärder på grundval av profilering och frågans hantering därefter antyder inte att någon förändring i förhållande till dataskyddsdirektivet är avsedd. Utredningen utgår därför från att artikel 22.1 i dataskyddsförordningen omfattar bara sådana beslut som grundas enbart på automatiserad behandling som inkluderar profilering.

Från huvudregeln att den registrerade ska ha rätt att inte bli föremål för automatiserat beslutsfattande finns enligt artikel 22.2 i dataskyddsförordningen flera undantag. Artikel 22.1 i dataskyddsförordningen ska inte tillämpas om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för

den registrerades rättigheter, friheter och berättigade intressen, eller om beslutet grundar sig på den registrerades uttryckliga samtycke. I de fall det är tillåtet att fatta automatiserade beslut med anledning av ett avtal eller med stöd av samtycke, ska den personuppgiftsansvarige enligt artikel 22.3 i dataskyddsförordningen genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna uttrycka sin åsikt och bestrida beslutet. Beslut får enligt artikel 22.4 i dataskyddsförordningen grunda sig på känsliga personuppgifter endast om behandlingen sker med stöd av artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.

Lämpliga skyddsåtgärder bör enligt skäl 71 till dataskyddsförordningen inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Vidare anges i skäl 71 ytterligare åtgärder för att skydda den registrerade:

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter.

Även i dataskyddsdirektivet finns undantag från huvudregeln. En person får enligt artikel 15.2 i dataskyddsdirektivet trots allt bli föremål för ett sådant beslut som avses i artikel 15.1 om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal eller tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. I fråga om avtal krävs också att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans

berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande.

Att ett beslut enligt dataskyddsförordningen kan fattas automatiserat med stöd av samtycke från den registrerade är således en nyhet i förhållande till dataskyddsdirektivet. Begränsningen i fråga om känsliga personuppgifter är också ny i förhållande till dataskyddsdirektivet.

Dataskyddsdirektivets bestämmelser har kommit till uttryck i 29 § personuppgiftslagen, där det anges att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut har enligt paragrafens andra stycke rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.

I den mån det inom Socialdepartementets verksamhetsområde förekommer beslut som grundas enbart på automatiserad behandling och inkluderar profilering, krävs det att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt utredningens tolkning inte av artikel 22 i dataskyddsförordningen och dataskyddsförordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande regleras särskilt. Då krävs endast att behandlingen av personuppgifter som sådan är tillåten enligt gällande dataskyddslagstiftning.

9.15.2. Begränsningar av rättigheter

Utredningens bedömning: En begränsning av de nya rättighet-

erna för registrerade bör övervägas bara om en ny rättighet kan anses alldeles särskilt betungande för en specifik verksamhet.

Bestämmelser i registerförfattningar om begränsningar av andra rättigheter för registrerade än rätten att göra invändningar kan och bör behållas.

Bestämmelser i registerförfattningar om begränsningar av den registrerades rätt att göra invändningar enligt artikel 21 i dataskyddsförordningen kan och bör behållas om de efter en prövning i varje enskilt fall bedöms tillåtna enligt artikel 23.1.

Möjlighet till undantag

Enligt artikel 23.1 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artikel 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen.

De uppräknade intressena i artikel 23.1 i dataskyddsförordningen innefattar bl.a.

  • unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (e),
  • förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken (g),
  • en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i artikel 23.1 a–e och g (h), och
  • skydd av den registrerade eller andras rättigheter och friheter (i).

En begränsning enligt artikel 23.1 i dataskyddsförordningen måste dock uppfylla vissa krav. Enligt artikel 23.2 i dataskyddsförordningen ska en lagstiftningsåtgärd som begränsar rättigheter och skyldigheter som följer av dataskyddsförordningen innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter, och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. Det framstår som något oklart vad de sista två kraven egentligen avser. När är det relevant med specifika bestämmelser om riskerna för de registrerades rättigheter och friheter och ska de innehålla en uppräkning av dessa risker eller något annat? Kravet på bestämmelser om information om begränsningen lär knappast ha någon relevans när själva begränsningen innebär att den registrerade inte automatiskt får information när behandlingen inleds.

En liknande bestämmelse om möjlighet till begränsning av omfattningen av skyldigheter och rättigheter finns i artikel 13 i dataskyddsdirektivet. I den bestämmelsen anges i och för sig inte något om att begränsningen ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna eller att åtgärden ska vara proportionell i ett demokratiskt samhälle. Det får dock förutsättas att begränsningar av den personuppgiftsansvariges skyldigheter inte heller enligt dataskyddsdirektivet får göras i strid mot grundläggande rättigheter och friheter eller vara oproportionella. Europakonventionen nämns också i skäl 1 till dataskyddsdirektivet. Av Europarådets dataskyddskonvention följer vidare att lagstadgade begränsningar måste vara en nödvändig åtgärd i ett demokratiskt samhälle.

En större skillnad mellan dataskyddsförordningen och dataskyddsdirektivet är att uppräkningen av de intressen som en begränsning måste syfta till att säkerställa har utökats i dataskyddsförordningen. Dessutom har vissa av de befintliga intressena formulerats om. Artikel 13.1 e i dataskyddsdirektivet omfattar endast viktiga ekonomiska eller finansiella intressen, medan artikel 23.1 e i dataskyddsförordningen även tar upp andra viktiga mål av generellt allmänt intresse. Uppräkningen i den punkten är inte heller längre uttömmande utan även andra mål kan omfattas. Samtidigt har ordalydelsen i punkten e ändrats från att en begränsning ska vara nödvändig med hänsyn till ett viktigt (ekonomiskt eller finansiellt) intresse till ett viktigt mål av generellt allmänt intresse. I avsaknad av ytterligare tolkningsdata går det, som anges i avsnitt 9.8.1, inte att dra några säkra slutsatser om detta innebär att det krävs något annat än vad som följer av begreppet allmänt intresse som används i t.ex. artikel 6.1 e i dataskyddsförordningen. Utredningen bedömer att utrymmet för begränsningar enligt artikel 23.1 e i dataskyddsförordningen i vart fall är större än enligt motsvarande reglering i dataskyddsdirektivet, eftersom bestämmelsen inte längre enbart omfattar ekonomiska och finansiella intressen.

I artikel 23.1 g i dataskyddsförordningen har, i förhållande till dataskyddsdirektivet när det gäller överträdelser av etiska regler, förhindrande och utredning av överträdelser lagts till medan undersökning tagits bort. Det är utredningens bedömning att begreppen utredning och undersökning har samma innebörd. Tillägget av förhindrande av överträdelser innebär en utökning i förhållande till dataskyddsdirektivet.

När det gäller tillsyns-, inspektions- eller regleringsfunktioner som nämns i artikel 23.1 h i dataskyddsförordningen har dataskyddsdirektivets formulering att bestämmelsen gäller även om funktionen är av övergående karaktär bytts ut mot formuleringen även i enstaka fall. Utredningen bedömer, i avsaknad av klargörande skäl, att någon ändring i sak inte är avsedd.

Formuleringen i artikel 23.1 i i dataskyddsförordningen är densamma som i dataskyddsdirektivet.

Möjligheterna att begränsa den registrerades rättigheter, när det gäller de intressen som är aktuella inom Socialdepartementets verksamhetsområde, är alltså desamma för vissa av punkterna medan de

för andra punkter är något utökade jämfört med vad som gäller enligt dataskyddsdirektivet.

Kravet i dataskyddsförordningen på att lagstiftningsåtgärder med begränsningar ska, när det är relevant, innehålla specifika bestämmelser i vissa uppräknade avseenden saknar motsvarighet i dataskyddsdirektivet.

Dataskyddsutredningen har, som framgått av avsnitt 9.15.1, föreslagit vissa generella undantag avseende rätten till information och rätten till tillgång till personuppgifter. Regeringen ska dessutom enligt förslaget till 5 kap. 3 § dataskyddslagen få meddela närmare föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen.41

Allmänna utgångspunkter för undantag

Som framgått får den registrerade vissa nya rättigheter med dataskyddsförordningen. De nya rättigheterna för registrerade förhindrar inte den behandling som får ske enligt registerförfattningarna. Däremot uppställs nya administrativa krav på de personuppgiftsansvariga. Det är utredningens övergripande bedömning att dessa nya krav normalt sett inte kan anses så betungande att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen. När det gäller dataskyddsförordningens reglering av information, tillgång, rättelse, radering och begränsning av behandling har det inte framkommit att det skulle innebära några beaktansvärda svårigheter för personuppgiftsansvariga att uppfylla de fåtaliga nyheter som dataskyddsförordningen innebär. Dataskyddsförordningens reglering bör därför som utgångspunkt gälla. Om däremot ett nytt krav kan anses alldeles särskilt betungande för en specifik verksamhet, bör en begränsning av de nya rättigheterna övervägas.

41SOU 2017:39.

Det förekommer bestämmelser i registerförfattningar som begränsar de rättigheter som registrerade har i dag enligt dataskyddsdirektivet och personuppgiftslagen. Det kan gälla t.ex. en begränsning av rätten till registerutdrag eller en bestämmelse om att behandling som är tillåten enligt författningen får utföras även om den registrerade motsätter sig den, dvs. en begränsning av rätten att göra invändningar. Utredningen börjar med att bedöma andra befintliga begränsningar än sådana som begränsar rätten att göra invändningar.

De krav på själva begränsningen – syftet med begränsningen, nödvändig och proportionell åtgärd och respekt för andemeningen i de grundläggande rättigheterna – som gäller enligt dataskyddsförordningen är som framgått i vart fall inte snävare än enligt dataskyddsdirektivet. De bedömningar som gjorts när begränsningarna infördes bör godtas. Det är därför utredningens bedömning att de bestämmelser i registerförfattningar som begränsar registrerades rättigheter i förhållande till de som finns enligt dataskyddsförordningen, utom såvitt avser rätten till invändningar, i och för sig är tillåtna.

När det gäller begränsningar i registerförfattningar av rätten att göra invändningar gör utredningen följande överväganden. Det har ansetts att en begränsning av rätten att göra invändningar enligt dataskyddsdirektivet bara förutsätter att det finns en författningsbestämmelse om det. Bestämmelser i registerförfattningar om en sådan begränsning har därför normalt inte föregåtts av en sådan prövning som den som måste göras enligt artikel 23.1 i dataskyddsförordningen. Det innebär att utredningen i fråga om sådana bestämmelser bör göra en sådan prövning. Det behöver förstås bara göras i de fall det enligt artikel 21 i dataskyddsförordningen finns en rätt till invändningar, dvs. när den reglerade behandlingen grundar sig på att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller klarar en intresseavvägning.

Det kan tilläggas att det är utredningens uppfattning att registerförfattningar, som innehåller en begränsning av den registrerades rätt att göra invändningar, normalt reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.

Ett nytt krav för begränsningar enligt dataskyddsförordningen (artikel 23.2) är att lagstiftningsåtgärden, när det är relevant, också ska innehålla specifika bestämmelser i vissa uppräknade avseenden, nämligen ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter, och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

Registerförfattningar med begränsningar innehåller regelmässigt också bestämmelser i de allra flesta avseenden som räknas upp i artikel 23.2 i dataskyddsförordningen. Sådana registerförfattningar har införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Det är därför utredningens bedömning att det nya kravet på specifika bestämmelser utan vidare analys från utredningens sida kan anses uppfyllt i fråga om befintliga begränsningar.

9.16. Säkerhetsåtgärder

9.16.1. Den generella regleringen om säkerhetsåtgärder/skyddsåtgärder

Av artikel 6.1 c i dataskyddsdirektivet framgår att behandlade personuppgifter ska vara adekvata och relevanta och att de inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Artikeln har kommit till uttryck i 9 § e och f personuppgiftslagen. Samma princip finns i artikel 5.1 c i dataskyddsförordningen (principen om uppgiftsminimering). Där anges att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

En annan grundläggande princip enligt dataskyddsförordningen är att den personuppgiftsansvarige enligt artikel 5.1 f ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna,

inbegripet bl.a. skydd mot obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet).

En allmän bestämmelse om den personuppgiftsansvariges ansvar finns i artikel 24 i dataskyddsförordningen. Av den följer att den personuppgiftsansvarige, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Vidare anges att om det står i proportion till behandlingen, ska åtgärderna omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

En precisering av det nämnda ansvaret finns i artikel 25 i dataskyddsförordningen som handlar om inbyggt dataskydd och dataskydd som standard. Enligt den artikeln ska den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Åtgärderna ska vidtas både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen.

Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Vidare finns i artikel 32 i dataskyddsförordningen en bestämmelse som preciserar de säkerhetsåtgärder som bör vidtas enligt artikel 25 i dataskyddsförordningen. De åtgärder som ska vidtas ska, när det är lämpligt, inbegripa pseudonymisering och krypter-

ing av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Anslutning till en godkänd uppförandekod som avses i artikel 40 i dataskyddsförordningen eller en godkänd certifieringsmekanism som avses i artikel 42 i dataskyddsförordningen får användas för att visa att kraven följs. Åtgärder ska vidare vidtas för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. Skyldigheterna enligt artikel 32 i dataskyddsförordningen gäller inte bara den personuppgiftsansvarige utan även personuppgiftsbiträdet.

Även enligt dataskyddsdirektivet gäller att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Enligt artikel 17 i dataskyddsdirektivet ska sådana åtgärder vidtas för att skydda personuppgifter mot bl.a. otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk. Av artikel 16 i dataskyddsdirektivet framgår att den som får tillgång till personuppgifter med anledning av sitt arbete, får behandla uppgifterna endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag. Bestämmelserna har kommit till uttryck i 30 och 31 §§personuppgiftslagen.

Att integritet och konfidentialitet finns med bland de allmänna principerna i artikel 5 i dataskyddsförordningen är en nyhet i förhållande till dataskyddsdirektivet. Bestämmelserna om säkerhet i dataskyddsdirektivet har liknande innehåll som de i dataskyddsförordningen men är mer allmänt hållna. Exempelvis räknas de

säkerhetsåtgärder som bör övervägas inte upp i dataskyddsdirektivet. En annan nyhet i dataskyddsförordningen är att även personuppgiftsbiträden har ett uttryckligt ansvar för att säkerhetsåtgärder vidtas.

Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Åtgärderna får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet. Artikel 89.1 i dataskyddsförordningen kan alltså sägas precisera de mer allmänna bestämmelserna om skyddsåtgärder som nämnts ovan, bl.a. genom att ange att den personuppgiftsansvarige i första hand ska överväga om det är möjligt att behandla sådana uppgifter som inte medger identifiering av de registrerade. Enligt utredningens bedömning får detta dock anses följa redan av den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt de allmänna bestämmelserna om säkerhet.

I dataskyddsdirektivet är formuleringen angående skyddsåtgärder för historiska, statistiska eller vetenskapliga ändamål något annorlunda. I artikel 6.1 b i dataskyddsdirektivet anges att senare behandling för historiska, statistiska eller vetenskapliga ändamål förutsätter att medlemsstaterna beslutar om lämpliga skyddsåtgärder. Skyldigheten för den personuppgiftsansvarige att iaktta principen om uppgiftsminimering och vidta säkerhetsåtgärder följer dock av de allmänna bestämmelserna i dataskyddsdirektivet. Det är därför utredningens bedömning att regleringen i dataskyddsförordningen motsvarar den som finns i dataskyddsdirektivet (för bedömning avseende ändrad formulering av ändamålen se avsnitt 9.17.2).

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen (se avsnitt 9.3). Myndigheter kan vidare

utan hinder av dataskyddsförordningen åläggas krav på säkerhetsåtgärder (se avsnitt 9.2).

För behandling av känsliga personuppgifter med stöd av artikel 9.1 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet (se avsnitt 9.12). Även i artikel 87 i dataskyddsförordningen talas det om lämpliga skyddsåtgärder i fråga om behandling av ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering (se avsnitt 9.13). Nationell lagstiftning om skyddsåtgärder kan vidare vara nödvändig för att en begränsning av den registrerades rättigheter ska få göras (se avsnitt 9.15.2). Olika skyddsåtgärder är således inte bara något som kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.

9.16.2. Bestämmelser om säkerhetsåtgärder i registerförfattningar

Utredningens bedömning: Bestämmelser i registerförfattningar

om säkerhetsåtgärder behöver inte ändras. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen eller om behandlingen av uppgifterna grundar sig på artikel 9.2 g, i eller j eller artikel 10 i dataskyddsförordningen.

I registerförfattningar finns det ofta bestämmelser om vad som kan betecknas som säkerhetsåtgärder (eller skyddsåtgärder).

Här kan följande nämnas som exempel:

  • Bestämmelser om en databas som reglerar vilka personuppgifter som får göras mera allmänt tillgängliga i den aktuella verksamheten.
  • Bestämmelser om tilldelning och begränsning av behörighet samt loggkontroll.
  • Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske.
  • Bestämmelser om sökbegränsningar.
  • Bestämmelser om kryptering och pseudonymisering.
  • Bestämmelser om samtycke som krav för en viss åtgärd.

En databas som används gemensamt i verksamheten

För vissa verksamheter har man valt att i registerförfattning knyta särskilda regler till viss behandling av personuppgifter som anses särskilt integritetskänslig. Exempelvis bedöms sådan behandling av personuppgifter, som innebär att fler än ett fåtal personer har såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifterna på annat sätt, typiskt sett mer integritetskänslig än vad som är fallet när endast någon enstaka person förfogar över uppgifterna.42För att avgränsa vilka personuppgifter som berörs, används ofta ett databasbegrepp. Begreppet används i juridisk mening och ansluter inte nödvändigtvis till tekniska avgränsningar eller behörighetstilldelningar.

En avgränsning av vilka personuppgifter som får behandlas i en viss databas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Samma princip, uttryckt på i sak samma sätt, finns i artikel 6.1 b i dataskyddsdirektivet.

Behörighetsbegränsningar och loggkontroll

Bestämmelser i registerförfattningar om begränsningar av användares åtkomst till personuppgifter samt om uppföljning av åtkomsten är tänkta att innebära en konkretisering av personuppgiftslagens bestämmelser om säkerhet. Genom att användare endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller

42Prop. 2002/03:135 s. 47 ff.

medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.

Styrning av tilldelning och begränsning av behörigheter är sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska vidta på eget initiativ enligt dataskyddsförordningen. Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör, kan mer specifika krav även fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.

Logguppföljning medför i sig vissa särskilda integritetsrisker som bör beaktas. Om uppföljning sker av anställdas åtgärder i ett ärendehanteringssystem, kan exempelvis personuppgifter avseende såväl enskilda, vars uppgifter finns i ett ärende, som de anställda komma att behandlas. Det får förutsättas att en bedömning av dessa integritetsrisker i förhållande till eventuella integritetsvinster har gjorts innan befintliga bestämmelser om logguppföljning har införts i registerförfattningar.

Direktåtkomst och utlämnande på medium för automatiserad behandling

Utlämnande genom direktåtkomst och utlämnande på medium för automatiserad behandling utgör olika former av behandling av personuppgifter och regleras ofta i registerförfattningar. I dataskyddsförordningen, dataskyddsdirektivet och personuppgiftslagen finns det inga särskilda bestämmelser som direkt rör dessa former av behandling/utlämnande43 utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6 i dataskyddsförordningen. Det krävs också att säkerhetsåtgärder enligt artikel 24.1 och 32 i dataskyddsförordningen är vidtagna. Om utlämnandet avser känsliga personuppgifter eller uppgifter om lagöverträdelser,

43 I skäl 31 till dataskyddsförordningen finns det dock vissa uttalanden om offentliga myndigheters begäranden om att uppgifter ska lämnas ut och om att register kopplas samman, som inte verkar ha direkt stöd i artiklarna i dataskyddsförordningen. Jämför eSam, Elektroniskt informationsutbyte – en vägledning för utlämnande i elektroniskt form, s. 22 f.

krävs i tillämpliga fall stöd enligt artikel 9 respektive artikel 10 i dataskyddsförordningen. Motsvarande gäller enligt dataskyddsdirektivet.

Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen, får det således ske på vilket sätt som helst så länge föreskrivna säkerhetsåtgärder vidtas. Artikel 24.1 och 32 i dataskyddsförordningen om säkerhetsåtgärder, som har sin motsvarighet i artikel 16 och 17 i dataskyddsdirektivet, kommer att vara direkt tillämpliga.

Sökbegränsningar

Varken dataskyddsförordningen, dataskyddsdirektivet eller personuppgiftslagen innehåller några bestämmelser som särskilt tar sikte på sökning. Sökning och sammanställning av personuppgifter är dock en form av behandling av personuppgifter som omfattas av dataskyddsregleringen. Det innebär bl.a. att en sökning måste vara förenlig med angivna ändamål för att vara tillåten.

I många registerförfattningar finns sökbegränsningar som framför allt tar sikte på användningen av känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp. Anledningen är att användningen av dessa uppgifter som sökbegrepp kan leda till att det går att skapa mycket integritetskänsliga sammanställningar med personer som har vissa egenskaper. Sökbegränsningarna inskränker också allmänhetens möjligheter att ta del av sammanställningen (2 kap. 3 § tredje stycket tryckfrihetsförordningen). Att förbjuda användning av t.ex. känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp utgör en säkerhetsåtgärd/skyddsåtgärd i dataskyddsförordningens mening.

Kryptering och pseudonymisering

Kryptering och pseudonymisering är åtgärder som tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen eftersom sådana åtgärder innebär att den personuppgiftsansvarige inte behandlar fler direkt identifierande personuppgifter än vad som är nödvändigt för ändamålet med behandlingen. Krav på kryptering och pseudonymisering uppfyller också villkoren i principen om integritet och konfidentialitet i artikel 5.1 f i data-

skyddsförordningen som anger att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna med användning av lämpliga tekniska och organisatoriska åtgärder. Kryptering och pseudonymisering utgör sådana säkerhetsåtgärder som nämns i artikel 32 i dataskyddsförordningen och som ska vidtas i den mån det är lämpligt.

Samtycke

Det förekommer bestämmelser i registerförfattningar om att en viss åtgärd, t.ex. direktåtkomst eller utlämnande på medium för automatiserad behandling, med personuppgifter som behandlas med stöd av annan rättslig grund än samtycke bara får utföras med den registrerades samtycke. En sådan bestämmelse kan enligt utredningen anses utgöra en integritetshöjande åtgärd, dvs. en slags skyddsåtgärd.44 Eftersom registerförfattningarna inom Socialdepartementets verksamhetsområde gäller utöver personuppgiftslagen, måste samtycket uppfylla det som anges i definitionen av samtycke i 3 § personuppgiftslagen, som genomför definitionen av samtycke i artikel 2 h i dataskyddsdirektivet.

Enligt definitionen i artikel 4.11 i dataskyddsförordningen ska samtycket vara frivilligt, specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar den aktuella behandlingen av personuppgifter som rör honom eller henne. Definitionen av samtycke i artikel 4.11 i dataskyddsförordningen motsvarar i allt väsentligt den som finns i artikel 2 h i dataskyddsdirektivet. Eftersom själva definitionen av vad som utgör ett giltigt samtycke inte har ändrats i sak i dataskyddsförordningen, bedömer utredningen att någon ytterligare analys av lämpligheten av att uppställa ett krav på samtycke för att en viss åtgärd, såsom direktåtkomst eller annat elektroniskt utlämnande, ska få utföras inte behöver göras i de fall sådana bestämmelser finns i befintliga registerförfattningar. Dataskyddsförordningens definition av samtycke föranleder således inte i sig att denna typ av integritetshöjande åtgärder behöver ändras.

44 Jämför Ds 2016:44 s. 224 ff.

I artikel 7 och artikel 8 i dataskyddsförordningen, om barns samtycke avseende informationssamhällets tjänster, finns vissa kompletterande bestämmelser om samtycke, som inte har någon uttrycklig motsvarighet i dataskyddsdirektivet och personuppgiftslagen. Dessutom har frågan om samtycke utvecklats i skäl 43 till dataskyddsförordningen på ett sätt som saknar motsvarighet i dataskyddsdirektivet. Det kan alltså inte uteslutas att kraven på samtycke i vissa situationer har skärpts något i förhållande till vad som anses gälla i dag. När registerförfattningarna, sedan dataskyddsförordningen börjat tillämpas, kommer att komplettera dataskyddsförordningen i stället för att gälla utöver personuppgiftslagen, kommer regleringen av samtycke som finns i dataskyddsförordningen att gälla även för de samtycken i registerförfattningarna som utgör integritetshöjande åtgärder.

Det finns dock inte något krav enligt dataskyddsförordningen på att sådana samtycken som i registerförfattningar har föreskrivits såsom en integritetshöjande åtgärd och inte som en rättslig grund för att över huvud taget få behandla personuppgifter ska omfattas av de eventuellt skärpta kraven på samtycke. Utredningen har därför övervägt att använda ett annat begrepp, exempelvis godkännande, för ett sådant samtycke som utgör en form av skyddsåtgärd. På så sätt skulle inte de eventuellt skärpta kraven i dataskyddsförordningen gälla för samtycken som utgör integritetshöjande åtgärder. Utredningen ser dock flera nackdelar med att införa ett nytt begrepp. Samtycke är ett inarbetat begrepp och används för att uttrycka integritetshöjande åtgärder i flera andra registerförfattningar än de som utredningen har sett över.45 Om samtycke ersätts med något annat begrepp, blir det otydligt om bestämmelsen om återkallelse av samtycke i artikel 7.3 i dataskyddsförordningen gäller. I lagen om biobanker i hälso- och sjukvården m.m. finns hänvisningar till andra bestämmelser om samtycke, varför en ändring av samtyckesbegreppet inte bedöms vara lämplig i den författningen. Sammantaget gör utredningen därför bedömningen att det, i vart fall inte inom ramen för den översyn som nu görs, är lämpligt att ersätta begreppet samtycke, när det avser en integritetshöjande

45 Bestämmelser om samtycke som krav för en viss åtgärd finns bl.a. i 10 § studiestödsdatalagen (2009:287), 9 § förordningen (1998:1234) om det statliga personadressregistret och 6 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet.

åtgärd, med något annat begrepp. Det innebär att de eventuellt skärpta kraven på samtycke enligt dataskyddsförordningen gäller även när samtycket används som en integritetshöjande åtgärd. Det bedöms dock inte hindra sådana åtgärder som behöver utföras, eftersom åtgärderna redan i dag är beroende av den registrerades inställning till dem. Därför bör det inte heller komma i fråga att ta bort bestämmelser om samtycke såsom en integritetshöjande åtgärd.

Överväganden

De bestämmelser om de nämnda säkerhetsåtgärderna/skyddsåtgärderna som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 9.3). Myndigheter kan vidare genom nationell lag åläggas säkerhetsåtgärder utan hinder av dataskyddsförordningen (se avsnitt 9.2). Vid behandling av känsliga personuppgifter som grundar sig på artikel 9.2 g (viktigt allmänt intresse), i (allmänt intresse på folkhälsoområdet) och j (arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål) i dataskyddsförordningen krävs det skyddsåtgärder enligt nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet. Bestämmelserna om sökbegränsningar eller andra säkerhetsåtgärder i registerförfattningar kan således vara inte bara tillåtna utan också nödvändiga såsom skyddsåtgärder vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser eller vid begränsning av den registrerades rättigheter enligt artikel 23 i dataskyddsförordningen.

Det är således utredningens slutsats att bestämmelser i registerförfattningar om de nämnda säkerhetsåtgärderna/skyddsåtgärderna inte behöver ändras med anledning av dataskyddsförordningen. I fråga om enskildas behandling gäller det under förutsättning att den ursprungliga behandlingen grundar sig på artikel 6.1 c och e (se

avsnitt 9.3) eller om behandlingen av uppgifterna grundar sig på artikel 9 g, i eller j eller artikel 10 i dataskyddsförordningen.

9.17. Gallring och bevarande

9.17.1. Den generella regleringen om gallring och bevarande

Principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.

För känsliga personuppgifter gäller specifikt enligt artikel 9.2 j i dataskyddsförordningen att sådana uppgifter får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Av artikel 89.1 i dataskyddsförordningen framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger

eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det enligt artikel 89.2 och 3 i dataskyddsförordningen föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begränsning av behandling och invändning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av personuppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett.

Regleringen i dataskyddsförordningen av vad som gäller för gallring och bevarande skiljer sig något från den som framgår av dataskyddsdirektivet. Dataskyddsdirektivets reglering är inte lika utförlig och innehåller inget särskilt undantag för behandling av känsliga personuppgifter. Formuleringarna i dataskyddsförordningen och dataskyddsdirektivet är inte heller desamma. Enligt artikel 6.1 e i dataskyddsdirektivet ska medlemsstaterna föreskriva att personuppgifter förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska enligt artikeln också vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.

Dataskyddsdirektivets bestämmelse har kommit till uttryck i 9 § första stycket i samt tredje och fjärde styckena personuppgiftslagen. Där framgår att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid, men inte längre än vad som behövs för dessa ändamål. För att uppfylla dataskyddsdirektivets krav på skyddsåtgärder anges att personuppgifter som behandlas för dessa ändamål bara får användas för att vidta åtgärder i fråga om den regi-

strerade om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.46

Enligt 8 § andra stycket personuppgiftslagen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Det inkluderar även eventuella känsliga personuppgifter. Bestämmelserna i 9 § första stycket i samt tredje och fjärde stycket personuppgiftslagen gäller därför inte vid en myndighets arkivering av allmänna handlingar utan har främst betydelse för enskilda arkiv. Gallring av allmänna handlingar styrs i stället av bestämmelser i arkivlagen (1990:782) samt i registerförfattningar, vars bestämmelser gäller före arkivlagen och arkivförordningen (1991:446). Detta framgår av 10 § arkivlagen och 14 § arkivförordningen. Regleringen kompletteras av myndighetsföreskrifter och myndighetsbeslut om gallring eller bevarande.

Dataskyddsutredningen har konstaterat att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse är tillåten enligt artikel 5.1 b i dataskyddsförordningen. För att även känsliga personuppgifter ska få behandlas för arkivändamål har Dataskyddsutredningen föreslagit en undantagsbestämmelse som grundar sig på artikel 9.2 j i dataskyddsförordningen. Enligt 3 kap. 6 § förslaget till dataskyddslag ska känsliga personuppgifter få behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Eftersom det följer av direkt tillämpliga bestämmelser i dataskyddsförordningen att sådan behandling som inte avser känsliga personuppgifter är tillåten, innebär den föreslagna bestämmelsen enligt Dataskyddsutredningen att dataskyddsförordningen och dataskyddslagen inte hindrar att allmänna handlingar arkiveras och bevaras eller att arkivmaterial tas om hand av en arkivmyndighet. Det blir därmed inte någon saklig skillnad för myndigheter i förhållande till vad som gäller enligt 8 § personuppgiftslagen.47

Enligt 4 kap. 1 § förslaget till dataskyddslag ska personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte få användas för att vidta åtgärder i fråga om den registrerade, annat än

46Prop. 1997/98:44 s. 63. 47SOU 2017:39 s. 215216 och 220222.

om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.48 Liksom enligt motsvarande bestämmelse i personuppgiftslagen ska begränsningen inte gälla för en myndighets användning av personuppgifter i allmänna handlingar.

9.17.2. Överväganden

Utredningens bedömning: Bestämmelser i registerförfattningar

om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande behöver inte ändras i sak. Detta gäller under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.

Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Huvudregeln enligt artikel 5.1 e i dataskyddsförordningen är att personuppgifter inte får lagras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Samma princip gäller enligt artikel 6.1 e dataskyddsdirektivet. Huvudregeln har således inte ändrats.

Bestämmelser i registerförfattningar som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är enligt utredningens bedömning sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i

48SOU 2017:39.

dataskyddsförordningen. Tidigare bedömningar av vilka tidsperioder som är nödvändiga för ändamålet behöver inte göras om med anledning av dataskyddsförordningen.

Om registerförfattningar innehåller bemyndiganden som ger regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om att uppgifter får bevaras för en viss tid och för ett visst ändamål, berörs inte dessa av dataskyddsförordningen, eftersom de inte i sig föreskriver bevarande. Däremot kan bemyndigandet förstås bara användas på ett sådant sätt som är tillåtet enligt dataskyddsförordningen.

Särskilda regler gäller enligt artikel 5.1 e i dataskyddsförordningen om personuppgifter enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Den nuvarande formuleringen i dataskyddsdirektivet och personuppgiftslagen om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen ändrats till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt utredningens bedömning innebär omformuleringen inte någon ändring i sak.

Om personuppgifter behandlas enbart för ovan angivna ändamål, får de lagras under längre perioder under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter. I artikel 89.1 i dataskyddsförordningen anges att skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas). Vidare framgår av samma artikel att personuppgifter ska avidentifieras i den mån det är möjligt. Även enligt dataskyddsdirektivet ska medlemsstaterna vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål. Kravet på skyddsåtgärder är således inte nytt och principerna om uppgiftsminimering respektive avidentifiering finns även i dataskyddsdirektivet. Om registerförfattningar innehåller bestämmelser rörande behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål, får det mot bakgrund av detta förutsättas att

tillräckliga skyddsåtgärder redan framgår av registerförfattningarna eller de föreskrifter som medger bevarandet.

Av artikel 9.2 j i dataskyddsförordningen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är ny i förhållande till dataskyddsdirektivet och innebär att behandling av känsliga personuppgifter för nämnda ändamål förutsätter stöd i nationell rätt och bestämmelser om skyddsåtgärder. Som anges i avsnitt 9.17.1 har Dataskyddsutredningen med stöd av den bestämmelsen föreslagit att ett undantag avseende arkiverade personuppgifter ska införas i dataskyddslagen.

I registerförfattningar finns det ibland bemyndiganden att meddela föreskrifter om bevarande av känsliga personuppgifter för dessa ändamål. Dessa bemyndiganden brukar avse att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Oavsett vad kravet på grundval i lagstiftningen i artikel 9.2 j i dataskyddsförordningen innebär kan sådana bemyndiganden kvarstå oförändrade. När föreskrifter om bevarande meddelas med stöd av bemyndigandena, måste det givetvis ses till att föreskrifterna, i enlighet med artikel 9.2 j i dataskyddsförordningen, står i proportion till det eftersträvade syftet och är förenliga med det väsentliga innehållet i rätten till dataskydd samt, om så krävs, innehåller bestämmelser om skyddsåtgärder utöver de som kan vara tillämpliga enligt registerförfattningen.

Bestämmelser i registerförfattningar om gallring och bemyndiganden att meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål behöver alltså inte ändras i sak under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen.

Mot bakgrund av tolkningen att den ändrade formuleringen av historiska, statistiska eller vetenskapliga ändamål inte medför någon ändring i sak samt behovet av att fortsätta att anknyta till formuleringen i den generella dataskyddsregleringen, är det bäst att anpassa formuleringarna i registerförfattningarna till den som används i dataskyddsförordningen.

9.18. Tillsyn

Utredningens bedömning: Det finns inget behov av bestäm-

melser om tillsyn i registerförfattningar.

I artikel 28 i dataskyddsdirektivet finns det bestämmelser om tillsynsmyndighet för att övervaka tillämpningen av de bestämmelser som medlemsstaterna antagit till följd av dataskyddsdirektivet. Datainspektionen är enligt 2 a § förordningen (2007:975) med instruktion för Datainspektionen tillsynsmyndighet enligt artikel 28 i dataskyddsdirektivet. Av 43 § personuppgiftslagen framgår att tillsynsmyndigheten har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Enligt 4446 §§personuppgiftslagen får tillsynsmyndigheten under vissa förutsättningar använda sig av vite i anslutning till tillsyn. Enligt 2 § personuppgiftsförordningen är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen. Registerförfattningarna inom Socialdepartementets verksamhetsområde innehåller inte bestämmelser om tillsyn.

Dataskyddsförordningen innehåller mer detaljerat reglerade befogenheter för tillsynsmyndigheten än dataskyddsdirektivet och personuppgiftslagen. Tillsynsmyndighetens utredningsbefogenheter anges i artikel 58.1 i dataskyddsförordningen och motsvarar de befogenheter som föreskrivs i personuppgiftslagen. De s.k. korrigerande befogenheterna, som framgår av artikel 58.2 i dataskyddsförordningen, har dock utökats i förhållande till vad som gäller enligt personuppgiftslagen. Bestämmelsen innebär att tillsynsmyndigheten bl.a. kan utfärda varningar, reprimander och olika förelägg-

anden. Tillsynsmyndigheten kan också påföra administrativa sanktionsavgifter, se avsnitt 9.19.2.

Dataskyddsutredningen har utrett konsekvenserna av dataskyddsförordningens bestämmelser om tillsyn och föreslagit kompletterande bestämmelser. Av 6 kap. 1 § förslaget till dataskyddslag följer att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.49 Därför behöver bestämmelsernas konsekvenser inom Socialdepartementets verksamhetsområde inte analyseras. Det behövs inte heller särskilda bestämmelser om tillsyn i de registerförfattningar som omfattas av översynen.

9.19. Sanktioner

9.19.1. Skadestånd

Utredningens bedömning: Bestämmelser i registerförfattningar

som hänvisar till personuppgiftslagens bestämmelser om skadestånd bör upphävas.

I stället för särskilt utformade bestämmelser om skadestånd innehåller registerförfattningar ofta hänvisningar till personuppgiftslagens bestämmelser om skadestånd.

Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Bestämmelsen är utformad i enlighet med artikel 23 i dataskyddsdirektivet.

I dataskyddsförordningen finns bestämmelser om ansvar och rätt till ersättning i artikel 82. Enligt artikel 82.1 i dataskyddsförordningen ska varje person som lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ha rätt

49SOU 2017:39 s. 310319.

till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. En nyhet är alltså att även ett personuppgiftsbiträde kan bli skadeståndsskyldigt gentemot den registrerade. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot dataskyddsförordningen. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

Begreppet skada bör enligt skäl 146 till dataskyddsförordningen tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar dataskyddsförordningens mål. Vidare anges i samma skäl att behandling som strider mot dataskyddsförordningen omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser. Dataskyddsutredningen förtydligar detta genom att i 8 kap. 1 § förslaget till dataskyddslag ange att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.50

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska enligt artikel 82.3 i dataskyddsförordningen undgå ansvar om de visar att de inte på något sätt är ansvariga för den händelse som orsakade skadan. Det finns i artikel 82.4 och 5 i dataskyddsförordningen bestämmelser om att skadeståndsansvaret är solidariskt om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde har medverkat vid samma behandling samt i artikel 82.6 i dataskyddsförordningen en bestämmelse om vilken domstol som är behörig att pröva en tvist om rätten till ersättning.

Skälet till att det i registerförfattningar som regel finns en hänvisning till personuppgiftslagens bestämmelser om skadestånd är att bestämmelserna annars inte skulle vara tillämpliga. Enligt 48 § personuppgiftslagen är skadeståndsskyldigheten kopplad till en behandling av personuppgifter i strid med denna lag, dvs. person-

50SOU 2017:39.

uppgiftslagen. För att bestämmelsen ska vara tillämplig även vid behandling i strid med registerförfattningar, krävs att den anges gälla på motsvarande sätt vid behandling av personuppgifter enligt den aktuella författningen. Till skillnad från vad som gäller enligt personuppgiftslagen är dataskyddsförordningen, inom sitt tillämpningsområde, direkt tillämplig även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde och det behövs av den anledningen ingen hänvisning till dess bestämmelser. Dessutom föreslås som nämnts att det i dataskyddslagen ska finnas en hänvisning till dataskyddsförordningens skadeståndsbestämmelse, som omfattar alla författningar som kompletterar dataskyddsförordningen. Den hänvisningen/upplysningen kan inte anses avse annat än skada som uppkommer vid sådan behandling av personuppgifter som omfattas av dataskyddsförordningen. I den utsträckning en författning har bestämmelser om både sådan behandling och annat, blir således inte överträdelser av dessa andra bestämmelser förknippade med skadeståndsskyldighet enligt dataskyddsregleringen.

Några registerförfattningar inom Socialdepartementets verksamhetsområde – patientdatalagen och 114 kap. socialförsäkringsbalken samt förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen – omfattar i tillämpliga delar behandling av uppgifter om avlidna personer, som inte omfattas av dataskyddsförordningen (se skäl 27 till dataskyddsförordningen) eller den föreslagna dataskyddslagen. Bestämmelserna om skadestånd i dessa författningar är dock inte tillämpliga vid behandling av uppgifter om avlidna personer, och dataskyddsregleringens skadeståndsbestämmelser kommer som framgått inte heller att gälla vid sådan behandling när dataskyddsförordningen börjar tillämpas.

Dataskyddsutredningen föreslår i 1 kap. 2 § förslaget till dataskyddslag att dataskyddsförordningen i tillämpliga delar ska gälla även vid sådan behandling av personuppgifter som inte omfattas av dataskyddsförordningen, dvs. verksamhet som inte omfattas av unionsrätten och verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken.51 Den bestämmelsen, jämte hänvisningen till bestämmelsen om skadestånd i dataskydds-

51SOU 2017:39.

förordningen, får anses innebära att även brott mot bestämmelser i en registerförfattning om sådan behandling av personuppgifter som faller utanför dataskyddsförordningens tillämpningsområde men som genom den föreslagna bestämmelsen i dataskyddslagen ändå ska omfattas av dataskyddsförordningen, kan föranleda skadestånd.

Överträdelser av bestämmelser som avser sådan behandling som i och för sig omfattas av dataskyddsförordningen, men där rättigheterna går utöver vad som krävs enligt dataskyddsförordningen, kan också föranleda rätt till skadestånd enligt artikel 82 i dataskyddsförordningen. Det handlar t.ex. om överträdelser av bestämmelser om information, där kraven på den information som ska lämnas går utöver vad som krävs enligt dataskyddsförordningen.

Det saknas sammantaget skäl att i registerförfattningar särskilt reglera vad som gäller i fråga om skadestånd vid behandling av personuppgifter. Bestämmelser i registerförfattningar med hänvisningar till personuppgiftslagens bestämmelser om skadestånd bör därför upphävas.

Av avsnitt 10.1.1 framgår att det krävs ytterligare överväganden om tillämpliga bestämmelser vid behandling av personuppgifter inom rättspsykiatrisk vård, som inte omfattas av dataskyddsförordningen men som föreslås i viss utsträckning regleras av patientdatalagen.

9.19.2. Administrativa sanktionsavgifter

Utredningens bedömning: Dataskyddsförordningen föranleder

inget behov av nya bestämmelser om administrativa sanktionsavgifter i registerförfattningar.

Tillsynsmyndigheten kan som en av sina befogenheter enligt artikel 58.1–3 i dataskyddsförordningen påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter i enlighet med artikel 83 vid överträdelser av olika bestämmelser i dataskyddsförordningen. Detta är en ny möjlighet som införs i och med att dataskyddsförordningen ska börja tillämpas.

I 6 kap. 1 § förslaget till dataskyddslag föreslår Dataskyddsutredningen att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsförordningen även ska gälla vid tillsyn

över efterlevnaden av bestämmelserna i den föreslagna lagen och andra författningar som kompletterar dataskyddsförordningen.52Tillsynsmyndigheten kommer alltså att på det sätt som krävs enligt dataskyddsförordningen kunna utfärda administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningen även inom registerförfattningarnas tillämpningsområden utan att det behövs särskilda bestämmelser om det i dessa författningar.

Enligt artikel 83.2 i dataskyddsförordningen ska administrativa sanktionsavgifter, beroende av omständigheterna i det enskilda fallet, påföras utöver eller i stället för sådana åtgärder som tillsynsmyndigheten i övrigt kan vidta i form av varningar, reprimander, förlägganden, förbud etc. Olika faktorer, däribland överträdelsens karaktär, svårighetsgrad, varaktighet, omfattning och syfte, ska beaktas både vid beslut om huruvida administrativa sanktionsavgifter ska påföras och när avgifternas belopp ska fastställas.

Överträdelser av bestämmelser i dataskyddsförordningen som kan föranleda administrativa sanktionsavgifter är kategoriserade utifrån olika svårighetsgrad. För vissa mindre allvarliga överträdelser gäller ett maxbelopp på 10 000 000 euro eller 2 procent av den globala årsomsättningen om det gäller ett företag. För allvarligare överträdelser föreskrivs i stället ett maxbelopp på 20 000 000 euro eller 4 procent av den globala årsomsättningen.

Det lägre maxbeloppet gäller i enlighet med artikel 83.4 i dataskyddsförordningen för överträdelser av följande bestämmelser:

  • Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.
  • Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.
  • Övervakningsorganets skyldigheter enligt artikel 41.4.

Det högre maxbeloppet gäller i enlighet med artikel 84.5 för överträdelser av följande bestämmelser:

  • De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.
  • Registrerades rättigheter enligt artiklarna 12–22.

52SOU 2017:39.

  • Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 44–49.
  • Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.
  • Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

Uppräkningen i artikel 83 i dataskyddsförordningen är uttömmande. Eftersom endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter enligt samma artikel, i enlighet med vad Dataskyddsutredningen konstaterat, påföras endast vid överträdelser av sådana nationella bestämmelser.53 En överträdelse av en bestämmelse i nationell lagstiftning som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser bör dock enligt utredningens bedömning omfattas av möjligheten att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen.

Vid överträdelse av flera olika bestämmelser får den administrativa sanktionsavgiftens totala belopp enligt artikel 83.3 i dataskyddsförordningen inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

Medlemsstaterna har i artikel 83.7 i dataskyddsförordningen getts möjlighet att själva avgöra om och i vilken utsträckning administrativa sanktionsavgifter ska kunna påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Dataskyddsutredningen har mot bakgrund av detta föreslagit att ett beslut om sanktionsavgifter ska få riktas även mot statliga och kommunala myndigheter.54 Utredningen godtar, på Socialdepartementets verksamhetsområde, Dataskyddsutredningens bedömning att även myndigheter bör kunna utsättas för administrativa sanktionsavgifter.

Medlemsstaterna ska dessutom enligt artikel 84 i dataskyddsförordningen fastställa regler om andra sanktioner för överträdelser

53SOU 2017:39 s. 377. 54SOU 2017:39 s. 287.

av dataskyddsförordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. Dataskyddsutredningen gör tolkningen att detta innebär att det åligger medlemsstaterna att täppa till eventuella luckor om sanktioner saknas enligt förordningen.55 Eftersom artikel 10, som avser möjligheterna att behandla uppgifter om lagöverträdelser, inte omnämns i artikel 83 i dataskyddsförordningen, har Dataskyddsutredningen med stöd av artikel 84 föreslagit att tillsynsmyndigheten ska kunna påföra administrativa sanktionsavgifter enligt artikel 83 även vid överträdelser av artikel 10. Avgiftens storlek ska enligt förslaget bestämmas inom ramen för det högre maxbelopp som gäller för överträdelser av bl.a. bestämmelserna om känsliga personuppgifter.56

Skyldigheten att fastställa regler om sanktioner för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83 i dataskyddsförordningen medför att det kan finnas ett behov av att fastställa sanktionsbestämmelser även i registerförfattningar. Skyldigheten omfattar dock endast överträdelser av dataskyddsförordningen. Om en registerförfattning reglerar en skyldighet att exempelvis lämna mer information än vad som krävs enligt dataskyddsförordningen, medför artikel 84 i dataskyddsförordningen ingen skyldighet att fastställa regler om sanktioner för överträdelser av den utökade informationsskyldigheten. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser, är det dock som nämnts utredningens bedömning att det är möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskyddsförordningen.

Dataskyddsförordningen föranleder sammantaget inget behov av nya bestämmelser om administrativa sanktionsavgifter i registerförfattningar.

55 SOU 2017 :39 s. 292. 56SOU 2017:39 s. 294295.

9.19.3. Straff och vite

Utredningens bedömning: Det finns inget behov av nya be-

stämmelser i registerförfattningar med anledning av att personuppgiftslagens bestämmelser om straff och vite upphävs.

Personuppgiftslagens bestämmelser om straff (49 §) och vite (44–46 §§) upphör att gälla i och med att personuppgiftslagen upphävs när dataskyddsförordningen ska börja tillämpas. Några särskilda bestämmelser om straff och vite finns inte i registerförfattningar. Dataskyddsutredningen har gjort bedömningen att något straff inte ska ådömas den som bryter mot dataskyddsförordningen samt att någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite inte behöver införas.57 Utredningen bedömer att Dataskyddsutredningens ställningstaganden är giltiga även för Socialdepartementets verksamhetsområde och godtar således dem. Det finns därmed inget behov av nya bestämmelser i registerförfattningar med anledning av att personuppgiftslagens bestämmelser om straff och vite upphävs.

9.20. Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

Utredningens bedömning: Bestämmelser om överklagande i

registerförfattningar som enbart avser beslut om behandling av personuppgifter bör upphävas. Överklagandebestämmelser som utöver beslut om behandling av personuppgifter även avser andra beslut, bör ändras på så sätt att bestämmelser om överklagande av beslut om behandling av personuppgifter ersätts med en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

Bestämmelser om överklagande av vissa beslut som har fattats av en myndighet i egenskap av personuppgiftsansvarig finns i 52 § personuppgiftslagen. Där anges att en myndighets beslut om information

57SOU 2017:39 s. 295297.

enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information som ska lämnas med anledning av ett automatiserat beslut enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol. Andra beslut fattade av den personuppgiftsansvarige får enligt 53 § personuppgiftslagen inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.

Bestämmelsen i 52 § personuppgiftslagen har inte sin grund i dataskyddsdirektivet utan i allmänna förvaltningsrättsliga principer om att beslut som direkt berör en enskild person ska kunna överklagas.58 Eftersom registerförfattningarna gäller utöver personuppgiftslagen, är personuppgiftslagens överklagandebestämmelser tillämpliga om det inte finns avvikande bestämmelser i registerförfattningarna.

Överklagandebestämmelsen i personuppgiftslagen trädde i kraft den 1 januari 2007. Registerförfattningar som tillkommit före denna tidpunkt innehåller ofta egna överklagandebestämmelser. De överklagandebestämmelser som finns i de författningar utredningen sett över anger att beslut om rättelse och avslag på ansökan om information enligt 26 § personuppgiftslagen får överklagas till allmän förvaltningsdomstol. I förarbetena till överklagandebestämmelsen i personuppgiftslagen konstaterades att det genom införandet av en bestämmelse om överklagande i personuppgiftslagen inte längre är nödvändigt att ta in överklagandebestämmelser i särskilda registerförfattningar som hänvisar till personuppgiftslagen. Det framhölls också att det vid en översyn av registerförfattningar kan finnas anledning att uppmärksamma frågan om överklagande.59 Så länge sådana särskilda bestämmelser inte upphävts gäller de dock i första hand eftersom särbestämmelser i annan författning gäller framför personuppgiftslagen enligt 2 § personuppgiftslagen.

De flesta författningar som tillkommit efter att överklagandebestämmelserna infördes i personuppgiftslagen innehåller inte några bestämmelser om överklagande, eftersom det inte ansetts nödvän-

58Prop. 2005/06:173 s. 5053. En uttrycklig bestämmelse om att förvaltningsbeslut får överklagas om beslutet kan antas påverka någons situation på ett inte obetydligt sätt föreslås införas i den nya förvaltningslag som förväntas träda i kraft den 1 juli 2018. Den föreslagna bestämmelsen avser att ge uttryck för de principer som kommit till uttryck i praxis om att det är ett besluts faktiska verkningar som avgör om ett beslut kan överklagas, se prop. 2016/17:180 s. 252255. 59Prop. 2005/06:173 s. 53.

digt. Det förekommer dock hänvisningar till personuppgiftslagens bestämmelser om överklagande. Sådana bestämmelser har införts av tydlighetsskäl när författningen även innehåller bestämmelser om överklagande av andra beslut än sådana som berör behandling av personuppgifter.

En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde som den registrerade anser har åsidosatt hans eller hennes rättigheter som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med dataskyddsförordningen. Enligt Dataskyddsutredningens bedömning, som överensstämmer med den bedömning som gjordes vid genomförandet av motsvarande bestämmelse i dataskyddsdirektivet, tillgodoses denna rättighet genom möjligheten att vid allmän domstol föra talan om skadestånd.60 I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen inte någon särskild reglering om överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig. Dataskyddsutredningen har, mot bakgrund av de allmänna förvaltningsrättsliga principer som motiverade införandet av överklagandebestämmelserna i personuppgiftslagen, föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande. Av 8 kap. 2 § förslaget till dataskyddslag framgår att beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol. Det rör sig om beslut om den registrerades rätt till information, registerutdrag m.m., rättelse, radering, begränsning, invändningar och underrättelse till tredje man om rättelse, radering eller begränsning. Prövningstillstånd föreslås på samma sätt som i dag krävas vid överklagande till kammarrätten. Andra beslut av den personuppgiftsansvarige får enligt 8 kap. 6 § förslaget till dataskyddslag inte överklagas.61

Dataskyddslagen kommer att gälla om inte annat följer av registerförfattningarna eller föreskrifter som har meddelats med stöd av registerförfattningarna, se avsnitt 9.6. Det innebär att under förutsättning att det inte finns avvikande bestämmelser i register-

60SOU 2017:39 s. 304. 61SOU 2017:39 s. 303.

författningarna, kommer bestämmelserna i dataskyddslagen om överklagande av personuppgiftsansvariga myndigheters beslut att vara tillämpliga även inom registerförfattningarnas tillämpningsområde, på samma sätt som personuppgiftslagens bestämmelser är i dag.

Något skäl att reglera överklagandemöjligheten på annat sätt än vad Dataskyddsutredningen föreslagit har inte framkommit. Det finns därför inte behov av särskilda bestämmelser om överklagande i registerförfattningarna. Befintliga bestämmelser om att beslut om rättelse och information enligt 26 § personuppgiftslagen kan överklagas bör därför upphävas. Vissa författningar innehåller dock, som angetts ovan, även bestämmelser om överklagande av andra beslut än beslut om behandling av personuppgifter. Av tydlighetsskäl bör dessa författningar förses med en bestämmelse som upplyser om att det finns bestämmelser om överklagande av beslut om behandling av personuppgifter i den föreslagna dataskyddslagen.

9.21. Uppgiftsskyldigheter

Utredningens bedömning: Befintliga uppgiftsskyldigheter är lika

tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet och bör inte ändras. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.

Rutinmässiga informationsöverföringar mellan myndigheter bör i regel vara författningsreglerade som uppgiftsskyldigheter, eftersom det annars krävs en sekretessprövning (10 kap. 28 § offentlighets- och sekretesslagen). En uppgiftsskyldighet – en skyldighet enligt lag eller förordning att lämna uppgifter till en viss mottagare – innebär att utlämnandet av uppgifter kan ske utan hinder av sekretess när det görs till en myndighet. I stället räcker det med en prövning av vilka uppgifter som kan lämnas ut med stöd av uppgiftsskyldigheten.

Uppgiftsskyldigheter är som regel utformade så att de endast anger skyldigheten att lämna ut uppgifter och inte på vilket sätt uppgifterna ska lämnas eller varifrån uppgifterna ska hämtas. Ett helt manuellt utlämnande av personuppgifter som aldrig behandlats på ett sätt som omfattas av dataskyddsförordningens tillämpningsområde berörs förstås inte av dataskyddsförordningen. Ett utläm-

nande av personuppgifter från ett elektroniskt system medför däremot en automatiserad behandling av personuppgifter i och med att personuppgifterna tas ut ur systemet, oavsett om överföringen av personuppgifter till mottagaren är automatiserad eller manuell, inklusive muntligt uppgiftslämnande. I de fall där skyldigheten att lämna uppgifter gäller personuppgifter som hos den som skyldigheten riktar sig till redan behandlas på ett sätt som omfattas av dataskyddsförordningen, måste därför dataskyddsförordningens bestämmelser följas vid uppgiftslämnandet. Detsamma gäller om den som ska fullgöra skyldigheten i andra fall väljer att göra det genom att behandla personuppgifter på ett sätt som omfattas av dataskyddsförordningen, t.ex. genom att först skanna in och sedan mejla uppgifterna.

Redan i dag gäller att personuppgiftslagen eller tillämplig registerförfattning måste följas vid utlämnande av personuppgifter. För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen, eller omfattas av ett tillåtet undantag från den principen.

I vissa fall kan en skyldighet att lämna ut uppgifter uppfattas stå i strid med de ursprungliga ändamålen. Det finns dock enligt både dataskyddsdirektivet och dataskyddsförordningen vissa möjligheter till undantag från finalitetsprincipen. I enlighet med vad som anges i avsnitt 9.15.2 bedömer utredningen att de situationer där undantag kan göras enligt dataskyddsdirektivet omfattas av möjligheten till undantag enligt dataskyddsförordningen. En nyhet i dataskyddsförordningen är att en lagstiftningsåtgärd med undantag, när så är relevant, ska innehålla specifika bestämmelser i vissa avseenden, bl.a. om skyddsåtgärder (artikel 23.2). Det får förutsättas att det i samband med att den aktuella uppgiftsskyldigheten infördes övervägdes vilka bestämmelser om bl.a. skyddsåtgärder som är relevanta. Det är därför utredningens bedömning att befintliga uppgiftsskyldigheter, även sådana som är till synes svåra att förena med finalitetsprincipen, är lika förenliga med dataskyddsförordningen som de är med dataskyddsdirektivet. De behöver alltså inte ändras med anledning av dataskyddsförordningen.

Vid utlämnande av känsliga personuppgifter krävs, förutom att det sker med stöd av ett primärt eller sekundärt ändamål eller är förenligt med finalitetsprincipen, om inte ett undantag har föreskrivits, att det finns särskilt stöd för behandlingen. Det är utredningens bedömning att de situationer där behandling av känsliga personuppgifter kan tillåtas enligt dataskyddsdirektivet inte är färre än enligt dataskyddsförordningen (se avsnitt 9.11). I den mån dataskyddsförordningen medför nya krav för behandling av känsliga personuppgifter – t.ex. i form av skyddsåtgärder – framgår av utredningens överväganden rörande respektive lagstiftning att kraven är uppfyllda genom regleringen i registerförfattningarna. I övrigt måste den personuppgiftsansvarige – liksom i dag – beakta tillämplig reglering om dataskydd när uppgiftsskyldigheten fullgörs.

Det är med stöd av det sagda utredningens samlade slutsats att de bestämmelser om uppgiftsskyldighet som finns inom Socialdepartementets verksamhetsområde är lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Någon ändring av dem med anledning av dataskyddsförordningen behövs därför inte. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.

9.22. Barns personuppgifter

Utredningens bedömning: Utredningens förslag innebär inte

att barns rättigheter enligt barnkonventionen inte tillgodoses. Det krävs inte heller några nya bestämmelser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.

I utredningsdirektiven anges att utredaren mot bakgrund av åtaganden i FN:s konvention om barnets rättigheter (barnkonventionen) i möjligaste mån och där det är relevant bör uppmärksamma barns rättigheter inom ramarna för utredningsuppdraget. Detta eftersom barns personuppgifter hanteras i stor utsträckning i många av verksamheterna inom Socialdepartementets verksamhetsområde. Barns personuppgifter nämns också särskilt i skäl 38 till dataskyddsförordningen där det anges att dessa förtjänar särskilt skydd, eftersom

barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.

Sverige har förbundit sig att leva upp till de krav som barnkonventionen ställer. Barnkonventionen omfattar såväl medborgerliga och politiska rättigheter som sociala, ekonomiska och kulturella rättigheter. Grundprinciperna i barnkonventionen är principen om icke-diskriminering, principen om barnets bästa, barnets rätt till liv, överlevnad och utveckling samt barnets rätt att fritt uttrycka sina åsikter i alla frågor som rör barnet. Barnkonventionen innehåller utöver detta ett antal artiklar som reglerar barns rättigheter inom olika områden. Bland annat anges i artikel 16.1 i barnkonventionen att barn inte får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende.

I flera av de verksamheter som omfattas av utredningens uppdrag behandlas barns personuppgifter. Behandling av barns personuppgifter är i dessa verksamheter lika nödvändig som behandling av uppgifter om vuxna personer. De bestämmelser om säkerhetsåtgärder som finns och som syftar till att skydda den personliga integriteten gäller på motsvarande sätt för barns personuppgifter. Barnets rättigheter kan dock utövas av barnets vårdnadshavare. Sverige hade ratificerat barnkonventionen innan den nuvarande regleringen av behandling av personuppgifter kom till och det får förutsättas att barnkonventionen har beaktats vid utformningen av regleringen. Utredningens huvudsakliga uppdrag har varit att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde och föreslå de anpassningar av författningar inom verksamhetsområdet som behövs till följd av den. Vid analysen har barnkonventionen beaktats, och utredningen bedömer att inget av utredningens förslag innebär att barns rättigheter enligt barnkonventionen inte tillgodoses.

I skäl 38 till dataskyddsförordningen anges som nämnts ovan att barns personuppgifter förtjänar särskilt skydd. Där anges också att det särskilda skyddet för barns personuppgifter i synnerhet bör gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster

som erbjuds direkt till barn utnyttjas. Någon sådan behandling av barns personuppgifter är, såvitt utredningen känner till, inte aktuell inom Socialdepartementets verksamhetsområde. Utredningen bedömer att de befintliga bestämmelserna är tillräckliga för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.

SÄRSKILDA ÖVERVÄGANDEN OCH FÖRSLAG

10. Författningar som reglerar en verksamhet

10.1. Patientdatalagen (2008:355)

10.1.1. Lagens tillämpningsområde

Utredningens förslag: Patientdatalagen kompletteras med en

bestämmelse som innebär att vissa bestämmelser i lagen inte ska tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen lämnar dock inte något förslag till vilka bestämmelser som inte ska tillämpas, utan förslaget ska ses som en markering av att det i det fortsatta lagstiftningsarbetet bör övervägas vilken anpassning av patientdatalagen som krävs med anledning av det nya dataskyddsdirektivet.

Utredningens bedömning: Någon ändring av patientdatalagens

tillämpningsområde föranleds inte av dataskyddsförordningen.

Patientdatalagen ska enligt 1 kap. 1 § första stycket tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Lagen är enligt 1 kap. 3 § tillämplig hos såväl offentliga vårdgivare, dvs. statliga myndigheter, landsting och kommuner, som privata vårdgivare, dvs. andra juridiska personer eller enskilda näringsidkare som bedriver hälso- och sjukvård.

I avsnitt 9.5 har utredningen konstaterat att bestämmelser i registerförfattningar om vilka typer av behandlingar och vilka uppgifter författningen ska tillämpas på inte i sig påverkas av dataskyddsförordningen. Patientdatalagen kan därför även fortsättningsvis tillämpas på samma typer av behandlingar och uppgifter som i dag.

Dataskyddsförordningen föranleder alltså inte någon ändring av patientdatalagens tillämpningsområde.

Rättspsykiatrisk vård

Patientdatalagen är till följd av definitionen av hälso- och sjukvård i 1 kap. 3 § tillämplig bl.a. på behandling av personuppgifter som sker i samband med rättspsykiatrisk vård. Lagen (1991:1129) om rättspsykiatrisk vård gäller enligt 1 § andra stycket den som efter beslut av domstol ska ges rättspsykiatrisk vård, är anhållen, häktad eller intagen på en enhet för rättspsykiatrisk undersökning, är intagen i eller ska förpassas till kriminalvårdsanstalt eller är intagen i eller ska förpassas till ett särskilt ungdomshem för att verkställa en dom på sluten ungdomsvård. Utredningen om 2016 års dataskyddsdirektiv har gjort bedömningen att all den vård som bedrivs enligt lagen om rättspsykiatrisk vård är hänförlig till något av områdena brottsbekämpning, lagföring eller verkställighet av straff och därför omfattas av tillämpningsområdet för det nya dataskyddsdirektivet (se avsnitt 9.5).1 Utredningen har inte anledning att göra någon annan bedömning. Det innebär att dataskyddsförordningen inte är tillämplig vid behandling av personuppgifter inom rättspsykiatrisk vård, se artikel 2.2 d i dataskyddsförordningen.

Att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt ingår i det uppdrag regeringen gett Utredningen om 2016 års dataskyddsdirektiv2, som för detta ändamål har föreslagit en ny brottsdatalag.3 Brottsdatalagen ska enligt den föreslagna 1 kap. 2 § gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Behandling av personuppgifter som sker i samband med verkställighet av rättspsykiatrisk vård omfattas alltså av den föreslagna brottsdatalagens tillämpningsområde.4 Brottsdatalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning. I dag

1SOU 2017:29 s. 224225. 2 Dir. 2016:21. 3SOU 2017:29. 4SOU 2017:29 s. 172 och 224 f.

kompletteras patientdatalagen av personuppgiftslagen. När personuppgiftslagen upphävts, dataskyddsförordningen börjat tillämpas och brottsdatalagen trätt i kraft kommer patientdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård att kompletteras av bestämmelserna i brottsdatalagen (se avsnitt 10.1.3) och inte av bestämmelserna i dataskyddsförordningen och dataskyddslagen.

Utredningen anser att patientdatalagen, på samma sätt som vid annan hälso- och sjukvård, bör fortsätta att gälla vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen har samrått med Utredningen om 2016 års dataskyddsdirektiv om den bedömningen. Det ingår dock inte i utredningens uppdrag att föreslå anpassningar av registerförfattningar inom Socialdepartementets verksamhetsområde för att regleringen ska leva upp till det nya dataskyddsdirektivet. Den omständigheten att inte dataskyddsförordningen utan brottsdatalagen kommer att vara tillämplig när det gäller rättspsykiatrisk vård innebär att det för den verksamheten bör övervägas om det behöver göras undantag från exempelvis de bestämmelser i patientdatalagen som föreslås innehålla hänvisningar till dataskyddsförordningen. I vilken utsträckning det behöver göras undantag eller anpassningar för att regleringen i patientdatalagen, när det gäller rättspsykiatrisk vård, ska uppfylla kraven i det nya dataskyddsdirektivet och inte komma i konflikt med den föreslagna brottsdatalagen behöver också bedömas i det fortsatta lagstiftningsarbetet.

För att det i det fortsatta lagstiftningsarbetet ska uppmärksammas att det krävs anpassningar av patientdatalagen på grund av det nya dataskyddsdirektivet vid behandling av personuppgifter inom rättspsykiatrisk vård har utredningen i författningsförslaget tagit in en markering om detta. I avsnitt 10.1.3 föreslås också en upplysningsbestämmelse om att patientdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård kompletteras av brottsdatalagen.

Hälso- och sjukvård i samband med verkställighet av fängelsestraff m.m.

När Kriminalvården verkställer ett fängelsestraff kan det förekomma viss hälso- och sjukvård, som Kriminalvården tillhandahåller, eftersom den intagne inte kan utnyttja den allmänna hälso- och sjukvården. Motsvarande kan förekomma hos Statens institutionsstyrelse

vid verkställighet av missbrukarvård eller sluten ungdomsvård som påföljd. Sådan hälso- och sjukvård anses, enligt den bedömning Utredningen om 2016 års dataskyddsdirektiv gjort, separerad från den verksamhet som utgör verkställigheten av straffet. Det innebär att det även fortsättningsvis är patientdatalagen, kompletterad av dataskyddsförordningen och den förslagna dataskyddslagen, och inte den föreslagna brottsdatalagen som gäller för den behandling av personuppgifter som utförs inom Kriminalvårdens och Statens institutionsstyrelses hälso- och sjukvårdsverksamhet, såvida det inte rör sig om sådan kontroll eller provtagning som den intagne i vissa fall är skyldig att underkasta sig som ett led i verkställigheten av straffet.5Patientdatalagen kan alltså i dessa fall fortsätta att gälla vid behandling av personuppgifter inom hälso- och sjukvård hos straffverkställande myndigheter.

Hälso- och sjukvård i verksamheter som inte omfattas av EU-rätten

Hälso- och sjukvård kan utgöra led i verksamheter som inte omfattas av EU-rätten, t.ex. när Försvarsmakten tar hand om soldater som skadats vid en övning eller insats i Sverige. Behandlingen av personuppgifter i verksamheten omfattas i dessa fall inte av dataskyddsförordningen (artikel 2.2 a), men enligt 1 kap. 2 § i den föreslagna dataskyddslagen ska bestämmelserna i dataskyddsförordningen och den lagen ändå gälla. Patientdatalagen, kompletterad av dataskyddsförordningen och dataskyddslagen, kan alltså fortsätta att gälla i dessa fall.

10.1.2. Lagens syfte

Utredningens bedömning: Dataskyddsförordningen föranleder

inte någon ändring av bestämmelsen om patientdatalagens syfte i 1 kap. 2 §.

5Prop. 2007/08:126 s. 50 och SOU 2017:29 s. 218.

Som utredningen konstaterat i avsnitt 9.4 påverkas inte bestämmelser om syftet med lagstiftningen av dataskyddsförordningen. Bestämmelsen i 1 kap. 2 § patientdatalagen kan därmed behållas.

10.1.3. Förhållandet till annan dataskyddsreglering

Utredningens förslag: Bestämmelsen i 1 kap. 4 § patientdata-

lagen ska innehålla en upplysning om att lagen kompletterar dataskyddsförordningen.

Det ska också upplysas om att dataskyddslagen gäller, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen.

Inom den rättspsykiatriska vården ska i stället den föreslagna brottsdatalagen gälla, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen.

Enligt 1 kap. 4 § patientdatalagen gäller personuppgiftslagen vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen.

Som anges i avsnitt 9.6 bör registerförfattningarna alltjämt gälla utöver den nationella generella regleringen. I patientdatalagen ska förhållandet till dataskyddslagen liksom i dag endast regleras för automatiserad behandling eller sådan manuell behandling där uppgifterna ingår i eller är avsedda att ingå i ett register.

Som anges i avsnitt 9.6 bör även en upplysningsbestämmelse om att patientdatalagen kompletterar dataskyddsförordningen tas in i lagen.

Behandling av personuppgifter som sker i samband med verkställighet av rättspsykiatrisk vård omfattas, som framgår av avsnitt 10.1.1, inte av dataskyddsförordningens tillämpningsområde utan av tillämpningsområdet för det nya dataskyddsdirektivet. Utredningen om 2016 års dataskyddsdirektiv har föreslagit en brottsdatalag som ska genomföra det nya dataskyddsdirektivet. Brotts-

datalagen ska dock enligt den föreslagna 1 kap. 5 § inte gälla om det finns avvikande bestämmelser i annan lag eller förordning.

Utredningen anser, som framgår av avsnitt 10.1.1, att patientdatalagen, på samma sätt som vid annan hälso- och sjukvård, bör fortsätta att gälla vid behandling av personuppgifter inom rättspsykiatrisk vård. Utredningen har samrått med Utredningen om 2016 års dataskyddsdirektiv om den bedömningen. Patientdatalagen bör vid behandling av personuppgifter inom den rättspsykiatriska vården gälla utöver den föreslagna brottsdatalagen på samma sätt som andra registerförfattningar inom den lagens tillämpningsområde.6 Det innebär att det är brottsdatalagens bestämmelser som ska tillämpas inom den rättspsykiatriska vården om inte patientdatalagen innehåller bestämmelser som avviker från den lagen. En ny upplyningsbestämmelse med denna innebörd bör därför införas i patientdatalagen. Dataskyddsförordningen och den föreslagna dataskyddslagen ska alltså inte tillämpas vid behandling av personuppgifter inom rättspsykiatrisk vård.

10.1.4. Tillämpningsområdet för kapitlet med grundläggande bestämmelser om behandling av personuppgifter

Utredningens bedömning: Bestämmelsen i 2 kap. 1 § patient-

datalagen som innebär att de grundläggande bestämmelserna i 2 kap. ska gälla sådan behandling som avses i 1 kap. 4 § patientdatalagen kan behållas.

I patientdatalagens andra kapitel finns grundläggande bestämmelser om behandling av personuppgifter. Dessa bestämmelser gäller enligt 2 kap. 1 § endast sådan behandling som avses i 1 kap. 4 §, dvs. behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i 2 kap. gäller alltså inte för manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i ett register. Utredningen har ovan föreslagit att 1 kap. 4 § ändras på så sätt att bestämmelsen

6 Jämför SOU 2017:29 s. 141.

ska ange lagens förhållande till dataskyddsförordningen och dataskyddslagen i stället för förhållandet till personuppgiftslagen. Någon ändring beträffande vilken typ av behandling som avses föreslås inte. Hänvisningen i 2 kap. 1 § kan därför behållas.

10.1.5. Rätten att invända mot behandling av personuppgifter

Utredningens bedömning: Bestämmelsen i 2 kap. 2 § patient-

datalagen som anger att behandling av personuppgifter får utföras även om den registrerade motsätter sig den kan och bör behållas.

Behandling av personuppgifter som är tillåten enligt patientdatalagen får enligt lagens 2 kap. 2 § som huvudregel utföras även om den enskilde motsätter sig den.

Den registrerade har enligt dataskyddsförordningen rätt att invända mot behandling av personuppgifter; detta under förutsättning att det rör sig om sådan behandling som bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller om behandlingen sker med stöd av en intresseavvägning (se vidare avsnitt 9.15.1). Utredningen har nedan i avsnitt 10.1.7 gjort bedömningen att stora delar av den behandling av personuppgifter som utförs enligt patientdatalagen sker för att fullgöra en rättslig förpliktelse. Vid behandling som sker med stöd av en sådan rättslig grund har den registrerade enligt dataskyddsförordningen inte någon rätt att göra invändningar. I förhållande till sådan behandling utgör bestämmelsen i 2 kap. 2 § patientdatalagen således inte en begränsning av den registrerades rätt enligt dataskyddsförordningen.

En del av den behandling av personuppgifter som regleras i patientdatalagen grundar sig emellertid på artikel 6.1 e (allmänt intresse och myndighetsutövning). Sådan behandling har den registrerade med stöd av artikel 21.1 i dataskyddsförordningen möjlighet att invända mot. Som framgår av avsnitt 9.15.2 är det dock möjligt att göra nationella undantag från rätten att invända mot behandling om de förutsättningar som anges i artikel 23 i dataskyddsförordningen är uppfyllda.

Begränsningen av rätten att göra invändningar måste för det första ha till syfte att säkerställa något av de i punkterna a–j upp-

räknande intressena. Det intresse som ligger närmast till hands för den behandling som sker enligt patientdatalagen är det som anges i punkten e angående andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. I avsnitt 9.8.2 har utredningen konstaterat att bedrivande av verksamhet inom bl.a. hälso- och sjukvård inklusive den administration sådan verksamhet kräver, är ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e i dataskyddsförordningen.

För det andra måste åtgärden att begränsa rätten att göra invändningar ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Utredningen konstaterar att det inom hälso- och sjukvården måste vara möjligt att sköta journalföring och annan dokumentation på ett rättssäkert och effektivt sätt. Att begränsa rätten att göra invändningar mot behandling av personuppgifter inom hälso- och sjukvården är nödvändigt med hänsyn till såväl patientsäkerheten som kvaliteten på vården. En möjlighet för den registrerade att motsätta sig att personuppgifter om bl.a. dennes hälsa behandlas skulle kunna få stora konsekvenser för vården av den personen. Utredningen gör därför också bedömningen att en begränsning av rätten att göra invändningar är proportionerlig i förhållande till sitt syfte. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.

En begränsning av rätten att göra invändningar måste vidare uppfylla kraven i artikel 23.2 på bestämmelser som den lagstiftning som begränsar den registrerades rättigheter ska innehålla. Utredningens bedömning är att bestämmelser med det innehåll som krävs finns i patientdatalagen.

Det är sammantaget enligt utredningens bedömning tillåtet att begränsa möjligheten att göra invändningar mot behandling av personuppgifter på det sätt som regleras i 2 kap. 2 § patientdatalagen.

10.1.6. Samtycke som grund för behandlingen

Utredningens bedömning: Bestämmelsen i 2 kap. 3 § patient-

datalagen om att den registrerades samtycke kan utgöra grund för behandling av personuppgifter kan behållas.

Behandling av personuppgifter som inte är tillåten enligt patientdatalagen får enligt lagens 2 kap. 3 § ändå ske om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Undantag finns såväl i patientdatalagen som i annan lagstiftning och regeringen får meddela föreskrifter om ytterligare undantag.

Enligt den bedömning utredningen har gjort i avsnitt 9.10.2 behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av personuppgifter på samtycke inte göras. Bestämmelsen om behandling av personuppgifter med stöd av den enskildes samtycke i 2 kap. 3 § första stycket patientdatalagen kan därför behållas.

Även möjligheten enligt 2 kap. 3 § andra stycket patientdatalagen för regeringen att föreskriva att en behandling inte får utföras trots den enskildes samtycke kan enligt utredningens mening vara kvar. Regeringen får i vart fall, i enlighet med vad utredningen konstaterat i avsnitt 9.10.2, reglera vad myndigheter inte ska göra, även om enskilda kan åberopa en rätt enligt dataskyddsförordningen att få behandla personuppgifter med stöd av ett giltigt samtycke. Möjligheten att med stöd av samtycke behandla känsliga personuppgifter kan vidare för såväl myndigheter som enskilda inskränkas genom nationell lagstiftning enligt artikel 9.2 a i dataskyddsförordningen. Regeringen får förstås inte utöva föreskriftsrätten i strid med dataskyddsförordningen.

10.1.7. Ändamål och grund för behandling av personuppgifter

Utredningens förslag: Hänvisningen till personuppgiftslagen i

2 kap. 5 § andra meningen patientdatalagen tas bort. I stället hänvisas till artikel 5.1 b i dataskyddsförordningen som ger uttryck för finalitetsprincipen.

Utredningens bedömning: Bestämmelserna i 2 kap. 4 § och 5 §

första meningen patientdatalagen om för vilka ändamål personuppgifter får behandlas är förenliga med dataskyddsförordningen och kan och bör därmed behållas.

Den behandling av personuppgifter som sker enligt patientdatalagen avser huvudsakligen insamling av personuppgifter för dokumentering i en patientjournal.7 Av ändamålsbestämmelsen i 2 kap. 4 § första stycket 1 patientdatalagen framgår bl.a. att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för att fullgöra den skyldighet att föra patientjournal som anges i 3 kap. patientdatalagen. Den behandling av personuppgifter som sker i syfte att föra patientjournal är således enligt utredningens bedömning nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige i enlighet med artikel 6.1 c i dataskyddsförordningen.8 Utöver skyldigheten att föra patientjournal i patientdatalagen finns det andra författningar som föreskriver att vårdgivare inom hälso- och sjukvården ska dokumentera och lämna ut uppgifter till olika myndigheter. Det anges därför i 2 kap. 4 § första stycket 3 patientdatalagen att personuppgifter får behandlas om det behövs för att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Även behandling som sker för detta ändamål är nödvändig för att fullgöra rättsliga förpliktelser enligt artikel 6.1 c i dataskyddsförordningen. Detsamma gäller behandling av personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning enligt 2 kap. 5 § patientdatalagen om det sker på grund av en uppgiftsskyldighet. I den mån uppgiftslämnandet inte grundar sig på en skyldighet utan på en möjlighet att lämna uppgifter, får uppgifts-

7Prop. 2007/08:126 s. 34. 8 Samma bedömning gjordes i prop. 2007/08:126 s. 65.

lämnandet anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

De andra ändamål som räknas upp i 2 kap. 4 § första stycket är upprättande av annan dokumentation som behövs i och för vården av patienter, administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall, systematisk och fortlöpande utveckling och kvalitetssäkring i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten samt framställning av statistik om hälso- och sjukvården. Bedrivandet av en god hälso- och sjukvård är i vissa fall, särskilt för det allmänna, en rättslig förpliktelse, t.ex. enligt hälso- och sjukvårdslagen (2017:30). I 5 kap. 1 § hälso- och sjukvårdslagen finns det en generell rättslig förpliktelse för den som bedriver hälso- och sjukvård, dvs. de vårdgivare som omfattas av patientdatalagen, att bedriva denna så att den uppfyller kraven på en god vård. Detta får också anses vara det yttersta syftet med den behandling av personuppgifter som tillåts enligt patientdatalagen – att uppnå en god vård. Större delen av den behandling av personuppgifter som sker för de ändamål som anges i patientdatalagen har således stöd i artikel 6.1 c i dataskyddsförordningen.

Behandling enligt patientdatalagen, som inte är nödvändig för att uppfylla en rättslig förpliktelse, får anses nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen, i enlighet med vad som anges i avsnitt 9.8.2. Redan det förhållandet att det enligt författning är en rättslig skyldighet för det allmänna att bedriva hälso- och sjukvård visar att bedrivandet av hälso- och sjukvård är en arbetsuppgift av allmänt intresse i den mening som avses i artikel 6.1 e i dataskyddsförordningen. Det allmänna intresset av att vårdgivare ger en god vård är som framgått lagfäst.

I enlighet med vad utredningen konstaterat i avsnitt 9.10.1 krävs ingen ytterligare analys av vilket stöd redan befintliga ändamål har i dataskyddsförordningen. De krav på den rättsliga grunden för behandlingen som tillkommit i artikel 6.3 i dataskyddsförordningen får i enlighet med vad utredningen konstaterat i samma avsnitt anses uppfyllda utan vidare analys när det gäller ändamål som är reglerade sedan tidigare. Behandling för de ändamål som anges i 2 kap.4 och 5 §§patientdatalagen är alltså laglig enligt dataskydds-

förordningen och de befintliga ändamålen kan och bör därmed behållas.

Finalitetsprincipen

I 2 kap. 5 § patientdatalagen hänvisas till 9 § första stycket d och andra stycket personuppgiftslagen, vilket innebär att den s.k. finalitetsprincipen gäller vid behandling enligt patientdatalagen. Hänvisningen syftar till att klargöra att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Hänvisningen innebär vidare att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Eftersom personuppgiftslagen kommer att upphävas, måste hänvisningen till bestämmelsen om finalitetsprincipen i den lagen ändras. Det bör ske i enlighet med vad som redovisas i avsnitt 9.10.3.

10.1.8. Personuppgiftsansvar

Utredningens bedömning: Dataskyddsförordningen föranleder

inte någon ändring av bestämmelserna om personuppgiftsansvar i 2 kap. 6 § patientdatalagen.

Som framgått av avsnitt 9.7 behöver bestämmelser om vem som är personuppgiftsansvarig inte ändras med anledning av dataskyddsförordningen. Bestämmelserna i 2 kap. 6 § patientdatalagen kan och bör därför behållas.

10.1.9. Personuppgifter som får behandlas

Utredningens förslag: Hänvisningen till personuppgiftslagen i

2 kap. 7 § patientdatalagen tas bort. I stället ska det uttryckligen anges vilka uppgifter om lagöverträdelser som får behandlas.

Utredningens bedömning: Bestämmelsen i 2 kap. 7 § patient-

datalagen om vilka personuppgifter som får behandlas kan och bör i övrigt behållas.

En vårdgivare får enligt 2 kap. 7 § patientdatalagen endast behandla sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen, dvs. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Det gäller även för vårdgivare som inte är statliga myndigheter, landsting eller kommuner.

Begränsning av vilka personuppgifter som får behandlas

Att behandling endast får ske av sådana personuppgifter som behövs för de ändamål de behandlas för är en grundläggande princip enligt både dataskyddsförordningen och dataskyddsdirektivet. Principen om uppgiftsminimering följer av artikel 5.1 c i dataskyddsförordningen, som anger att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Bestämmelsen om att endast personuppgifter som behövs för de ändamål som anges i patientdatalagen får behandlas stämmer därför väl överens med dataskyddsförordningen. En sådan precisering är tillåten för myndigheter. Preciseringen är tillåten även för enskilda eftersom behandlingen stödjer sig på de rättsliga grunderna fullgörande av rättslig förpliktelse eller utförande av arbetsuppgift av allmänt intresse. Bestämmelsen kan och bör därför behållas.

Uppgifter om lagöverträdelser

I enlighet med den bedömning utredningen har gjort i avsnitt 9.12 kan och bör bestämmelser i registerförfattningar som tillåter enskilda och myndigheter att behandla uppgifter om lagöverträdelser behållas. Som också framgår av det avsnittet kan begränsningar av möjligheten att behandla uppgifter om friande brottmålsdomar och administrativa frihetsberövanden behållas för myndigheter. Detsamma gäller enskilda eftersom behandlingen inom patientdatalagens tillämpningsområde grundar sig på artikel 6.1 c och e (rättslig förpliktelse och allmänt intresse) i dataskyddsförordningen. Bestämmelsen i patientdatalagen bör därför omfatta samma uppgifter som i dag, dvs. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Eftersom personuppgiftslagen kommer att upphöra, måste det dock anges direkt i bestämmelsen vilka uppgifter det rör sig om.

10.1.10. Känsliga personuppgifter

Utredningens förslag: Patientdatalagen kompletteras med en

bestämmelse som påminner om kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Utredningens bedömning: Behandling av känsliga personupp-

gifter inom patientdatalagens tillämpningsområde kan alltjämt ske med stöd av ändamålsbestämmelserna i patientdatalagen.

Behandling av känsliga personuppgifter får ske med stöd av 2 kap.4, 5 och 7 §§patientdatalagen som anger att en vårdgivare endast får behandla sådana personuppgifter som behövs för vissa uppräknade ändamål. Den regleringen ersätter bestämmelsen om behandling av känsliga personuppgifter i 18 § personuppgiftslagen.9

9Prop. 2007/08:126 s. 56 och 230 f.

I avsnitt 9.11.4 redogör utredningen för vad som omfattas av undantaget för hälso- och sjukvård i artikel 9.2 h i dataskyddsförordningen. Utredningen gör mot bakgrund av vad som anges där bedömningen att den behandling som sker enligt patientdatalagen ryms inom de syften som nämns i artikel 9.2 h i dataskyddsförordningen. Patientdatalagens reglering bedöms således vara förenlig med dataskyddsförordningen och känsliga personuppgifter kan även fortsättningsvis ske med stöd av ändamålsbestämmelserna.

Som också anges i avsnitt 9.11.4 bör en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen tas in i patientdatalagen.

Som anges i avsnitt 9.11.6 har några nya kategorier av känsliga personuppgifter tillkommit i dataskyddsförordningen, nämligen genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Eftersom känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter inom patientdatalagens tillämpningsområde, påverkar det inte patientdatalagens reglering, utom såvitt avser sökbegrepp och innehållet i kvalitetsregister, att nya kategorier av personuppgifter kommer att vara att bedöma som känsliga enligt dataskyddsförordningen.

10.1.11. Sökbegränsningar

Utredningens förslag: Möjligheten enligt 2 kap. 8 § andra stycket

patientdatalagen att använda uppgifter om hälsa som sökbegrepp ska även avse sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa. Hänvisningarna till personuppgiftslagen i 2 kap. 8 § patientdatalagen ersätts med hänvisningar till 2 kap. 7 § respektive den föreslagna 7 a § patientdatalagen.

Utredningens bedömning: I övrigt kan och bör bestämmelserna

om sökbegrepp i 2 kap. 8 § patientdatalagen behållas.

I 2 kap. 8 § patientdatalagen finns det ett förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. Som sökbegrepp får inte heller uppgifter om att någon

fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas. Vissa undantag från förbudet anges i bestämmelsen, bl.a. får uppgifter om hälsa användas som sökbegrepp, och regeringen får meddela föreskrifter om vissa ytterligare undantag.

Som anges i avsnitt 9.16.2 utgör sökbegränsningar säkerhetsåtgärder enligt dataskyddsförordningen. Sådana bestämmelser är tillåtna om de avser en myndighets behandling av personuppgifter. Bestämmelser om säkerhetsåtgärder är också tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när det gäller behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse enligt artikel 6.1 c eller e i dataskyddsförordningen. Sökbegränsningarna behöver därmed, i enlighet med vad som anges i det avsnittet, inte ändras med anledning av dataskyddsförordningen.

Utredningen anser att sökbegränsningarna, i enlighet med bedömningen i avsnitt 9.12, bör avse samma uppgifter om lagöverträdelser som i dag.

När det gäller sökbegränsningar avseende känsliga personuppgifter är det, som anges i avsnitt 9.11.6, utredningens utgångspunkt att dessa även bör omfatta de nytillkomna kategorierna av känsliga personuppgifter, dvs. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Bara om det är nödvändigt för en ändamålsenlig behandling av personuppgifter i den aktuella verksamheten att befintliga skyddsåtgärder inte omfattar någon av de nya kategorierna av uppgifter, bör den kategorin undantas. Som anges i avsnitt 7.5 kan kategorierna av känsliga personuppgifter i viss mån överlappa varandra. Genetiska uppgifter kan t.ex. avslöja en persons hälsotillstånd. Detsamma kan i någon mån antas gälla för de andra nytillkomna kategorierna av känsliga personuppgifter. Sådana uppgifter utgör i dag uppgifter om hälsa och är således tillåtna som sökbegrepp enligt regleringen i 2 kap. 8 § patientdatalagen. Vid kontakt med Sveriges Kommuner och Landsting10 har det framkommit att det även fortsättningsvis finns behov av att söka på sådana uppgifter inom hälso- och sjukvården. Utredningen gör därför bedömningen

10 Sveriges Kommuner och Landsting är en arbetsgivar- och intresseorganisation för alla kommuner, landsting och regioner.

att det är nödvändigt för en ändamålsenlig behandling av personuppgifter inom hälso- och sjukvården att sådana genetiska och biometriska uppgifter och uppgifter om sexuell läggning som samtidigt kan anses utgöra uppgifter om hälsa, kan fortsätta att användas som sökbegrepp. Att dessa uppgifter får användas som sökbegrepp bör tydliggöras genom att det anges i 2 kap. 8 § att uppgifter om hälsa, inklusive genetiska och biometriska uppgifter och uppgifter om sexuell läggning, får användas. Någon skillnad i sak är således inte avsedd utan förslaget syftar endast till att tydliggöra att samma sökningar som får göras i dag även får göras fortsättningsvis. Genetiska och biometriska uppgifter samt uppgifter om sexuell läggning som inte samtidigt utgör uppgifter om hälsa får däremot inte användas som sökbegrepp.

Eftersom hänvisningarna till personuppgiftslagen inte kan vara kvar när den lagen upphör, bör de ersättas med hänvisningar till definitionerna av uppgifter om lagöverträdelser och känsliga personuppgifter i 2 kap. 7 § respektive den föreslagna 7 a § patientdatalagen.

Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom detta område och inte heller att föreskriftsrätten delegeras. Möjligheten för regeringen att meddela föreskrifter kan därför behållas.

10.1.12. Skyldigheten att föra patientjournal

Utredningens bedömning: Bestämmelserna i 3 kap. patientdata-

lagen om skyldigheten att föra patientjournal kan och bör behållas.

Bestämmelser som inte gäller behandling av personuppgifter

I 3 kap. patientdatalagen regleras skyldigheten att föra patientjournal. Bestämmelserna i kapitlet är tillämpliga oavsett om patientjournalen förs automatiserat eller manuellt. Till den del bestämmelserna tillämpas på helt eller delvis automatiserad behandling eller manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register omfattas behandlingen av dataskyddsförordningens regler-

ing. Flera bestämmelser i kapitlet utgör inte några egentliga dataskyddsbestämmelser utan avser i stället att reglera förfarandet vid journalföring. Detta gäller bestämmelserna i 1–4, 13 och 16 §§. Någon prövning mot dataskyddsförordningen bedöms inte behöva göras när det gäller dessa bestämmelser. Detsamma gäller den bestämmelse i 3 kap. 19 § angående patientjournaler i krig m.m. som endast innehåller en föreskriftsrätt för regeringen. Kapitlet innehåller emellertid också bestämmelser som reglerar behandling av personuppgifter i patientjournaler. För dessa bestämmelser görs nedan en analys av om de behöver anpassas till dataskyddsförordningen.

En patientjournals innehåll

En patientjournal får enligt 3 kap. 5 § patientdatalagen innehålla endast de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2, dvs. om det behövs för att fullgöra skyldigheten att föra patientjournal och upprätta annan dokumentation som behövs i och för vården av patienter eller administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Att endast personuppgifter som behövs för de ändamål för vilka journalföring är tillåten får behandlas följer av den grundläggande principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen, som också finns i artikel 6.1 c i dataskyddsdirektivet. I den artikeln anges att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Bestämmelsen stämmer därför väl överens med dataskyddsförordningen.

I 3 kap. patientdatalagen finns också ett antal bestämmelser som preciserar vad en patientjournal ska innehålla. En patientjournal ska t.ex. enligt 3 kap. 6 § innehålla de uppgifter som behövs för en god och säker vård av patienten. I bestämmelsen räknas vidare upp vilka uppgifter en patientjournal alltid ska innehålla. Av 3 kap. 7 § framgår att en patientjournal även får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. I 3 kap. 10 § finns ett krav på signering av journalanteckningar. Om en journalhandling har lämnats ut till någon, ska detta enligt 3 kap. 11 § dokumenteras i patientjournalen. De uppräknade bestämmel-

serna specificerar vilka uppgifter som får behandlas i en patientjournal. Att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas följer som nämnts redan av principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. De nu berörda bestämmelserna i patientdatalagen kan sägas utgöra ett utflöde av denna princip.

Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen antingen eftersom behandlingen stödjer sig på de rättsliga grunderna enligt 6.1 c eller e i dataskyddsförordningen eller därför att den endast avser myndigheter. Överväganden kring vilka uppgifter som behöver antecknas i en patientjournal har gjorts vid tidigare lagstiftningsarbeten och utredningen har att utgå från att de uppgifter som anges i dessa bestämmelser behövs för de ändamål för vilka uppgifterna i patientjournalen behandlas. Bestämmelserna kan och bör därför behållas.

Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det enligt 3 kap. 8 § antecknas i journalen. Bestämmelsen är ett komplement till bestämmelserna om rättelse och journalförstöring i 8 kap. 3 och 4 §§. Av förarbetena framgår att det behövdes ett komplement till de bestämmelserna eftersom det för rättelse av en journaluppgift på patientens begäran krävs att den som ansvarar för uppgiften är överens med patienten om felaktigheten och journaluppgifter kan förstöras endast i undantagsfall.11 Enligt artikel 16 i dataskyddsförordningen införs en ny rätt för registrerade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Bestämmelsen i 3 kap. 8 § patientdatalagen utgör möjligen en utvidgning av den registrerades rättigheter i förhållande till dataskyddsförordningens bestämmelser. Medlemsstaterna tillåts emellertid som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen. Att på detta sätt möjligen utvidga den registrerades rätt att få sina synpunkter på behandlingen antecknade får anses förenligt med dataskyddsförordningen.

Uppgifter som ska antecknas enligt 3 kap. 6–8 §§ ska enligt 3 kap. 9 § föras in i journalen så snart som möjligt. Bestämmelsen överensstämmer med principen om korrekthet i artikel 5.1 d i data-

11Prop. 2007/08:126 s. 93.

skyddsförordningen som anger att uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Av de skäl som anges ovan bedöms även den bestämmelsen förenlig med dataskyddsförordningen.

Regeringen har enligt 3 kap. 12 § möjlighet att meddela undantag från vissa av bestämmelserna i 3 kap. samt föreskrifter om en journalhandlings innehåll och utformning. Dataskyddsförordningen hindrar inte att föreskrifter meddelas inom detta område eller att föreskriftsrätten delegeras.

Sammanfattningsvis gör alltså utredningen bedömningen att de nu berörda bestämmelserna om patientjournalers innehåll kan och bör behållas.

Hantering av journalhandlingar

I 3 kap. 14 § första stycket anges att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §, som handlar om förstörande av patientjournal. Bestämmelsen innehåller endast en upplysning om att bestämmelsen om förstörande av patientjournal gäller. Den bestämmelsen berörs i avsnitt 10.1.17. Av 3 kap. 14 § andra stycket framgår att vid rättelse av en felaktighet ska det anges när rättelsen skett och vem som har gjort den. Bestämmelsen i andra stycket gäller inte rättelsen i sig, den framgår av 8 kap. 3 § patientdatalagen som också den berörs i avsnitt 10.1.17. I stället handlar bestämmelsen om ytterligare uppgifter som ska finnas i en patientjournal, nämligen uppgift om när en rättelse skett och vem som gjort den. Som anförts ovan har överväganden kring vilka uppgifter som behöver antecknas i en patientjournal gjorts vid tidigare lagstiftningsarbeten. Utredningen utgår därför från att de uppgifter som enligt regleringen i patientdatalagen ska finnas i patientjournalen behövs för de ändamål för vilka uppgifterna i patientjournalen behandlas. Utredningen bedömer därför på samma skäl som anges ovan att även denna bestämmelse är förenlig med dataskyddsförordningen.

Regeringen eller den myndighet som regeringen bestämmer får enligt 3 kap. 15 § meddela föreskrifter om hur journalhandlingar ska hanteras och förvaras. Dataskyddsförordningen hindrar inte en sådan föreskriftsrätt. Bestämmelsen behöver därför inte ändras.

Bevarande av journalhandlingar

Bestämmelsen i 3 kap. 17 § patientdatalagen reglerar bevarande av journalhandlingar. I 3 kap. 18 § anges att för journalhandlingar som utgör allmänna handlingar gäller, med de undantag som följer av 17 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

Bestämmelser om bevarande behöver, i enlighet med vad som anges i avsnitt 9.17.2, inte ändras under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelserna om bevarande i patientdatalagen kan således behållas.

I 3 kap. 17 § patientdatalagen ges även regeringen rätt att meddela vissa föreskrifter om bevarande. Dataskyddsförordningen hindrar inte en sådan föreskriftsrätt. Bestämmelsen kan därför behållas.

Bestämmelserna i 3 kap. 17 § andra stycket och 18 § är endast upplysningsbestämmelser varför det saknas skäl att göra någon prövning av dessa.

10.1.13. Säkerhetsåtgärder

Utredningens bedömning: Bestämmelserna om säkerhetsåtgär-

der i form av begränsningar av åtkomst till personuppgifter och utlämnande av uppgifter i 4 och 5 kap. patientdatalagen kan behållas.

Åtkomst till personuppgifter

I 4 kap.13 §§patientdatalagen finns ett antal bestämmelser som på olika sätt reglerar den interna tillgången till personuppgifter inom hälso- och sjukvården. Bestämmelserna innebär bl.a. att en medarbetare får ta del av uppgifter om patienter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete. En vårdgivare ska också begränsa behörigheten till uppgifter till vad som behövs för att en medarbetare ska kunna fullgöra sina arbetsuppgifter samt se till att åtkomst

dokumenteras och kontrolleras. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter.

Som anges i avsnitt 9.16.2 är styrning av tilldelning och begränsning av behörigheter samt loggkontroll säkerhetsåtgärder enligt dataskyddsförordningen. I enlighet med vad som anges i det avsnittet behöver den typ av bestämmelser det nu är fråga om inte ändras med anledning av dataskyddsförordningen.

Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i bestämmelsen behöver därför inte ändras.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

Patienten har enligt 4 kap. 4 § patientdatalagen en möjlighet att motsätta sig elektronisk åtkomst till uppgifter i patientjournalen för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. Av 4 kap. 5 § följer att en spärr får hävas om patienten samtycker till det, eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Som redan angetts har den registrerade enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, en rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f (arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning och intresseavvägning).

Behandling för de ändamål som avses i 4 kap. 4 § patientdatalagen, att fullgöra skyldigheten att föra patientjournal och upprätta annan dokumentation som behövs i och för vården av patienter samt upprätta annan dokumentation som följer av författning, sker enligt utredningens bedömning för att den är nödvändig för att fullgöra rättsliga förpliktelser. Vid behandling som sker med stöd av en rättslig förpliktelse har den registrerade enligt dataskyddsförordningen inte någon rätt att göra invändningar. Patientens möjlighet att motsätta sig att personuppgifter görs tillgängliga genom elektronisk åtkomst innebär således en utvidgning av rätten att göra invändningar enligt dataskyddsförordningen. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den

nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen eller därför att de endast avser en myndighets behandling av personuppgifter. Att på detta sätt utvidga den registrerades rätt att göra invändningar och få sina personuppgifter spärrade kan därför inte anses strida mot dataskyddsförordningen. Eftersom rätten att motsätta sig behandling enligt 4 kap. 4 § innebär en utvidgning av den registrerades rätt enligt dataskyddsförordningen, ser utredningen inte heller några problem med att behålla bestämmelsen i 4 kap. 5 § om att spärren får hävas om patienten själv tar tillbaka sin invändning eller om det inte är möjligt att inhämta samtycke.

Skydd för identitet i vissa fall

Bestämmelsen i 4 kap. 6 § första stycket patientdatalagen upplyser om att det i 14 § lagen (1996:1156) om receptregister finns bestämmelser om att E-hälsomyndigheten ska lämna ut vissa uppgifter till landstingen om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet. Sådana uppgifter om patientens identitet får enligt 4 kap. 6 § andra stycket patientdatalagen inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det. Av tredje stycket framgår att uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som landstingen ska sambearbeta med sådana uppgifter om patientens identitet som har lämnats ut från E-hälsomyndigheten, ska vara krypterade så att patientens identitet skyddas vid behandlingen.

Syftet med att E-hälsomyndigheten lämnar ut uppgifter till landstingen är att landstingen i sin verksamhet för medicinsk uppföljning ska kunna använda uppgifter om enskilda patienters uttag av förskrivna läkemedel och andra varor tillsammans med uppgifter som finns i landstingens vårddokumentation.12 Förbudet i andra stycket mot att behandla de uppgifter om patientens identitet som lämnats ut från E-hälsomyndigheten i syfte att röja en patients identitet har införts för att säkerställa att krypteringen består hos landstingen. Med kryptering avses s.k. envägskryptering vilket innebär att man genom användning av en algoritm krypterar identitets-

12Prop. 2009/10:138 s. 22 ff.

uppgifter så att de inte längre är läsbara på normalt sätt. Vid krypteringen får varje personnummer en unik kod. När samma krypteringsmetod används av landstingen är det möjligt att koppla ihop uppgifter som kommer från E-hälsomyndigheten med uppgifter om samma person som redan finns hos landstingen. På så sätt kan uppgifterna sambearbetas i landstingens uppföljning. Krypteringen innebär alltså inte en total avidentifiering utan det är fortfarande fråga om personuppgifter. Bestämmelsen i andra stycket medger att ett landsting med patientens samtycke genom s.k. bakvägsidentifiering kan söka efter uppgifter om denne genom att använda den kod som erhållits vid krypteringen. På så sätt kan landstingen även upprätta ett registerutdrag enligt 26 § personuppgiftslagen.13

Som utredningen konstaterat i avsnitt 9.16.2 utgör kryptering en sådan säkerhetsåtgärd som nämns i artikel 32 i dataskyddsförordningen. Bestämmelserna om kryptering i 4 kap. 6 § patientdatalagen kan i enlighet med vad som anges i avsnittet behållas.

När det gäller bestämmelsen i 4 kap. 6 § andra stycket om att uppgifter om patientens identitet får röjas om denne samtycker till det bör bestämmelserna i artikel 11 i dataskyddsförordningen nämnas. Artikel 11.1 i dataskyddsförordningen innebär att om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen. Av artikel 11.2 i dataskyddsförordningen följer vidare att om den personuppgiftsansvarige, i de fall som avses i artikel 11.1, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig. Av skäl 57 i dataskyddsförordningen framgår att om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den regi-

13Prop. 2009/10:138 s. 32 ff.

strerade, om ändamålet endast är att följa någon av bestämmelserna i förordningen. Bestämmelsen i artikel 11 innebär alltså bl.a. att den personuppgiftsansvarige inte behöver behandla ytterligare information för att identifiera den registrerade endast i syfte att lämna ut ett registerutdrag enligt artikel 15. Den personuppgiftsansvarige bör dock inte enligt dataskyddsförordningen vara förhindrad att behandla sådana ytterligare uppgifter om den registrerade samtycker till det. Utredningen gör därför den bedömningen att någon ändring i bestämmelsen i 4 kap. 6 § andra stycket, som bara gäller landsting, inte behöver göras med anledning av artikel 11 i dataskyddsförordningen eller annars.

Bestämmelsen om att patienten kan samtycka till att dennes identitet röjs har införts för att möjliggöra för landstingen att fullgöra skyldigheten att lämna ut registerutdrag enligt 26 § personuppgiftslagen. Motsvarande skyldighet följer av artikel 15 i dataskyddsförordningen. Någon annan anledning att röja patientens identitet torde knappast komma i fråga. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser i den nationella lagstiftningen enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan mot bakgrund av vad som anförts ovan inte anses strida mot dataskyddsförordningen.

Utlämnande genom direktåtkomst och på medium för automatiserad behandling

I 5 kap. 4 § första stycket patientdatalagen slås fast att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Enligt bestämmelsens andra stycke och 5 kap. 5 § medges viss direktåtkomst inom landsting eller kommuner som bedriver hälso- och sjukvård genom flera myndigheter och direktåtkomst för enskilda. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid en enskilds direktåtkomst.

Av 5 kap. 6 § patientdatalagen framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling.

Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske utgör, som angetts i avsnitt 9.16.2, en form av säkerhetsåtgärder enligt data-

skyddsförordningen. Bestämmelserna om direktåtkomst och utlämnande på medium för automatiserad behandling behöver i enlighet med vad som anges i det avsnittet inte ändras med anledning av dataskyddsförordningen.

Dataskyddsförordningen hindrar inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras. De bemyndiganden som ges i bestämmelsen behöver därför inte ändras.

10.1.14. Upplysningsbestämmelser och allmän bestämmelse om utlämnande

Utredningens bedömning: Bestämmelserna i 5 kap. 1 och 2 §§

patientdatalagen påverkas inte av dataskyddsförordningen.

Bestämmelserna i 5 kap.1 och 2 §§patientdatalagen upplyser om att det finns bestämmelser om utlämnande av uppgifter i tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400) och patientsäkerhetslagen (2010:659). Då dessa bestämmelser endast upplyser om annan lagstiftning behöver någon bedömning mot dataskyddsförordningens bestämmelser inte göras.

Enligt 5 kap. 3 § har en myndighet, som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård, samma skyldighet som den som ansvarat för journalen före överlämnandet att lämna ut en uppgift ur journalen som begärs för särskilt fall. Bestämmelsen är inte en dataskyddsbestämmelse och den talar inte heller om på vilket sätt uppgifterna ska lämnas ut, dvs. om det ska ske manuellt eller elektroniskt. Någon prövning mot dataskyddsförordningen bedöms därför inte heller behöva göras när det gäller denna bestämmelse.

10.1.15. Sammanhållen journalföring

Utredningens bedömning: Bestämmelserna om sammanhållen

journalföring i 6 kap. patientdatalagen kan behållas.

Direktåtkomst till uppgifter hos en annan vårdgivare

En vårdgivare får enligt 6 kap. 1 § patientdatalagen, under de förutsättningar som anges i 6 kap. 2 §, ha direktåtkomst till vissa personuppgifter som behandlas av andra vårdgivare. Begreppet sammanhållen journalföring används i patientdatalagen som benämning för ett elektroniskt system som på detta sätt möjliggör att vårddokumentation görs åtkomlig för andra vårdgivare genom direktåtkomst.

Bestämmelser om hur och under vilka förutsättningar elektroniskt utlämnande av behandlade personuppgifter får ske utgör som angetts i avsnitt 9.16.2 en form av säkerhetsåtgärder enligt dataskyddsförordningen. Utredningen har i det avsnittet gjort bedömningen att bestämmelser om direktåtkomst inte behöver ändras med anledning av dataskyddsförordningen.

Skede 1 – patientens inflytande när uppgifterna görs tillgängliga

Patienten har enligt 6 kap. 2 § första stycket en rätt att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Om patienten motsätter sig, får enligt andra stycket endast uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna göras tillgängliga för andra vårdgivare.

En förutsättning för att uppgifter om en patient ska få göras tillgängliga för andra vårdgivare är enligt tredje stycket att patienten i förväg har informerats om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare.

Om en patient motsätter sig att uppgifter görs tillgängliga för andra vårdgivare, ska uppgifterna enligt fjärde stycket spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet.

En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

Ospärrade uppgifter om patienten ska enligt femte stycket göras tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av uppgiften om att det finns ospärrade uppgifter utan att ta del av uppgift om vilken vårdgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.

Bestämmelsen i 6 kap. 2 § patientdatalagen kompletteras av en sekretessbrytande bestämmelse i 25 kap. 11 § offentlighets- och sekretesslagen (2009:400) som innebär att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. I 25 kap. 2 § första stycket offentlighets- och sekretesslagen finns vidare en bestämmelse som innebär att det råder absolut sekretess för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i patientdatalagen, om det saknas förutsättningar enligt 6 kap. 3, 3 a eller 4 § samma lag för att myndigheten ska få behandla uppgiften.

I 6 kap. 2 a § patientdatalagen finns det ett undantag till bestämmelsen i 6 kap. 2 §. En vårdgivare får göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning enligt 2 § tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring, om patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifter.

En första förutsättning för att uppgifter om patienten ska få göras tillgängliga genom sammanhållen journalföring är alltså att patienten har fått viss information. Vilken information den personuppgiftsansvarige enligt dataskyddsförordningen är skyldig att lämna i olika situationer framgår av artiklarna 13 och 14, vilka utredningen har redogjort för i avsnitt 9.15.1. Här konstateras endast att den information som ska lämnas enligt 6 kap. 2 § tredje stycket patientdatalagen kan sägas omfattas av den personuppgiftsansvariges informationsplikt enligt dataskyddsförordningen. Vilken ytter-

ligare information som kan komma att behöva lämnas återkommer utredningen till i avsnitt 10.1.17 nedan. Att på detta sätt uppställa ett krav på att patienten blir informerad för att personuppgifterna ska få behandlas på visst sätt kan enligt utredningens bedömning inte anses strida mot dataskyddsförordningen. Enligt artikel 6.2 och 6.3 i dataskyddsförordningen är det nämligen tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av de rättsliga grunder som är aktuella eller vid behandling som utförs av en myndighet.

Patienten har vidare en rätt enligt patientdatalagen att motsätta sig att dennes uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Som framgår av avsnitt 9.15.1 har den registrerade enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e, dvs. behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Den behandling av personuppgifter som utförs vid utlämnande genom sammanhållen journalföring grundar sig på ändamålet att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Eftersom vårdgivare inte är skyldiga att lämna ut personuppgifter genom sammanhållen journalföring, utgör utlämnandet en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen, se avsnitt 10.1.7. Patientens rätt att motsätta sig att uppgifter om denne görs tillgängliga genom sammanhållen journalföring stämmer enligt utredningens bedömning till viss del överens med rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Det finns dock vissa skillnader. Den personuppgiftsansvarige får, till skillnad från vad som gäller enligt dataskyddsförordningen, inte lov att göra uppgifterna tillgängliga genom sammanhållen journalföring även om denne skulle kunna påvisa sådana tvingande berättigade skäl som avses i artikel 21.1 i dataskyddsförordningen. Vidare har patienten möjlighet att på förhand motsätta sig behandling, något som inte dataskyddsförordningen ger rätt till. Det finns inte heller någon reglering i dataskyddsförordningen som avser registrerade som inte har förmåga att ta ställning till om deras uppgifter ska få behandlas.

Bestämmelserna innebär, i jämförelse med artikel 21.1 i dataskyddsförordningen en viss utvidgning av den registrerades rättigheter. Medlemsstaterna tillåts som redan nämnts att införa mer specifika bestämmelser enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelserna kan därför behållas.

Bestämmelsen om att uppgift om att det finns spärrade uppgifter om en patient och uppgift om vilken vårdgivare som har spärrat dessa görs tillgängliga oavsett vilken inställning patienten har till detta innebär dock en viss begränsning av rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. En sådan begränsning är, som anges i avsnitt 9.15.2, bara tillåten om den uppfyller kraven i artikel 23 i dataskyddsförordningen. Utredningen har i avsnitt 10.1.5 bedömt att det är möjligt att begränsa patientens invändningsrätt inom patientdatalagens tillämpningsområde. Det saknas anledning att göra någon annan bedömning när det gäller den nu aktuella begränsningen. Bestämmelsen kan därmed behållas. Av samma skäl kan bestämmelsen om att en vårdnadshavare inte får spärra uppgifter om sitt barn behållas.

Dataskyddsförordningen hindrar inte heller att patientens möjlighet att häva spärren genom att ta tillbaka sin invändning och möjligheten i 6 kap. 2 a § att under vissa förutsättningar göra uppgifter om en patient som saknar förmåga att ta ställning tillgängliga behålls.

Bestämmelsen i 6 kap. 2 § femte stycket patientdatalagen om att andra vårdgivare ska kunna ta del av en uppgift om att det finns ospärrade uppgifter om patienten utan att ta del av övriga uppgifter har införts för att vårdgivare inte ska behöva ta del av ospärrade uppgifter när förutsättningar för detta saknas enligt bestämmelserna i 6 kap. patientdatalagen.14 Bestämmelsen gör det möjligt för en vårdgivare att pröva om en begäran om att få del av en allmän handling kan avslås redan på den grunden att det inte förvaras någon sådan handling hos vårdgivaren utan att denne behöver ta del av ospärrade uppgifter. Vårdgivaren behöver inte heller, när förutsättningar för att behandla uppgifterna saknas, ta del av ospärrade uppgifter för att avslå en begäran om allmän handling på grund av bestämmelsen om absolut sekretess i 25 kap. 2 § offentlighets- och sekretesslagen. Bestämmelsen i 6 kap. 2 § femte stycket möjliggör

14Prop. 2007/08:126 s. 130131.